La reconnaissance faciale est une technologie biométrique qui permet d’analyser, grâce à des algorithmes, les traits du visage de personnes filmées ou photographiées et de les comparer à des images stockées dans une base de données. Ce système est un des domaines de l’intelligence artificielle. Selon la définition de la CNIL, la reconnaissance faciale permet :
- d'authentifier une personne, c’est-à-dire de vérifier qu'une personne est bien celle qu'elle prétend être (pour un contrôle d'accès par exemple) ;
- d’identifier une personne, c’est-à-dire de retrouver une personne au sein d'un groupe d'individus, dans un lieu, une image ou une base de données.
Elle ne doit pas être confondue avec la détection de visage, déterminant la présence ou non d'un visage dans une image sans s'intéresser à son identité.
Le développement rapide de l’intelligence artificielle (IA) augmente la performance des outils de reconnaissance faciale.
Pour fonctionner, la reconnaissance faciale a besoin d'un fichier rassemblant les données biométriques d'un grand nombre de personnes. Or, ces données biométriques sont des renseignements sensibles. L'existence d'un fichier de données biométriques soulève deux questions :
- quelles sont les personnes fichées ?
- qui peut consulter le fichier de données ?
Des craintes sont ainsi formulées sur les risques d'atteintes à la protection de la vie privée et des libertés publiques. La CNIL a demandé la tenue d'un débat démocratique sur la reconnaissance faciale : "Le sentiment de surveillance renforcée, l’exploitation accrue et potentiellement à grande échelle de données personnelles, pour certaines sensibles (données biométriques), la restriction de la liberté d’aller et de venir anonymement, sont autant de problématiques essentielles pour le bon fonctionnement de notre société démocratique."
Dans un communiqué de presse du 29 octobre 2019, la CNIL précise sa position sur le projet d'expérimentation de portique virtuel de contrôle d'accès par reconnaissance faciale à l'entrée de deux lycées. Elle rappelle en outre que "les traitements de données biométriques sont d’une sensibilité particulière, justifiant une protection renforcée des personnes. Notamment, les dispositifs de reconnaissance faciale sont particulièrement intrusifs et présentent des risques majeurs d’atteinte à la vie privée et aux libertés individuelles des personnes concernées. Ils sont, par ailleurs, de nature à créer un sentiment de surveillance renforcé. Ces risques se trouvent accrus lorsque les dispositifs de reconnaissance faciale sont appliqués à des mineurs".
La sécurité est le secteur le plus intéressé par cette technologie, notamment pour les contrôles d’identité aux frontières, dans les gares et les aéroports ou bien pour identifier des suspects lors d'attaques terroristes.
Les données biométriques sont de plus en plus utilisées à des fins d'authentification. Par exemple, de nouveaux smartphones ont comme seule option d’identification la reconnaissance faciale. L'emploi de la reconnaissance faciale peut également être utilisée dans le domaine de la santé pour la détection de maladies.
En France, les dispositifs de reconnaissance faciale pour l'authentification existent uniquement pour le traitement des antécédents judiciaires (TAJ) et le système de passage rapide aux frontières extérieures (Parafe).
Des expérimentations ont été mises en place, notamment :
- lors du carnaval de Nice en 2019 (vidéosurveillance placée à l’un des portiques d’accès du carnaval. Environ 5 000 personnes ont accepté de fournir une photographie de leur visage. Plusieurs scénarios ont été testés comme la recherche d’enfants perdus dans la foule ou encore la reconnaissance de personnes volontaires au milieu du carnaval...) : la restitution de cette expérience par la ville souligne un taux de fiabilité élevé ;
- à l’Olympique de Marseille en 2021 (reconnaissance faciale de personnels accrédités, pour empêcher tout accès frauduleux et améliorer la fluidité des flux) : selon la CNIL, les conditions de protection des données n'étaient pas remplies.
Toutefois, le test a révélé la nécessité de compléter le cadre juridique actuel concernant les nouvelles technologies de surveillance. Par exemple, aucune disposition légale n'autorise la mise en place d’expérimentations de dispositifs de reconnaissance faciale à grande échelle.
Il n'existe pas de cadre juridique précis.
L'usage de la reconnaissance faciale doit respecter le réglement général sur la protection des données (RGPD) qui encadre le traitement des données personnelles. Le consentement libre est obligatoire pour récolter les données nécessaires à l’usage de la reconnaissance faciale. Le recours à une identification biométrique ne peut pas être imposé à un individu et les données récoltées ne peuvent pas être conservées par la suite.
Par ailleurs, la directive "Police-Justice" d'avril 2016 autorise le traitement de données biométriques pour identifier une personne uniquement "en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée" et lorsqu’il est autorisé par le droit de l’Union ou le droit d’un État membre.
Un rapport d'information (avril 2023) sur les enjeux de l’utilisation d’images de sécurité dans le domaine public dans une finalité de lutte contre l’insécurité a affirmé l'urgence de légiférer pour poser un cadre à la reconnaissance biométrique et l'intelligence artificielle. Les rapporteurs recommandent l'autorisation de la reconnaissance faciale "pour des cas d’usages très limités afin de tenir compte des réticences au sein de la société" (pour certains cas d’extrême urgence ou des recherches sensibles et sous le contrôle de l’autorité judiciaire, un traitement en temps réel dans l’espace public pour les forces d’intervention et le renseignement). Le mode de gouvernance reste à définir.
Une proposition de loi adoptée en première lecture par le Sénat le 12 juin 2023 envisage ainsi de limiter l'utilisation de technologies liées à la reconnaissance faciale. Cette proposition de loi fait suite à un rapport du Sénat de 2022 qui proposait d'encadrer l’usage de la reconnaissance faciale, notamment l'instauration de limites avec trois principes :
- le principe de subsidiarité, pour qu'elle ne soit utilisée que lorsqu’elle est vraiment nécessaire ;
- le principe d’un contrôle humain systématique, la reconnaissance faciale devant être limitée à une aide à la décision ;
- le principe de transparence pour que son usage ne se fasse pas à l’insu des personnes.
Afin d’éviter d’autres dérives qui pourraient accroître la surveillance des populations, le document recommandait d'interdire :
- la notation sociale (empêcher la surveillance des comportements des consommateurs dans les espaces commerciaux) ;
- la catégorisation d’individus en fonction de l’origine ethnique, du sexe ou de l’orientation sexuelle (sauf dans le cadre de recherches scientifiques et sous réserve de garanties appropriées) ;
- la surveillance à distance en temps réel dans l'espace public sauf exceptions très limitées au profit des forces de sécurité (surveillance de manifestations ou des abords de lieux de culte).
La CNIL a un rôle consultatif dans l’utilisation de cette technologie au sein de l’espace public. L'institution a rendu plusieurs avis sur la question, notamment :
- sur l'utilisation des drones par la police ou la gendarmerie, par exemple. La CNIL a rappelé en avril 2023, que les caméras aéroportées ne peuvent "ni procéder à la captation du son, ni comporter de traitements automatisés de reconnaissance faciale" ;
- dans une délibération du 18 octobre 2018, la CNIL, saisie par le ministre de l'intérieur pour avis, juge l’application de lecture de l'identité d'un citoyen en mobilité (Alicem) non conforme au RGPD. Le refus de passer par la reconnaissance faciale bloque la création d’une identité numérique et aucune alternative à la reconnaissance faciale n'est proposée pour créer une identité numérique. En conséquence, "le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD."
Elle rappelle aussi que tout projet d’utilisation de cette technologie doit faire l’objet d’une analyse d’impact lorsqu’il est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques.
Vers une première réglementation européenne sur l'IA
Le Contrôleur européen de la protection des données (CEPD) a salué la proposition de la Commission européenne en date d'avril 2021 pour une nouvelle réglementation sur l'intelligence artificielle (IA). Cette première réglementation européenne sur l'IA rappelle l'interdiction de principe de l'usage de l'identification biométrique à distance dans les espaces publics en dehors de cas spécifiques relevant de la sécurité des personnes ou du pays (rechercher un enfant disparu, prévenir une menace terroriste imminente). L'utilisation de ce système doit être autorisée par une instance judiciaire. Cette utilisation est également soumise à certaines limitations sur :
- la durée ;
- la portée géographique ;
- et les bases de données consultées.
La mise en place du service numérique France identité doit permettre de garantir son identité officielle et de s’authentifier en ligne avec la même sécurité que la carte d’identité papier. L'usager peut ainsi utiliser plusieurs services publics comme les impôts ou la sécurité sociale.
Cet outil, basé sur la nouvelle carte d’identité électronique, associe trois éléments :
- la puce de la carte d’identité qui comprend les données d'identité (nom, prénom, date et lieu de naissance, sexe) ;
- le code personnel de la carte ;
- une application pour utiliser son état civil et prouver son identité dans le monde numérique.
La CNIL est favorable à cette "identité numérique d’État de haut niveau", qui renforce "la sécurité des procédures". Pour la CNIL, la généralisation de l’usage de FranceConnect soulève cependant régulièrement la question de l’utilisation proportionnée d’un service d’identité numérique régalien pour des usages de la sphère privée.
