Reconnaissance faciale : quel modèle de société voulons-nous ?

Ces technologies toujours plus sophistiquées et efficaces viennent questionner les démocraties et leurs valeurs alors que le terrorisme, la criminalité mais également la crise sanitaire amènent les États à se doter de moyens de contrer les uns et de tenter d’endiguer l’autre.

Sur un autre plan de grands groupes privés utilisent également ces technologies à des fins commerciales, par exemple, pour étudier les expressions du visage des clients qui font la queue dans un supermarché ou encore pour identifier les amis d’une personne afin de les taguer sur les réseaux sociaux.

Selon Emmanuel Netter, professeur de droit privé à l’université d’Avignon, « il convient de distinguer les dispositifs d’authentification des personnes qui sont, estime-t-il, bien encadrés par le règlement général sur la protection des données (RGPD), la Commission nationale de l’informatique et des libertés (CNIL) et les tribunaux afin de protéger la vie privée, des dispositifs d’identification, surtout utilisés par les forces de l’ordre, et qui sont, eux, beaucoup plus inquiétants ».

Dans le cas de l’authentification du visage du possesseur, pour un téléphone portable ou un ordinateur, l’opération de vérification se passe entièrement en local – aucune information n’est envoyée à une base de données centrale – et n’implique évidemment pas un consentement. « Le RGPD ne s’applique pas pour ces usages inoffensifs, rappelle Emmanuel Netter. » En revanche, si une entreprise ou un établissement public veut mettre en place un système de reconnaissance faciale, le RGPD s’applique et la CNIL dispose de moyens pour en faire respecter les dispositions. Ainsi, un lycée qui a voulu mettre en place un dispositif pour sécuriser l’entrée de l’établissement au moyen d’une caméra et d’un portillon s’est heurté à deux problèmes juridiques. D’une part, celui du consentement : comment les élèves d’un établissement peuvent-ils donner un consentement réellement libre ? La question se pose d’ailleurs tout autant pour les salariés d’une entreprise. D’autre part, celui lié au principe de minimisation : le système de sécurisation doit être le moins attentatoire possible à la vie privée, la quantité de données mise en cause la plus faible possible. Dans ce cas précis, le lycée avait d’autres moyens de sécuriser son entrée en embauchant davantage de surveillants qui vérifieront les cartes de l’établissement comportant la photo de chaque élève. Quant aux entreprises, la CNIL a rédigé à leur attention un règlement type concernant la biométrie au travail. Là également, le principe de minimisation s’applique : l’entreprise peut mettre en place un dispositif d’accès biométrique, pour accéder à un local, par exemple, si la mise en place de moyens moins intrusifs n’est pas possible. « L’encadrement de ces techniques est satisfaisant dans ces contextes. Certes le caractère indispensable du moyen mis en œuvre par rapport à la finalité recherchée est une notion très élastique mais les textes ne peuvent pas prévoir toutes les situations. Il reviendra à la jurisprudence de la CNIL et des tribunaux de préciser cette notion au fil du temps, remarque Emmanuel Netter. » Ce dernier est en revanche beaucoup plus inquiet par rapport à l’utilisation des systèmes d’identification et aux conséquences sur les libertés fondamentales des citoyens.

Il faut distinguer les dispositifs d’authentification des personnes qui sont bien encadrés par le RGPD, la CNIL et les tribunaux afin de protéger la vie privée, des dispositifs d’identification, surtout utilisés par les forces de l’ordre, et qui sont, eux, beaucoup plus inquiétants, selon Emmanuel Netter, professeur de droit privé à l’université d’Avignon.

Les systèmes d’identification permettent « d’attraper » une identité au vol (emploi de caméras fixes et de drones avec fonctionnalité de reconnaissance faciale utilisées lors d’une manifestation, d’un évènement sportif, etc.) sans que la personne le sache (sans « friction ») et d’envoyer l’image en temps réel à une base de données centrale. En France le fichier de traitement des antécédents judiciaires (TAJ) qui comporterait déjà au moins 3 millions de personnes. « Vu le volume de ce fichier, il y a déjà eu une bascule. Nous ne sommes plus uniquement dans la recherche de terroristes, observe Emmanuel Netter. » Un système d’identification a ainsi été testé lors du carnaval de Nice.

Il semble d’ailleurs que le gouvernement souhaite aller beaucoup plus loin avec le développement de ce type d’expérimentations même si le projet de loi « Sécurité globale » ne mentionne plus la « modernisation de la vidéoprotection ». Or, dans ces domaines le cadre légal n’est plus le RGPD mais la directive police-justice, sphère où la CNIL n’a que très peu de pouvoir. « Le Conseil d’État n’est pas aussi dur que la CNIL sur les sujets police-justice. Quant à la Cour de justice européenne sa saisine est difficile et une affaire peut prendre des années avant d’être jugée. La France va être assez libre sur ses choix en matière d’identification numérique, constate Emmanuel Netter. Il faut se déterminer sur le modèle de société que nous voulons et déconnecter cette question de l’état de l’art technique, prévient-il. » La CNIL réclame un large débat sur les systèmes de reconnaissance faciale. Sera-t-elle entendue ?