Actualité > À la une
À la une
Libertés fondamentales - droits de l'homme
Reconnaissance faciale : enjeux présents et à venir
Le 17 octobre 2019, la Commission nationale de l’informatique et des libertés (CNIL) considérait comme contraire aux exigences posées par le droit de la protection des données personnelles la mise en place d’une technologie de reconnaissance faciale de lycéens à l’entrée de leur établissement afin d’en fluidifier et d’en faciliter l’accès. Cette décision est l’occasion de revenir sur l’état du droit vis-à-vis du développement de plus en plus imminent de cette technologie.
La reconnaissance faciale ne suscite guère l’indifférence : mythes, craintes ou fantasmes y sont associés, sans doute liés à une méconnaissance de l’état de l’art. Les récentes prises de position de la CNIL permettent de déconstruire le mythe lié à la reconnaissance faciale et invitent à réfléchir sur les enjeux qui en résultent.
■ Qu’est-ce que la reconnaissance faciale ?
La reconnaissance faciale consiste à reconnaître une personne grâce à son visage. N’entrent pas dans ce dispositif les technologies de détection automatique de visages ou d’expressions, tant qu’elles ne sont pas associées à un mécanisme de reconnaissance d’une personne. Dès lors, un appareil photo « intelligent » qui se déclenche au moment où il détecte un sourire n’est pas une technologie de reconnaissance faciale. En revanche, le dispositif mis en place par Facebook et décrit ci-après constitue une reconnaissance faciale : « La reconnaissance faciale sert à analyser les photos et les vidéos sur Facebook dans lesquelles, d’après nous, vous êtes susceptible d’apparaître, comme votre photo de profil ou les photos et les vidéos sur lesquelles vous avez été identifié(e) » (v. « En quoi consiste la reconnaissance faciale sur Facebook et comment fonctionne-t-elle ? » dans Facebook.com / Pages d’aides / Utilisation de Facebook / Photos / Identification).
■ Comment fonctionne la reconnaissance faciale ?
La reconnaissance faciale reste une méthode statistique. Elle consiste à créer un modèle appelé « gabarit » à partir de photos ou vidéos préexistantes afin de déterminer les caractéristiques du visage. Il suffit ensuite pour le robot de comparer l’image qui lui est soumise avec ce gabarit pour déterminer le degré de correspondance. En fonction du paramétrage et du degré de performance, le robot aura des critères de correspondance plus ou moins restreints. A ce titre, la CNIL soulève que la reconnaissance faciale « comporte ainsi nécessairement des “faux positifs” (une personne est reconnue à tort) et des “faux négatifs” (le dispositif ne reconnaît pas une personne qui devrait l’être) » (CNIL, Reconnaissance faciale : pour un débat à la hauteur des enjeux, Communiqué du 15 nov. 2019).
■ Quelles sont les fonctions de la reconnaissance faciale ?
La CNIL a relevé deux fonctions : d’une part, « l’authentification d’une personne, qui vise à vérifier qu’une personne est bien celle qu’elle prétend être », et d’autre part, « l’identification d’une personne, qui vise à retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données » (CNIL, Communiqué du 15 nov. 2019, préc.). L’authentification permet, par exemple, de déverrouiller un téléphone tandis que l’identification pourrait permettre de retrouver une personne recherchée.
■ Quels sont les risques ?
Quatre principaux risques ont été décelés par la CNIL (CNIL, Communiqué du 15 nov. 2019, préc.). Premièrement, les données traitées par un dispositif de reconnaissance faciale sont des données sensibles, qui identifient la personne de manière « permanente dans le temps et dont elle ne peut s’affranchir ». A l’inverse d’un mot de passe qui peut être modifié dès la moindre intrusion, l’empreinte laissée par le visage est irrévocable.
Deuxièmement, à l’heure où tout est filmé, photographié et mis en ligne au moyen des réseaux sociaux, il est aisé de se procurer des données de reconnaissance faciales, bien souvent à l’insu de la personne concernée. Nul n’est à l’abri de se retrouver sur la photo ou vidéo d’un inconnu, sans savoir si ce contenu fera l’objet d’un traitement biométrique.
Troisièmement, et la CNIL insiste sur ce point, la généralisation des outils de captation d’images risque d’accoutumer les personnes à l’utilisation des technologies de reconnaissance faciale. La CNIL ajoute que « Ce tournant technologique se double d’un changement de paradigme de la surveillance, déjà constaté en de nombreux domaines : le passage d’une surveillance ciblée de certains individus à la possibilité d’une surveillance de tous aux fins d’en identifier certains ». L’espace public, qu’il soit physique ou numérique, doit rester un lieu où il est possible d’être anonyme. La CNIL cite à ce titre quelques exemples de libertés qui s’exercent grâce à cet anonymat : « droit à la vie privée et à la protection des données personnelles, mais également liberté d’expression et de réunion, droit de manifester, liberté de conscience, libre exercice des cultes ». Un droit à l’anonymat est effectivement de plus en plus revendiqué sur la sphère publique. Fort heureusement, des mécanismes de protection existent (v. ci-dessous « quels sont vos droits ? »).
Quatrièmement, la reconnaissance faciale n’est pas une technologie infaillible puisque la manière dont elle fonctionne repose sur une méthode comparative et statistique. Il a par exemple été démontré que la performance du robot pouvait varier en fonction du sexe ou de l’origine ethnique de la personne.
■ Quels sont vos droits ?
Le Règlement général sur la protection des données (Règl. [UE] 2016/679 du 27 avr. 2016, dit RGPD) et la loi « Informatique et Libertés » (L. n° 78-17 du 6 janv. 1978) encadrent déjà la reconnaissance faciale à travers la notion de donnée biométrique. Ces données, « relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique » (RGPD, art. 4, § 14), regroupent par exemple les empreintes digitales. Elles sont considérées comme des données sensibles, qui sont par principe soumises à une interdiction de traitement (RGPD, art. 9 §1 ; L. n° 78-17, art. 6, I), sauf exceptions strictement encadrées (RGPD, art. 9 §2 ; L. n° 78-17, art. 6, II et III).
En toutes circonstances, la personne concernée dispose d’un droit d’accès, afin de savoir si ses données font l’objet d’un traitement et si oui, dans quelles circonstances (RGPD, art. 15), d’un droit de rectification (RGPD, art. 16), d’un droit à l’effacement (RGPD, art. 17), d’un droit à la limitation du traitement (RGPD, art. 18) et d’un droit d’opposition (RGPD, art. 21). Plus spécifiquement, si la reconnaissance faciale a pour finalité de faire faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, la personne concernée dispose d’un droit à ne pas faire l’objet d’un tel traitement (RGPD, art. 22).
■ Quels sont les enjeux à venir ?
Les risques associés à la reconnaissance faciale ne doivent pas occulter ses éventuels bienfaits. Comme tout bouleversement technologique, un temps d’adaptation est nécessaire afin de mesurer justement l’équilibre entre innovation et préservation des droits. La CNIL se pose à ce titre en tant que régulateur et ne s’oppose pas à la mise en place de dispositifs de reconnaissance faciale pourvu qu’elle respecte trois exigences : « tracer des lignes rouges, avant même tout usage expérimental », qui sont en substance le respect de la réglementation en matière données biométriques ; « placer le respect des personnes au cœur de la démarche » ; et « adopter une démarche sincèrement expérimentale (CNIL, Communiqué du 15 nov. 2019, préc.). En marge de ces expérimentations, la CNIL en appelle à la tenue d’un débat national et à des choix politiques clairs afin de garder la main sur cette technologie.
Références
■ Fiches d’orientation Dalloz : Droit à l'effacement des données à caractère personnel ; Droit à la limitation du traitement des données à caractère personnel ; Droit d'accès aux données à caractère personnel ; Droit d'opposition à un traitement de données à caractère personnel ; Profilage
Autres À la une
-
Droit des obligations
[ 5 décembre 2024 ]
Location financière : nullité du contrat pour défaut de contrepartie personnelle du dirigeant
-
Droit de la santé
[ 4 décembre 2024 ]
Précisions sur l’indemnisation des dommages imputables aux vaccinations obligatoires
-
Droit des biens
[ 3 décembre 2024 ]
Possession versus propriété : la prescription acquisitive trentenaire l’emporte sur le titre publié
-
Droit bancaire - droit du crédit
[ 2 décembre 2024 ]
Le dirigeant avalisant un billet à ordre par une double signature associée au cachet de la société ne s’engage pas personnellement
-
Introduction au droit
[ 29 novembre 2024 ]
Point sur la charge de la preuve
- >> Toutes les actualités À la une