Reconnaissance faciale : le point de vue de la Cnil

M. D. F. Les données biométriques sont des données uniques, attachées à la personne et inchangeables. Les données extraites des visages touchent aux caractéristiques physiques, et à l’intimité des personnes. Si une base de données de mots de passe est compromise, on remplace le mot de passe. Pour une base de données biométriques, la personne ne pourra pas changer de visage. Toute violation de ces données, tout mésusage ferait peser des risques importants (blocage d’accès à un service, usurpation d’identité, etc.). C’est un point central qui justifie le cadre strict du régime resserré depuis 2018 par les textes en matière de protection des données (RGPD, loi Informatique et Libertés, directive dite « Police-Justice »). Par ailleurs, la reconnaissance faciale repose sur une probabilité de reconnaissance des personnes, et non une certitude absolue, de correspondance entre les gabarits biométriques des visages comparés. Les variations de performance peuvent donc avoir des conséquences importantes pour les personnes mal reconnues (par exemple : refus d’accès à un lieu ou à un service). Enfin, dans l’environnement numérique actuel, où les visages des personnes sont disponibles dans de multiples bases de données et captés par de nombreuses caméras, la reconnaissance faciale peut devenir un outil particulièrement omniprésent et intrusif.

M. D. F. Avec l’entrée en vigueur du RGPD, et le principe de responsabilisation des acteurs, les traitements de données biométriques ne sont plus soumis à autorisation de la Cnil. C’est désormais le responsable de traitement qui doit s’assurer de la conformité de son traitement, notamment en réalisant une analyse d’impact sur la protection des données (AIPD). La Cnil est parfois saisie de demandes d’accompagnement d’acteurs concernant des projets de mise en œuvre, souvent expérimentale, de dispositifs de reconnaissance faciale. Elle aide alors le responsable concerné en lui indiquant ce qui est faisable, à quelles conditions ou ce qui ne l’est pas.

M. D. F. Côté réglementation, la Cnil suit de près le projet de règlement européen sur l’IA afin de s’assurer notamment de la cohérence avec le cadre existant posé par le RGPD. Elle a également été impliquée dans les lignes directrices publiées par le Comité européen à la protection des données (CEPD) concernant l’usage de la reconnaissance faciale dans le cadre de la directive dite « Police-Justice ». Dans l’hypothèse d’une loi d’expérimentation, comme proposée par le Sénat, la Cnil jouera son rôle de conseil auprès des pouvoirs publics et, autant que nécessaire, de contrôle du respect de la loi.

Concernant les usages, à court terme, il est souvent évoqué le déploiement de dispositifs pour assurer la sécurité des grands événements. Sur les cas d’usages plus classiques, qui pourraient se multiplier, la Cnil a alerté dès 2019 sur le risque de banalisation et d’accoutumance des personnes à ce type de dispositif très intrusif par nature et la nécessité d’un débat démocratique sur le sujet. Ça peut être tout à fait conforme réglementairement, proportionné dans un cadre donné, mais s’il y en a dans toutes les autres sphères de notre vie quotidienne, c’est l’accumulation qui peut créer une atteinte plus forte.

La Cnil a également alerté sur les autres technologies avec lesquelles peuvent s’interfacer les systèmes de reconnaissance faciale, comme les caméras augmentées. Le débat autour de la reconnaissance faciale doit tenir compte de ce continuum technologique. On peut installer au départ un dispositif pour un objectif « x » complètement encadré, proportionné mais avec un réglage de l’algorithme, on peut aboutir à un usage tout autre beaucoup plus intrusif. Il y a des potentialités données par la technologie qui sont très importantes, mais il faut cependant se prémunir du « solutionnisme technologique » qui peut, en réalité, engendrer plus de problèmes que de solutions.

L’important est d’alerter sur les risques et de regarder le dispositif dans sa globalité.