Un cadre juridique prêt à s’ouvrir ?
Éric Barbry, avocat au cabinet Racine, avait fait le constat en octobre 2019 dans nos colonnes (Face au Risque n° 556) que le cadre juridique contraignant de la reconnaissance faciale – ou plus précisément celui de la biométrie – freinait son utilisation en France. Qu’en pense-t-il aujourd’hui ? La technologie de la reconnaissance faciale est-elle vraiment interdite en France ? La loi d’expérimentation promue par le Sénat devrait venir préciser un certain nombre de points restant en suspens.
Reconnaissance faciale
Les usages pérennes de la reconnaissance faciale dans les espaces accessibles au public sont pour l’heure extrêmement limités. Plusieurs expérimentations ont déjà été menées par la ville de Nice, par Aéroports de Paris ou encore par la RATP qui avait installé en 2020, à l’aune du premier confinement, un dispositif permettant à partir d’images de vidéosurveillance de détecter les usagers masqués ou non dans la station de métro Châtelet-Les Halles à Paris. Mais au final, aucune de ces expérimentations ne s’est concrétisée par une mise en oeuvre à plus grande échelle.
Une loi d’expérimentation
Pour autant, le cadre juridique applicable en 2019, qui est toujours le même en 2022, n’interdit pas la reconnaissance faciale. Au sens du RGPD, il entre dans la catégorie des données biométriques. Or la mise en oeuvre de traitements sur la base de techniques biométriques n’est pas interdite en soi mais entre dans la catégorie des « données particulières » dont la mise en oeuvre est encadrée par 10 exceptions. Parmi celles-ci, deux peuvent s’appliquer : le consentement et « des motifs d’intérêt public important ».
De fait, en pratique, le rejet de la reconnaissance faciale était alors plus une question psychologique ou politique mais non juridique. La seule issue possible, aussi bien pour les entreprises développant des technologies de reconnaissance faciale ou pour celles qui souhaitent la mettre en oeuvre, reposait donc sur une volonté politique… Mon article de 2019 se terminait par la formule suivante : « Il suffirait donc que le Gouvernement se saisisse de la question et précise sa pensée sur les conditions d’utilisation de la reconnaissance faciale pour faciliter son usage… ou le condamner définitivement… » Trois années plus tard c’est enfin chose faite, même si je n’y suis pour rien…
En effet, le 11 mai 2022, un groupe de travail de la Commission des lois du Sénat a présenté un rapport sur les conditions d’utilisation de la reconnaissance faciale proposant notamment une loi d’expérimentation de trois ans.
À l’approche notamment des Jeux olympiques de 2024 organisés à Paris, il était plus que temps de se saisir du sujet.
Il ne s’agit en réalité ni d’une approbation totale ni d’un rejet en bloc de cette technologie mais bien d’un encadrement « au cas par cas », avec limitation géographique et dans le temps, 80 % du rapport étant consacré aux « lignes rouges ».
Lorsque le recours à la reconnaissance faciale relèvera des forces de sécurité intérieure, son utilisation sera autorisée par un magistrat ou un préfet.
Éric Barbry
Avocat au cabinet Racine
Des principes et des interdits
Le principal risque étant d’ouvrir la voie à une société de surveillance, quatre interdictions principales ont été posées (sous réserve d’exceptions) :
- l’interdiction de la notation sociale ;
- l’interdiction de la catégorisation d’individus en fonction de l’origine ethnique, du sexe ou de l’orientation sexuelle ;
- l’interdiction de l’analyse d’émotions ;
- l’interdiction de la surveillance biométrique à distance en temps réel dans l’espace public.
Les rapporteurs préconisent également de poser trois principes généraux :
- le principe de subsidiarité, pour que la reconnaissance biométrique ne soit utilisée qu’en cas de nécessité avérée ;
- le principe d’un contrôle humain systématique afin qu’il ne s’agisse que d’une aide à la décision ;
- le principe de transparence pour que l’usage des technologies de reconnaissance faciale ne se fasse pas à l’insu des personnes.
Différents types de contrôles
Au-delà de ces principes et limites généraux, le rapport prévoit des mesures concrètes telles qu’un régime de contrôle a priori et a posteriori.
Pour ce qui est du contrôle a priori, le rapport distingue deux situations. Lorsque le recours à la reconnaissance faciale relèvera des forces de sécurité intérieure, son utilisation sera autorisée par un magistrat ou un préfet. En cas de déploiement par un acteur privé dans un lieu accessible au public, la Cnil sera compétente.
En ce sens, les pouvoirs de la Cnil se voient réaffirmés.
D’une part, elle serait automatiquement consultée : les analyses d’impact seraient obligatoires pour les usages publics et les autorisations préalables pour les usages privés. Aussi, elle serait compétente pour exercer un contrôle a posteriori des usages, conformément à ses missions habituelles.
Il conviendra d’ailleurs d’être très vigilant et de veiller à un strict respect des dispositions du RGPD au regard des derniers contrôles réalisés par la Cnil en la matière. En effet, en février 2021, la Commission a adressé un avertissement à un club sportif qui envisageait de recourir à un système de reconnaissance faciale afin d’identifier automatiquement les personnes faisant l’objet d’une interdiction commerciale de stade. En décembre 2021, elle a mis en demeure une société de cesser son traitement et de supprimer les données collectées dans un délai de 2 mois. Celle-ci avait développé un logiciel de reconnaissance faciale dont la base de données reposait sur l’aspiration de photographies et de vidéos publiquement accessibles sur internet.
La demande de consentement
Enfin, le rapport apporte un point de vigilance particulier à l’usage de cette technologie par les acteurs privés. Ces derniers devront être extrêmement limités et se baser sur le consentement des personnes concernées. En particulier, les rapporteurs souhaitent interdire toute identification sur la base de données biométriques en temps réel ou en temps différé par des acteurs privés.
Les acteurs privés devront être extrêmement limités et se baser sur le consentement des personnes concernées.
Trois ans après mon premier article, le sujet est devenu un vrai sujet d’actualité. La Cnil a d’ailleurs lancé en mars 2022 une consultation publique sur les caméras dites intelligentes ou augmentées.
Toutefois, si les avancées législatives tendent à davantage intégrer cette technologie dans nos usages, rien n’est pour autant gagné. Il suffit de lire les lignes directrices publiées le 12 mai dernier par le Comité européen de la protection des données (CEPD) qui a, à cette occasion, réitéré son appel à une interdiction de la technologie de reconnaissance faciale dans certains cas.
Reconnaissance faciale : impossibilité juridique ou frein psychologique ?
Tel était le titre du précédent article d’Éric Barbry publié dans Face au Risque (n° 556, octobre 2019). L’auteur exposait que depuis le 25 mai 2018 (date d’entrée en vigueur du RGPD), la mise en oeuvre d’un dispositif de reconnaissance faciale obéissait à un double cadre juridique : le RGPD et la réglementation sur la vidéoprotection. Dans le point 14 de l’article 4, le RGPD définit la reconnaissance faciale comme une donnée biométrique. Or, à ce titre, la reconnaissance faciale entre dans la catégorie des données dites « particulières » de l’article 9 du RGPD. Cet article 9 précise que le traitement des données biométriques est par nature interdit, sauf exceptions. Le consentement de la personne et les motifs d’intérêt public important font partie de ces exceptions, qui peuvent très bien autoriser l’utilisation de la reconnaissance faciale pour une entreprise. La mise en place nécessite cependant 5 points essentiels :
- la justification à l’exclusion soit du RGPD, soit de constituer une exception à l’article 9 ;
- la réalisation d’une analyse d’impact relative à la protection des données (voir le site de la Cnil) ;
- l’information des personnes à propos de l’utilisation de leurs données personnelles et les finalités du dispositif ;
- la mise en place d’un haut niveau de sécurité pour le dispositif (stockage, conservation des données…) ;
- la désignation d’un délégué à la protection des données, même si cela n’est pas obligatoire.
B. J.
Article extrait du n° 584 de Face au Risque : « Reconnaissance faciale » (juillet-août 2022).
Éric Barbry
Avocat associé, expert IP/IT & Data protection, Racine Avocats
Les plus lus…
Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Commandez la version papier du magazine Face au Risque pour un confort de lecture optimal. N.B. Les frais de port sont de 7,50 € TTC, quel que soit le nombre de magazines commandés.Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Cette version du magazine numérique vous est proposée en consultation de type "flipbook" (tourné de page, zoom). Chaque numéro acheté sera consultable à partir de l'onglet "Mes magazines numériques" présent dans votre compte. N.B. Un flipbook n'est pas un fichier PDF téléchargeable.En 2024, se tiendra un nombre inédit de scrutins et près de la moitié de la population mondiale sera…
La solution française de coffre-fort numérique Lockself a publié le 30 avril 2024 la première édition de son baromètre…
Publiée au JO le 23 avril 2024, la loi 2024-364 vise à transposer un grand nombre de dispositions adoptées…
Près de 600 000 accidents du travail et 789 décès ont été déclarés en 2022 en France. Devant l’importance…