D'une manière générale, la reconnaissance faciale commence à séduire également sur le Vieux-Continent. L'Allemagne, par la voie de son ministre de l'intérieur Horst Seehofer, prévoyait d'installer ce dispositif dans de nombreuses gares et aéroports, avant d'être contrainte par la coalition (notamment le SPD) à la rétractation. Le gouvernement français quant à lui, s'intéresse également au développement de ce système dans l'hexagone et a un peu d'avance sur son voisin outre Rhin, en devenant le premier pays européen à avoir recours à une telle technologie. C'est d'ailleurs ce même gouvernement qui a lancé l'application Alicem, permettant l'identification par la reconnaissance faciale afin d'accéder à certains services publics[1].
La reconnaissance faciale est déjà présente en substance dans notre vie quotidienne. Notamment à travers les smartphones qui l'utilisent de plus en plus. Que ce soit pour déverrouiller votre téléphone, ou en remplacement d'un compte PIN pour accéder à certaines données personnelles sur de nombreuses applications, la technologie de la reconnaissance faciale a pris de l'ampleur. Au point que les législateurs n'aient pas pu l'anticiper ? 1984 de Georges Orwell n'a jamais paru si proche ...
LA CNIL S'INVITE DANS LES DISCUSSIONS SUR LES ENJEUX SOCIETAUX QUE REVÊT LA RECONNAISSANCE FACIALE[2]
La CNIL définie la reconnaissance faciale comme une technique basée sur les traits du visage qui permet à la fois d'authentifier une personne (vérifier que la personne est celle qu'elle prétend être), mais aussi d'identifier une personne parmi un groupe, une base de données, etc. La reconnaissance faciale n'est néanmoins pas à confondre avec la notion de détection de visage. Cette dernière est plus précisément la technique de caractérisation de la présence ou non d'un visage, sur une image aléatoire sans relation avec le visage détecté.
La technique de la reconnaissance faciale va traiter de données qualifiées de “biométriques”. En d'autres termes, et c'est ainsi que l'article 4 du RGPD le définit, il sera traité des “données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques”.
L'autorité, chargée de protéger les données personnelles et de préserver les libertés individuelles, s'est invitée aux échanges sur l'implémentation en France d'un tel système qui séduit le gouvernement. Elle préconise en effet de tourner le débat méthodologiquement autour de quatre axes :
- premièrement, il faut présenter techniquement ce à quoi correspond la reconnaissance faciale et son utilité;
- deuxièmement, il faut mettre en lumière les divers risques liés à la reconnaissance faciale, autrement dit les risques technologiques, sociétaux, et éthiques;
- troisièmement, il convient de rappeler le cadre juridique qui s'impose autour de cette reconnaissance faciale, ainsi que de son expérimentation;
- enfin, rappeler le rôle de la CNIL en cas de déploiement de ce système, même à titre expérimental .
Dans tous les cas, la CNIL préconise, avant tout recours à cette technologie, une analyse d'impact relative à la protection des données (AIPD). Il s'agit d'un outil qui aide à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD).
UN OUTIL CONTRÔLÉ AU SERVICE DE L'ETAT
Qualifiées de « sensibles », l'utilisation de données biométriques aux fins d'identification d'une personne physique, est, conformément à l'article 9.1 du RGPD, en principe interdite. Dès lors, la reconnaissance faciale, traitant de données biométriques, en fait partie et est donc, par principe, interdite. Toutefois, la réglementation limite cette utilisation à certains cas dans lesquels ce traitement des données peut avoir lieu. Il s'agit notamment des cas dans lesquels la personne concernée a donné son consentement, lorsque ce traitement est rendu nécessaire pour des motifs d'intérêts public ou lorsque le traitement porte sur des données à caractère personnel mais qui sont manifestement rendues publiques par la personne concernée[3].
De par les avantages juridiques et sociaux que confère la reconnaissance faciale, elle reste largement envisagée par les autorités françaises.
D'après le secrétaire d'Etat au Numérique, Cédric O, il existe de nombreuses opportunités à saisir dans l'utilisation de la reconnaissance faciale, notamment « dans le domaine de la santé, des usages privés, de l'ordre public et de la sécurité »[4]. Et selon Christian Estrosi, maire de Nice - également ville la plus vidéosurveillée de France - la reconnaissance faciale serait la nouvelle arme du XXIe siècle. Elle constituerait le moyen le plus efficace pour considérablement réduire la criminalité au sein de la société. En réaction à un sentiment populaire d'insécurité, cette technologie est dès lors de plus en plus utilisée à des fins de surveillance et de sécurité, notamment par les gouvernements et les autorités publiques qui tendent à l'incorporer à des systèmes de vidéosurveillance.
En conséquence, certaines gares en France sont peu à peu équipées d'un système de reconnaissance faciale dans le but d'identifier des individus potentiellement dangereux. Il en est de même avec les aéroports, évitant ainsi les fraudes grâce à un système de comparaison biométrique entre le visage de l'individu et le visage affiché sur le passeport de ce dernier, tout en accélérant les procédures d'embarquement. Un véritable compromis alliant sécurité des voyageurs et régulation du flux de voyageurs.
La reconnaissance faciale échappe donc à l'interdiction d'utilisation de données biométriques lorsqu'elle est mise en place aux fins de garantir l'ordre public et la sécurité, au même titre que simplifier la vérification de l'identité des individus. C'est d'ailleurs pour cette raison qu'en janvier 2018, dans les lycées des villes de Marseille et de Nice, une expérimentation de la « comparaison faciale », basée sur l'analyse d'images vidéo, a été mise en place. Ces systèmes avaient pour objet de « réduire la durée des contrôles » et « contrôler l'usurpation d'identité » ainsi que « détecter le déplacement non souhaité d'un visiteur non identifié »[5].
La reconnaissance faciale répond également à des besoins en matière pénale. En effet, son utilisation est autorisée à des fins de prévention et de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales par la Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016. La présence de caméras de surveillance dans les stades, les rues et les transports, permettent dès lors de faciliter les enquêtes et d'économiser à la fois du temps et de la main-d'œuvre. Ce traitement des données n'est cependant licite qu'en cas de nécessité absolue, lorsqu'elle est autorisée, quand elle vise à protéger les intérêts vitaux d'une personne physique, ou porte sur des données manifestement rendues publiques par la personne concernée.
UNE TECHNOLOGIE AU SERVICE DU CITOYEN MAIS SOUMISE A CERTAINS RISQUES
Un des avantages de l'utilisation de la reconnaissance faciale pour les citoyens tient au fait que cette dernière est déjà largement intégrée dans les smartphones, ordinateurs, ou encore au sein du système bancaire. Cette utilisation permet un service d'authentification plus simple et sécurisé en procédant au déverrouillage de systèmes d'information, mais également en permettant l'achat en ligne via la reconnaissance faciale, processus déjà mis en place par Amazon, MasterCard ou Alibaba. L'entreprise Ingenico a proposé un nouveau système biométrique basé sur l'authentification de l'utilisateur grâce à la photo sur sa carte bancaire. Les citoyens ont désormais la possibilité d'accéder à une zone ou à un service sans avoir à produire de documents.
Cependant, la reconnaissance faciale présente aussi certains risques.
Le risque premier face à cette nouvelle technologie est la mise en danger des libertés individuelles. La CNIL a notamment pointé la mise en danger de la liberté d'aller et venir anonymement et le droit au respect de la vie privée. En effet, la CNIL a considéré que la reconnaissance faciale est un procédé présentant un « caractère intrusif » à l'égard des individus, d'où la mise en danger de leurs libertés publiques précitées[6], consacrées, entre autres, dans la Déclaration des Droits de l'Homme et du Citoyen, mais aussi dans d'autres textes fondamentaux.
En 2018, la région Provence-Alpes-Côte d'Azur avait lancé cette expérimentation de reconnaissance faciale, en partenariat avec le groupe informatique américain Cisco. L'objectif était d'équiper le lycée Ampère de Marseille et Les Eucalyptus de Nice de « dispositifs de contrôle d'accès virtuel ». Des caméras devaient permettre de reconnaître les lycéens afin de leur autoriser l'accès à l'établissement scolaire. Dénoncées par les associations de défense des libertés individuelles face aux nouvelles technologies, ces pratiques ont fait l'objet d'une décision du Tribunal Administratif de Marseille qui les a interdites. Les juges ont retenu le caractère « disproportionné par rapport aux finalités poursuivies ». Il s'agit du premier jugement en France relatif au recours à la reconnaissance faciale[7].
Si la CNIL admet que la reconnaissance faciale n'est pas interdite et n'en est plus « à ses balbutiements », il y a une nécessité à encadrer strictement la reconnaissance faciale, ce qui n'est pas forcément le cas actuellement alors même que l'utilisation de cet outil prend de l'ampleur. Actuellement, la reconnaissance faciale doit respecter la réglementation européenne en matière de traitement des données personnelles. L'Europe avait envisagé en ce début d'année 2020 d'agir face au recours à cette technologie. Un projet de la Commission européenne envisageait la mise en place d'un moratoire de quelques années sur l'utilisation de la reconnaissance faciale, notamment dans les espaces publics[8]. Le rapport dans lequel était envisagé ce moratoire comportait néanmoins de nombreuses exceptions. Ce développement a été fait dans le cadre d'un débat plus large sur les défis de l'intelligence artificielle, avec ses avantages et ses risques. Toutefois, quelques jours après la circulation de l'information relative à cet hypothétique bannissement de la reconnaissance faciale, l'agence Reuters[9] faisait savoir que la Commission de l'Union Européenne[10] avait abandonné cette idée d'interdiction. En effet, elle souhaite obtenir un retour d'information plus complet, et lancer un débat européen sur le sujet plutôt que de prendre une telle mesure. Elle envisage désormais, en ce qui concerne l'utilisation de la reconnaissance faciale, des « exigences spécifiques », et que « l'IA ne peut être utilisée à des fins d'identification biométrique à distance que lorsque cette utilisation est dûment justifiée, proportionnée et assortie de garanties adéquates ». Par conséquent, la Commission en reste sur l'utilisation des textes liés au RGPD pour réglementer l'utilisation de la reconnaissance faciale, en attendant une réglementation plus précise.
Toujours est-il que même si la reconnaissance faciale n'en est plus à ses premiers balbutiements, elle n'est pas pour autant complètement démocratisée et fait encore l'objet d'une certaine méfiance.
[1] https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Alicem-la-premiere-solution-d-identite-numerique-regalienne-securisee
[2] https://www.cnil.fr/fr/recherche/Reconnaissance%20faciale
[3] “Reconnaissance faciale : quelle règlementation ?”, Arnaud Dimeglio, Village de la Justice, 15 mai 2019
[4] https://www.lefigaro.fr/experimenter-la-reconnaissance-faciale-avant-que-les-circonstances-ne-l-imposent-20200225
[5]https://www.lesnumeriques.com/vie-du-net/reconnaissance-faciale-pour-controler-entree-lycees-n81763.html
[6] https://www.alain-bensoussan.com/avocats/videosurveillance-reconnaissance-faciale/2017/02/08/
[7] https://www.usine-digitale.fr/article/la-justice-francaise-dit-non-aux-dispositifs-de-reconnaissance-faciale-dans-les-lycees.N935114
[8] https://www.reuters.com/article/us-eu-ai/eu-mulls-five-year-ban-on-facial-recognition-tech-in-public-areas-idUSKBN1ZF2QL
[9] https://www.reuters.com/article/us-eu-ai/eu-drops-idea-of-facial-recognition-ban-in-public-areas-paper-idUSKBN1ZS37Q
[10] https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_fr.pdf
Chronique « Droit, Juriste et Pratique du Droit Augmentés »
Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
L'EDHEC Business School dispose de deux atouts pour contribuer aux réflexions sur ces sujets. D'une part, son centre de recherche LegalEdhec, dont les travaux – reconnus – à l'intersection entre le droit et la stratégie, et portant sur le management des risques juridiques et la performance juridique, l'amènent aujourd'hui à lancer son nouveau projet A3L (Advanced Law, Lawyers and Lawyering). D'autre part, ses étudiants, et en particulier ceux de sa Filière Business Law and Management (en partenariat avec la Faculté de droit de l'Université Catholique de Lille) et de son LLM Law & Tax Management, dont la formation et les objectifs professionnels les placent au cœur de ces enjeux du digital.
