Reconnaissance faciale : pour un débat à la hauteur des enjeux
Cette technologie est de plus en plus présente dans le débat public aux niveaux national, européen et mondial. La reconnaissance faciale soulève en effet des questions inédites touchant à des choix de société. C’est pourquoi la CNIL avait appelé, en 2018, à un débat démocratique sur ce sujet, ainsi que plus largement sur les nouveaux usages de la vidéo. Elle souhaite aujourd’hui contribuer à ce débat, en présentant les éléments techniques, juridiques et éthiques qui doivent selon elle être pris en compte dans l’approche de cette question complexe.
La reconnaissance faciale appelle des choix politiques : sur le rôle dévolu à la technologie, sur ses effets sur les libertés fondamentales des individus, sur la place de l’humain à l’ère numérique. Ces choix dessineront certains contours du monde de demain. Le débat ne doit donc pas se résumer à un examen technique des potentialités d’usage et de l’efficacité de cette technologie. Il ne peut davantage avoir pour simple objectif de savoir comment rendre acceptable par les citoyens une technologie dont la nécessité s’imposerait de manière évidente. Car tel n’est pas le cas : le sujet est complexe et mérite un débat lucide et approfondi. C’est donc l’objet du débat que de déterminer dans quels cas la reconnaissance faciale est nécessaire dans notre société démocratique, et ceux dans lesquels elle ne l’est pas.
Le débat sur cette technologie doit donc être proactif et prospectif, afin de garder la main sur le modèle de société que nous souhaitons. L’objectif est d’éviter de découvrir un jour, après coup, que, par l’accumulation progressive de nouveaux cas d’utilisation de cette technologie, par sa diffusion à bas bruit dans la vie quotidienne des citoyens, la société aurait changé sans que ce changement ait fait au préalable l’objet d’un débat d’ensemble et d’un choix politique délibéré.
C’est pourquoi la CNIL, forte de son expertise en matière de reconnaissance faciale et garante du pacte républicain sur le numérique posé par la loi « Informatique et Libertés » et le RGPD, souhaite apporter une première contribution, de méthode, à ce débat. Cette contribution, examinée par les membres du collège de la CNIL le 7 novembre 2019, poursuit quatre objectifs :
- présenter, techniquement, ce qu’est la reconnaissance faciale et à quoi elle sert, afin que l’objet du débat soit clair pour tous. Cette technique biométrique de reconnaissance automatisée d’une personne, à partir des caractéristiques de son visage, ne doit en effet pas être confondue avec d’autres techniques de traitement des images (par exemple, avec des dispositifs de « vidéo intelligente » qui permettent de détecter des évènements ou des émotions sans reconnaître, pour autant, les individus), avec lesquelles elle peut, parfois, se combiner. Surtout, derrière « la » reconnaissance faciale, il existe une grande diversité d’usages possibles, allant du déverrouillage d’ordiphone à la reconnaissance d’une personne recherchée par les forces de police dans une foule, en passant par l’ouverture de comptes bancaires. Ces utilisations ne soulèvent pas toutes les mêmes enjeux, notamment en termes de contrôle des personnes sur leurs données.
Cet état des lieux nuancé s’impose afin d’éviter tout amalgame et tout jugement d’ensemble sur cette technologie. Il faut raisonner au contraire cas d’usage par cas d’usage.
- mettre en lumière les risques technologiques, éthiques, sociétaux, liés à cette technologie. Ces risques sont liés à la nature biométrique de la reconnaissance faciale : les données extraites des visages touchent au corps, à l’intimité des personnes. Toute violation de données, tout mésusage ferait peser des risques importants (blocage d’accès à un service, usurpation d’identité, etc.). La reconnaissance faciale repose en outre sur une probabilité, et non une certitude absolue, de correspondance entre les visages comparés et le « gabarit » de référence. Les variations de performance peuvent donc avoir des conséquences très importantes pour les personnes mal reconnues.
Un autre enjeu est que cette technologie permet le traitement de données à distance, sans contact, voire à l’insu des personnes. Dans l’environnement numérique actuel, où les visages des personnes sont disponibles dans de multiples bases de données et captées par de nombreuses caméras, la reconnaissance faciale peut devenir un outil particulièrement omniprésent et intrusif. Le renforcement de la surveillance permis par cette technologie peut enfin réduire l’anonymat dont disposent les citoyens dans l’espace public.
Cette évaluation des risques est nécessaire pour déterminer ceux qui ne sont pas acceptables dans une société démocratique et ceux qui peuvent être assumés moyennant des garanties appropriées.
- rappeler le cadre s’imposant aux dispositifs de reconnaissance faciale et à leurs expérimentations. Les législateurs européen (RGPD, directive « police-justice ») et national (modifications de la loi « Informatique et Libertés » en 2018) ont très récemment encadré, plus strictement qu’auparavant, les dispositifs biométriques dans le but d’adapter le niveau de protection des données aux nouveaux usages du numérique. Tout usage, y compris expérimental, de la reconnaissance faciale devra donc respecter ce cadre juridique modernisé.
Conformément à ces règles, la nécessité de tels dispositifs devra, au cas par cas, être établie : la reconnaissance faciale ne peut être utilisée sans impératif particulier de forte fiabilité de vérification de l’identité des personnes. Ces textes exigent également de s’assurer de la proportionnalité des moyens déployés et de veiller à la protection particulière dont doivent bénéficier les enfants. Ils imposent de placer le respect des personnes au cœur des dispositifs, par exemple en recueillant leur consentement ou en leur garantissant le contrôle de leurs données. C’est en appliquant ces principes, récemment réaffirmés au niveau européen, que la CNIL a déjà eu l’occasion d’admettre dans leur principe certains usages tout en encadrant leurs modalités pratiques (contrôles aux frontières dans les aéroports), et d’en refuser d’autres (contrôle d’accès d’élèves dans des établissements scolaires).
Ces exigences supérieures s’imposeront à tout encadrement, même expérimental, des systèmes de reconnaissance faciale.
- préciser le rôle de la CNIL dans l’éventuel déploiement, à titre expérimental, de nouveaux dispositifs de reconnaissance faciale. La CNIL n’est ni décideur ni prescripteur en cette matière : le choix d’un tel encadrement, de sa nature et de sa portée, appartient au Gouvernement et au Parlement.
La CNIL est en revanche dotée par le droit, européen et national, de missions de conseil, notamment aux pouvoirs publics, et de contrôle. Elle entend jouer pleinement son rôle à l’égard de cette technologie, en particulier en fournissant un conseil indépendant dans le cadrage juridique et méthodologique d’une démarche expérimentale. Elle pourra également conseiller les porteurs de projets sur les expérimentations envisagées et contribuer, dans sa sphère de compétence, à l’évaluation de ces dispositifs. La CNIL exercera, au besoin, ses pouvoirs d’enquête sur ces dispositifs en prenant toute mesure correctrice nécessaire pour protéger les personnes. Dans l’exercice de l’ensemble de ses missions, la CNIL conservera sa totale indépendance.