LES RISQUES JURIDIQUES DES LOGICIELS DE RECONNAISSANCE FACIALE

Print Friendly, PDF & Email

Aujourd’hui, les logiciels de reconnaissance faciale gagnent en performance et en fiabilité. Les plus avancés peuvent ainsi travailler avec des images de basse qualité telles que celles fournies par les caméras de vidéosurveillance. De plus en plus présente dans nos vies, cette technologie génère des inquiétudes et pose de véritables problèmes d’atteinte à la vie privée.

Dès leur avènement aux années 1990, les logiciels de biométrie sont devenus de plus en plus performants notamment en termes de rapidité de traitement et de fiabilité. Comment fonctionne ce procédé ? Le visage est capturé à l’aide de n’importe quel capteur, caméra ou appareil photo, et l’image est ensuite traitée par un logiciel qui repère en général la position des yeux pour procéder à un alignement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Grâce à mécanisme, le logiciel fait un relevé des différents points caractéristiques du visage (nez, sourcils, écartement des yeux, etc.). Ensuite, ces informations sont codées sous forme de fichier, le gabarit, dans lequel s’effectueront les recherches. Il est ensuite possible de repérer les similitudes entre les captures de visage et les gabarits présents en base de données.

Ce procédé était utilisé par la police grâce à la technique du bertillonnage, et ce, avant même de la naissance de la technologie. Il s’agit d’une technique criminalistique mise au point par Alphonse Bertillon en 1879 et reposant sur l’analyse biométrique accompagnée de photographies de face et de profil. Le principe était de réaliser des mesures sur les criminels, de noter entre autres l’écartement entre les yeux, la taille du visage, les oreilles… afin de réaliser un fichier d’identification permettant de les reconnaître plus facilement en cas de nouvelle arrestation.

Désormais, les technologies utilisent les mêmes techniques grâce à un algorithme qui permet de comparer un visage à une photo de sa base de données. Jugées peu fiables à l’époque, elles permettent dorénavant un taux de rejet de plus en plus faible. Les réseaux sociaux ont profondément contribué à cette évolution et tous les géants technologiques se sont approprié ce savoir-faire d’identification des visages. Le logiciel d’Apple « iphoto », l’application « Picassa » et le réseau social Facebook utilisent tous ce système de reconnaissance faciale.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Le paradoxe de Facebook résulte dans le fait que ce sont les utilisateurs eux-mêmes qui abreuvent chaque jour le réseau de centaines de millions de photographies. Selon ce dernier, 100 millions de noms sont mis en légende sous des visages quotidiennement.

Ce processus permet, dès lors, au réseau de posséder de précieuses informations sur ses utilisateurs, notamment concernant ses données personnelles, sur lesquelles les « géants du net » basent leur système économique.

Il convient de préciser que ces utilisations par les entreprises privées de la reconnaissance faciale ne font pas figure de seuls exemples : récemment, certaines villes chinoises se dotaient de cette technologie à des fins de fluidité du trafic.

Ainsi, quand la ville de Shenzhen affiche aux coins des carrefours de grands panneaux analysant les visages des passants, la mégalopole de Shanghaï inflige des contraventions aux personnes qui traversent « au rouge », leur visage placardé sur les écrans des arrêts de bus du quartier grâce à une capture via reconnaissance faciale.

Ces pratiques, toutefois, induisent de possibles dérives bien évidentes, à la limite des romans de science-fiction et du Big Brother de George Orwell…

Le tribunal administratif de Marseille, dans une décision rendue le 27 février 2020, avait annulé la délibération du conseil régional de Provence-Alpes-Côte d’Azur qui consistait à lancer à titre expérimental un dispositif de reconnaissance faciale dans deux lycées.

En l’espèce, lors d’une réunion datant du 14 décembre 2018, ce conseil avait délibéré en vue de lancer cette expérimentation qui visait à assurer le contrôle de l’accès au lycée des lycéens que le système identifiera. En outre, ce dispositif de reconnaissance faciale devait permettre de suivre la trajectoire de non seulement les lycéens, mais également les visiteurs occasionnels que le système ne pourrait pas identifier.

Le tribunal administratif a donc considéré que cette expérimentation portait atteinte aux dispositions du Règlement général sur la protection des données (RGPD). En effet, le tribunal administratif de Marseille s’est aligné sur la position de la CNIL qui avait considéré que cette expérimentation particulière était « contraire aux principes fondamentaux de proportionnalité et de minimisation des données issues du RGPD ». (1)

Quid des craintes sur le respect de la vie privée, sur la possibilité que la police utilise ce système pour mener des enquêtes illégales ou pour que des gens malintentionnés s’en servent à mauvais escient ? Ces inquiétudes sont non seulement légitimes, mais laissent également penser à quel point cette technique nécessite un encadrement pour éviter les dérives.

Il convient, dès lors, de se pencher sur les risques d’atteinte à la vie privée liés aux logiciels biométriques (I), pour envisager un cadre efficace face aux éventuelles dérives (II).

I- Logiciels biométriques et risques d’atteinte à la vie privée

A) Le droit à l’image

Ces techniques permettent de transformer les visages en données électroniques qu’il est désormais possible de regrouper, d’analyser et de classer. Or, ces données sont sensibles et précieuses, car elles sont une caractéristique de notre corps et un élément de notre identité.

Il est incontestable que certaines utilisations de la reconnaissance faciale sont bénéfiques notamment en ce qui concerne l’authentification des employés autorisés à avoir accès à une centrale nucléaire ou la lutte contre la fraude visant les individus qui présentent des demandes de passeport sous différents noms.

Ceci étant, la reconnaissance faciale a également des répercussions sur le respect de notre vie privée et certains auteurs estiment que cette technologie signe la fin de l’anonymat. La base de données d’images de Facebook est certainement la plus importante au monde.

Sur ce réseau planétaire, l’utilisateur a notamment la possibilité de « taguer » une photographie pour y associer un nom et un profil. En 2011, Facebook lance un système de rconnaissance faciale qui permet, à partir d’un nom, de retrouver sur le réseau et le web, toutes les images représentant la personne.

En septembre 2012, ce système a été abandonné par Facebook pour l’Europe à la suite d’une série de plaintes déposées par un étudiant autrichien, Max Schrems, devant l’autorité irlandaise chargée de la protection des données privées.

Parmi les projets en développement, Facebook va frapper fort avec son programme de recherche DeepFace qui sera dévoilé en détail à la fin du mois de juin. La société qui possède 250 milliards de photos personnelles pourra bientôt identifier tout un chacun avec son système de reconnaissance faciale. Ce système ne devrait pas être destiné aux utilisateurs.

Récemment, le 2 novembre 2021, le vice-président de l’intelligence artificielle auprès de Meta (Facebook) avait annoncé l’abandon de la reconnaissance faciale pour ses applications et la suppression des données biométriques pour plus d’un milliard de personnes. En effet, Facebook prévoit de supprimer, d’ici décembre 2021, plus d’un milliard de modèles de reconnaissance faciale. Néanmoins, Meta n’éliminera pas son programme DeepFace. (3)

B) Utilisation des données personnelles et sécurisation des données

La question de la sécurisation des données en ligne se pose à ce stade. L’application Snapchat, prisée par les jeunes, car elle promet l’autodestruction des photos partagées en quelques secondes, a admis de graves failles. Accusée d’avoir récolté les carnets d’adresses des utilisateurs sans leur consentement et de les avoir trompés sur la disparition des fichiers échangés, l’application Snapchat qui n’avait pas sécurisé sa base d’utilisateurs a été victime de pirates qui ont pu récupérer noms et numéros.

Une application actuellement en deuxième période d’essai nommée NameTag fonctionne sur les Google Glass et permet de scanner n’importe quelle personne dans la rue puis de l’envoyer vers les serveurs de FacialNetwork afin de dresser une comparaison avec une base de données contenant pour le moment 2,5 millions de portraits.

C’est après une analyse par le logiciel, le nom de la personne est présenté avec la possibilité de consulter les informations rendues publiques sur divers réseaux sociaux communautaires tels que Facebook, Twitter, Linkedln ou Instagram. La société dispose également de 450 000 fiches issues de la base américaine des agresseurs sexuels et autres criminels. Pour ses lunettes, Google a strictement interdit les applications de reconnaissance faciale reconnaissant la violation de la vie privée.

En ce qui concerne de police judiciaire, les avancées permises par ces logiciels sont certaines. En 2012, le FBI avait investi un milliard de dollars dans ce qui devait être un « programme d’identification de nouveau générateur » permettant de constituer une base de données nationale photographique des criminels puis quelques informations concernant leurs données biométriques.

Auparavant, les défenseurs de la vie privée s’inquiétaient déjà que des personnes au casier vierge et non suspectes puissent figurer dans ce fichier et se retrouver surveillées. Cette crainte semble aujourd’hui se justifier d’après des documents récupérés par la Fondation Electronic Frontier, une ONG à but non lucratif, selon lesquels 4,3 millions de clichés ont été récupérés sans aucune implication criminelle ou enquête en cours.

Il est possible d’imaginer plusieurs situations : celle dans laquelle un innocent se retrouve au cœur d’une enquête criminelle, mais aussi celle où la technologie est utilisée à mauvais escient pour atteindre d’autres objectifs visés par les pouvoirs publics notamment pour réprimer la dissidence. La protection des données biométriques et leur vulnérabilité au piratage et aux utilisations malveillantes suscitent des inquiétudes.

La reconnaissance faciale est encadrée par la loi informatique et liberté du 6 janvier 1978. Mais en 2018 un nouveau règlement européen est entré en vigueur mettant en place de nouvelles règles dans ce domaine.

Ce texte européen n’est autre que le règlement général sur la protection des données adoptée par le parlement européen en avril 2016 et entrée en vigueur le 25 mai 2018. Selon ce nouveau texte, les données biométriques doivent être considérées comme des données sensibles. Or il s’avère que ce règlement interdit le traitement des données sensibles à l’article 9.1. En principe la reconnaissance faciale est donc interdite par ce texte.

Le droit français a été adapté à ce nouveau texte européen par le biais de la loi du 20 juin 2018 qui a substantiellement modifié la loi informatique et liberté tout en faisant usage des marges de manœuvre accordées aux États membres par le RGPD. Ensuite, l’ordonnance n° 2018-1125 du 12 décembre 2018 est intervenue afin de réécrire et de remettre en cohérence la loi du 6 janvier 1978 ainsi que d’autres lois françaises qui traitent de la protection des données.

Cette législation, cependant, comporte également beaucoup d’exceptions à ce principe. La reconnaissance faciale peut être autorisée sur les personnes qui consentent à son utilisation. L’État peut lui aussi recourir à un système de reconnaissance faciale lorsque l’intérêt public est en jeu. Mais il faut pour cela respecter une certaine procédure.

Cette procédure se résume au dépôt d’un décret devant le Conseil d’État ainsi que la sollicitation de l’avis de la CNIL (Commission nationale de l’informatique et des libertés). Le procédé est également autorisé s’il utilise des données à caractère personnelles, mais qui sont rendues publiques par la personne concernée. Si la technologie de reconnaissance faciale est intégrée dans un système comme un téléphone ou un ordinateur alors son utilisation peut aussi être autorisée.

II- La nécessité d’un encadrement afin d’éviter les dérives

A) Le contrôle de la CNIL en France

Conformément à une étude effectuée à la demande de la CNIL par TNS Sofres, les technologies de reconnaissance faciale qui permettent d’associer automatiquement un nom suscitent des inquiétudes pour 41 % des participants, malgré une faible utilisation pour le moment (12 % des internautes). La CNIL est chargée d’encadrer les pratiques liées à la biométrie faciale.

Un cadre légal s’impose face à cette technologie. À moins d’avoir nommé un correspondant Informatique et Liberté (CIL), une déclaration auprès de la CNIL est nécessaire en cas d’usage de vidéosurveillance.

S’agissant des usages privés, la CNIL a surtout un rôle d’information générale et d’éducation des internautes quant à leur utilisation des réseaux sociaux. Elle a émis plusieurs recommandations dans certains articles de son site afin de sensibiliser les citoyens sur ces pratiques et d’éviter les dérives.

En France, la reconnaissance faciale appliquée à la sécurisation des accès dans les entreprises ou dans les lieux publics est soumise à l’autorisation de la CNIL. Si l’application est mise en œuvre pour le compte de l’État, il faut un décret en Conseil d’État après un avis préalable de la commission. Au contraire, si l’application biométrique est limitée à un usage exclusivement personnel, elle ne sera pas soumise à la loi informatique et liberté (exemple : reconnaissance faciale qui sécurise l’accès aux ordinateurs domestiques, à un Smartphone).

Alors qu’en France, la surveillance globale est un concept toujours lointain, il existe à New York des caméras installées dans la ville qui permettent d’observer les citoyens et de pouvoir effectuer une analyse biométrique de leur visage afin de le comparer à une base de données dans un but de protection contre le terrorisme.

L’idée consiste à ce que les autorités puissent identifier toute personne marchant dans la rue est inquiétante et attentatoire à la vie privée. La législation devra sûrement s’adapter avec l’arrivée de ces nouvelles technologies telles que les lunettes connectées ou encore les drones .

La CNIL n’est donc pas opposée par principe à l’utilisation de la reconnaissance faciale, mais elle réclame que son utilisation s’accompagne d’une prise de conscience sur les dangers potentiels que pourrait représenter cette technologie.

A cet égard, en septembre 2018 elle avait appelé à la tenue d’un débat démocratique sur le sujet. Ce débat devait déboucher sur l’instauration de gardes fous pour préserver la sécurité des citoyens et empêcher que cet outil ne soit utilisé à mauvais escient. Elle demandait ainsi de trouver « un juste équilibre entre les impératifs de sécurisation notamment des espaces publics et la préservation des droits et libertés de chacun ».

Dans ce but, la CNIL a apporté, le 7 novembre 2019, une première contribution de méthode à ce débat et qui poursuit les quatre objectifs suivants :

  • La présentation technique de ce qu’est la reconnaissance faciale et à quoi elle sert.
  • La mise en lumière des risques technologiques, éthiques, sociétaux, liés à cette technologie.
  • Le rappel du cadre s’imposant aux dispositifs de reconnaissance faciale et à leurs expérimentations.
  • La précision du rôle de la CNIL dans l’éventuel déploiement de nouveaux dispositifs de reconnaissance faciale à titre expérimental. (2)

La CNIL a imposé, dans ce contexte, certaines exigences en matière de reconnaissance faciale pour concrétiser cet objectif. Elle tient donc à ce que les risques technologiques, éthiques et sociétaux que cette technologie comporte soient mis en lumière.

Elle demande en particulier aux acteurs ayant une activité dans le domaine de faire en sorte que son utilisation se fasse en toute transparence. Toutefois les risques liés à cette technologie sont si importants que la CNIL distingue entre ceux qui ne sont pas acceptables, car ils auraient des conséquences beaucoup trop importantes dans une société démocratique et ceux qui peuvent être assumés moyennant des garanties appropriées.

Elle exige de ce fait une étude d’impact avant toute utilisation de la reconnaissance faciale pour évaluer les dommages qu’elle pourrait causer. S’ils sont trop importants ou s’il n’existe aucun moyen pour s’assurer que les principes démocratiques seront préservés alors l’emploi de ce dispositif ne sera pas autorisé. Elle préconise donc une étude au cas par cas.

Selon la commission le respect des personnes doit être placé au cœur des systèmes utilisant la reconnaissance faciale. La CNIL réclame donc que les entreprises mettant cette technologie à disposition du public respectent les règles édictées par le RGPD notamment le recueil du consentement et la garantie du contrôle des données.

Récemment, la Présidente de la CNIL a adressé, le 18 février 2021, un avertissement à un club sportif en matière de reconnaissance faciale. Le club sportif en question envisageait de recourir à un système de reconnaissance faciale dans le but d’identifier automatiquement les personnes qui font l’objet d’une interdiction commerciale de stade.

En effet, en l’absence d’une disposition législative ou réglementaire spéciale, la mise en œuvre de ce dispositif de reconnaissance faciale par ce club sportif à des fins de « lutte antiterroriste » est considérée comme illicite. Ainsi, ce projet a été considéré par la CNIL comme non conforme au RGPD et à la loi informatique et liberté.

B) Rebondissements à l’échelle internationale

Dans de nombreux pays, des réflexions sur le sujet ont été menées. En mars 2012, le Groupe de travail « Article 29 sur la protection des données de l’Union européenne » a exprimé son opinion concernant la reconnaissance faciale dans les services en ligne et mobiles en vue d’une réflexion sur le cadre juridique approprié et de la formulation de recommandations. Ce groupe de travail mentionne l’absence de consentement, les mesures de sécurité insuffisantes et le fait que ces technologies pourraient sonner le glas de l’anonymat.

Il convient de rappeler qu’en avril 2012, le groupe de travail a rendu publique une opinion qui indique qu’il faut obtenir le consentement de l’intéressé pour stocker et utiliser des données biométriques. De ce fait, Facebook a été contraint de désactiver son système de reconnaissance faciale qui contrevenait aux lois sur la protection des données de l’UE et à supprimer les photos qu’il avait recueillies en Allemagne.

En outre, un avis commun sur la proposition de règlement de la Commission européenne sur l’intelligence artificielle a été rendu le 21 juin 2021. Dans cet avis, la CNIL européenne (European Data Protection Board) et l’European Data Protection Supervisor (EDPS) affirment leur volonté de vouloir interdire les outils de reconnaissance faciale dans l’espace public.

Andrea Jelinek, la présidente du comité européen de la protection des données, et Wojciech Wiewiórowski, CEPD ont déclaré que : « le déploiement de l’identification biométrique à distance dans les espaces accessibles au public signifie la fin de l’anonymat dans ces lieux. Les applications comme la reconnaissance faciale en direct interfèrent avec les droits et libertés fondamentaux dans une telle mesure qu’elles pourraient remettre en cause l’essence même de ces droits et libertés ». (5)

Également intéressée par ces questions, La Federal Trade Commission a rendu publiques des pratiques exemplaires (autorisation des clients) à l’intention des entreprises ayant recours aux technologies de détection des visages. D’ailleurs aux États-Unis, la reconnaissance faciale gagne de plus en plus de terrain. L’organisme d’audit du Congrès des États-Unis (Government Accountability Office (GAO)) a publié, le 24 août, un rapport selon parmi 24 agences interrogées, dix envisagent d’intensifier leur utilisation de la reconnaissance faciale d’ici 2023. (4)

En conclusion, il est incontestable que la reconnaissance faciale confère une nouvelle dimension à la surveillance du fait qu’elle permet d’identifier les individus beaucoup plus rapidement et aisément. Elle constitue l’un des enjeux majeurs de ces prochaines années face au développement de ces nouvelles technologies et d’autant plus avec l’arrivée de la géolocalisation.

Pour lire une version plus complète de cet article sur la reconnaissance faciale, cliquez

Sources :

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle. Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site. Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.