droit à l’oubli; vie privée; droit à l’image; google; contenu;

DEMARCHAGE TELEPHONIQUE ET RGPD

Le 21 novembre 2019, la formation restreinte de la Commission nationale de l’informatique et des libertés a condamné la société Futura Internationale à une amende de 500 000 euros en raison de manquements graves et persistants au règlement (UE) 2016/679 du 27 avril 2016 (RGPD) dans le cadre d’opérations commerciales.

NOUVEAU : Utilisez nos services pour faire retirer par un avocat un contenu concernant votre vie privée !

Plus connu pour son encadrement des traitements de données à caractère personnel collectées en ligne, le règlement général sur la protection des données du 27 avril 2016 (RGPD) s’applique également à la pratique du démarchage téléphonique.

Par une délibération du 21 novembre 2019, la Commission nationale informatique et libertés (CNIL) a prononcé une sanction financière significative à l’encontre de la société Futura Internationale, laquelle s’est vu reprocher pas moins de cinq manquements au RGPD dans le cadre de ses opérations commerciales.

I. Une mise en demeure manifestement ignorée


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Futura Internationale est une entreprise spécialisée dans la rénovation énergétique des domiciles de particuliers. Ses activités de prospection commerciale téléphonique sont sous-traitées auprès de centres d’appels pour la plupart situés hors de l’Union européenne.

Dès février 2018, la CNIL est alertée par la plainte d’une personne dénonçant le démarchage téléphonique récurant de la société Futura Internationale alors même que l’intéressée avait, plusieurs mois auparavant, exercé son droit d’opposition à la prospection, oralement puis par courrier adressé au siège de la société.

Le contrôle diligenté par la CNIL a notamment permis de constater que la société ne disposait pas de mécanisme centralisé permettant de prendre en compte les demandes d’opposition formulées par les personnes démarchées.

La délégation de la CNIL a par ailleurs observé que les données personnelles des personnes démarchées étaient associées à des commentaires excessifs, parfois injurieux ou relatifs à l’état de santé des intéressés.

Des enregistrements de conversations entre téléopérateurs et prospects ont également permis d’établir que les personnes contactées n’étaient pas systématiquement averties de l’enregistrement de l’appel et ne bénéficiaient pas d’une information relative au traitement de leurs données personnelles.

Face à ces différents manquements, la CNIL a mis en demeure Futura Internationale de se mettre en conformité avec le RGPD. Faute de réponse satisfaisante de la part de l’entreprise, une procédure de sanction a été engagée à son encontre sur décision de la présidente de la CNIL.

II. La détermination de la loi applicable

Cette affaire a tout d’abord été l’occasion pour l’autorité de contrôle de rappeler qu’en matière de manquement continu, il convient de tenir compte de la loi applicable lors du dernier état du manquement, en l’espèce le RGPD. Le contrôle de la CNIL avait débuté sous l’empire de la loi n° 78-17 du 6 janvier 1978, mais les infractions observées constituaient des manquements continus ayant perduré jusqu’à la notification du rapport de sanction, soit postérieurement à l’entrée en vigueur du RGPD. Futura Internationale a d’ailleurs tenté de justifier la persistance de ses manquements en soulignant la difficulté de se conformer à un cadre juridique nouveau dans un temps court. À cette argumentation, la CNIL n’a pas manqué d’opposer que la plupart des manquements constatés portaient sur des obligations préexistantes dans la loi de 1978.

En outre, notons que l’avènement loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux, dite loi Naegelen, a été marqué par la mise en place et la modification de plusieurs dispositions du Code de la consommation. Désormais, le démarchage téléphonique est conditionné par la satisfaction d’une multitude de critères dont notamment la mise en place d’une charte de bonnes pratiques, un audit de la société Bloctel, la présentation de l’identité de l’appelant ainsi que sa société, la lutte contre la fraude aux numéros surtaxés et un renforcement des sanctions en cas d’entrave aux dispositions du RGPD et du dispositif Bloctel.

Par ailleurs, en cas de manquement, la personne physique ou morale concernée s’exposerait à des amendes telles que  prévue par  l’article L242-12 du Code de la consommation  qui dispose que : « tout manquement aux obligations prévues à l’article L. 221-16 en matière de démarchage téléphonique et de prospection commerciale est passible d’une amende administrative dont le montant ne peut excéder 75 000 € pour une personne physique et 375 000 € pour une personne morale.
Cette amende est prononcée dans les conditions prévues au chapitre II du titre II du livre V. »

III. Des manquements graves et persistants (RGPD, art. 5-1, c), 12, 13, 14, 21 et 44)

L’intérêt de cette délibération de la CNIL réside également dans la pluralité, le degré et la persistance de manquements intervenant depuis la collecte des données jusqu’à leur traitement :

  • À l’expiration du délai imparti par la mise en demeure, Futura Internationale ne justifiait pas de la mise en place d’un mécanisme d’information efficace permettant aux prospects d’être avertis, dès la collecte de leurs données, d’éléments concernant le traitement de ces éléments et leur proposant d’obtenir une information plus détaillée. La CNIL a souligné que l’envoi d’un courriel à toute personne faisant l’objet d’une prospection téléphonique n’est pas de nature à répondre à l’obligation d’information, car il intervient postérieurement à la collecte. S’agissant des personnes dont les données étaient collectées indirectement, faute de communication dudit courriel, la CNIL n’a pu apprécier le caractère complet de l’information. Le manquement à l’obligation a donc été constaté par l’autorité administrative indépendante.
  • L’instruction a mis à jour que Futura Internationale ne disposait d’aucun dispositif permettant de traiter les demandes d’opposition et de les faire respecter par l’ensemble de ses sous-traitants. Au terme du délai qui lui avait été imparti pour pallier cette carence, la société ne s’était toujours pas dotée d’un mécanisme suffisamment fiable et susceptible de faire respecter ces demandes au sein des centres d’appels. Le manquement à l’obligation de respecter le droit d’opposition a donc été constaté. S’agissant de ce droit, la CNIL précise également qu’en matière d’opposition à la prospection téléphonique les informations strictement nécessaires sont les noms, prénoms et numéro de téléphone des intéressés (l’adresse postale étant exclue sauf à démontrer que son indication permet également de matérialiser l’opposition à la prospection par courrier).
  • La présence de commentaires injurieux et les informations relatives à l’état de santé des prospects dans le logiciel de gestion des clients ont conduit la CNIL à affirmer que les données personnelles détenues par la société ne répondaient pas aux exigences d’adéquation, de pertinence et de nécessité au regard des finalités pour lesquelles elles sont traitées. Malgré la suppression des commentaires litigieux en cours de procédure et la diffusion d’une information à destination des utilisateurs du logiciel, la CNIL affirme qu’il appartenait à l’entreprise de mettre en place un système contraignant permettant d’éviter la réitération de telles dérives (par exemple par l’instauration d’une revue quotidienne ou le blocage automatique de certains termes).
  • S’agissant du transfert des données personnelles vers les sous-traitants situés hors de l’Union européenne, la CNIL a estimé que ces derniers se trouvaient dans des États n’assurant pas un niveau de protection suffisant. Il appartenait donc à Futura Internationale de mettre en place des garanties adéquates. En l’espèce, la société a souhaité assurer cette protection par les biais des contrats la liant à ses sous-traitants. Or, au cours de l’instruction, les contrats produits ne satisfaisaient pas aux exigences du RGPD. Lors de la procédure de sanction, il a été observé que les contrats présentés contenaient les clauses types de la Commission européenne. Toutefois, la CNIL a constaté que le caractère incomplet de ces écrits faisait obstacle à l’existence, entre la société et ses sous-traitants, d’un cadre juridique conforme aux RGPD en matière de transfert de données personnelles hors de l’Union européenne.
  • Au cours de la procédure de contrôle et malgré les prorogations de délai qui lui ont été accordées, la société Futura Internationale n’a transmis que très peu d’éléments parmi les documents demandés par la CNIL lesquels étaient indispensables à l’exercice de sa mission. Le défaut de réponse satisfaisante à la mise en demeure a, selon la formation restreinte, également contribué à caractériser le défaut de coopération avec l’autorité de contrôle. La CNIL note toutefois qu’un dialogue s’est finalement engagé au cours de la procédure de sanction, mais rappelle à cette occasion que la mise en conformité postérieure au principe du contradictoire, si elle peut être prise en compte par l’autorité de contrôle, notamment dans l’évaluation de la sanction, n’a pas d’incidence sur une absence de coopération constatée antérieurement.

Si le montant de la sanction (500 000 €) peut, à première vue, paraître particulièrement élevé, il est indéniable que le défaut manifeste et persistant de coopération de Futura Internationale, l’atteinte portée aux droits des personnes et le risque qu’elle a fait peser sur les données personnelles des prospects ont convaincu la CNIL de réprimer sévèrement des manquements dont elle ne manque pas de rappeler la gravité et une attitude qui traduit selon elle « un désintérêt flagrant » pour la protection des données personnelles.

La CNIL avait pris le soin de réaffirmer également, le 26 janvier 2022, que l’autorisation des démarchages téléphoniques est conditionnée par la faculté offerte aux personnes concernées au moment de la collecte de leur numéro de téléphone

  • d’être informées de l’utilisation de leurs données à des fins de prospection ;
  • d’être en mesure de s’opposer à cette utilisation de manière simple et gratuite. »

A cet effet, la CNIL insiste sur l’importance de simplifier l’exercice du droit d’opposition, et ce, afin de permettre aux personnes visées d’exprimer facilement leur opposition.

Pour lire une version plus approfondie de cet article sur le démarchage et le rgpd, cliquez

SOURCES :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://donnees-rgpd.fr/sanctio
https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-postal-et-appel-telephonique
LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux ; https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042155944

LES MOTEURS DE RECHERCHE SONT-ILS RESPONSABLES DE LEURS CONTENUS ?

L’arrivée d’internet, a bouleversé les habitudes des Français, mais pour permettre une bonne utilisation de ces nouveaux outils, il a fallu mettre en place des moteurs de recherche afin de faciliter la navigation sur la toile.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le principe d’un moteur de recherche est qu’il parcourt systématiquement les pages en accès public, que l’on appelle « le crawling ». Ensuite, il indexe ces pages, c’est-à-dire qu’il extrait des mots clés de chacune des pages, et en conserve une copie, ce qu’on appelle le cache. Il faut savoir que chaque moteur de recherche a ses propres règles pour classer les pages.

Ainsi, la popularité d’une page, le « page ranking », dépend de plusieurs critères : le nombre d’internautes cliquant sur ce lien lorsqu’il leur est proposé, le nombre de pages pointant vers cette page, et éventuellement de la monétarisation d’un mot clé. En effet, une entreprise peut acheter auprès du moteur de recherche, un ou plusieurs mots clés de manière à améliorer son classement, et par conséquent, avoir plus de visibilité.

Les moteurs de recherches conservent des informations sur les dates de vos visites, les mots-clés que vous entrez et les liens sur lesquels vous cliquez. De ce fait, ils conservent ces informations pour une durée minimum de 6 mois, pour toutes vos recherches et pour tous les internautes (1).


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Cependant ces moteurs de recherches peuvent nous conduire vers des sites non désirés sur lesquels des infractions ou encore des crimes sont commis. La particularité, c’est que ces contenus illicites sont visibles sur les moteurs de recherche, à l’inverse des sites présents sur le darkweb.

Le Dark Web est, selon le site bigdata.fr, la partie cachée du web, sur laquelle s’organise un vaste trafic de biens et services illégaux. Le web est divisé en deux parties : d’abord la partie visible sur les moteurs de recherche, qui ne représente que 3 à 4% des informations disponibles sur internet, ensuite, la seconde partie, appelée « Deep Web » ou « Dark Web », et l’on y trouve le contenu qui n’est pas indexé sur les moteurs.

En effet,  internet regorge de plusieurs sites, populaires ou non, désirés ou pas. Dans la vie ” réelle “, lorsqu’un délit ou un crime sont commis nous recherchons toujours un responsable. Lorsque ces infractions ou crimes sont commis en ligne nous faisons de même : nous recherchons toujours des responsables afin que ces crimes ou infractions cessent tout d’abord et que les auteurs de ceux-ci soient punis. Les moteurs de recherche sont-ils responsables de leur contenu ?

I – Les cas où la responsabilité du moteur de recherche peut être engagée

TGI Paris, référé, 12 mai 2003, Lorie c/ M. G.S. et SA Wanadoo Portails

Au cas présent, la demanderesse, Mademoiselle LP, dite Lorie, assigne Monsieur GS et la société Wanadoo pour son moteur de recherche « Voilà.fr ».

La demanderesse se base sur l’article 9 du code civil pour, d’abord, demander la fermeture du site de Monsieur GS dans lequel figure des poses obscènes et dégradantes d’elle. Ensuite, elle souhaite demander le déréférencement du site sur le moteur de recherche Voilà.fr. En effet, la problématique étant que ces moteurs de recherche peuvent indexer des pages au contenu illicite. Peut-on engager la responsabilité d’un moteur de recherche ? Sur quels fondements peut-on l’engager ?

Google, comme tous les autres intermédiaires, ne sont juridiquement pas responsables tant qu’ils restent neutres. L’Union européenne a adopté un texte concernant les intermédiaires techniques, au travers de la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique, qui a été transposée en droit français grâce à la loi pour la confiance dans une économie numérique, du 21 juin 2004 (la « LEN »).

C’est toujours ces textes qui s’appliquent pour Google, Facebook, Twitter, etc. En matière d’intermédiaires sur Internet, la loi a posé le principe selon lequel l’éditeur est responsable du contenu (texte, images, etc.) du contenu (site, forum, serveur, etc.) qu’il gère.

Par ailleurs, l’intermédiaire technique n’est pas responsable du contenu qu’il héberge ou traite, ou transporte, sauf si un tiers lui notifie valablement un contenu illicite. En effet, un intermédiaire technique est celui que l’on connaît, aujourd’hui, comme « l’hébergeur ». Ce dernier est une personne physique ou morale qui assure, la mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournit par des destinataires de ces services (2).

Depuis la loi AVIA de 2020, les hébergeurs et les FAI sont responsables s’ils ont pris connaissance du contenu illicite et qu’il n’y a pas eu de retrait. La sanction peut aller jusqu’à 250000 euros d’amende.

Il faut savoir qu’en droit français il existe un droit à l’effacement numérique ou un droit à l’oubli. C’est le droit de demander à un organisme la suppression d’une donnée à caractère personnel vous concernant. Ce droit est différent du droit au déréférencement. En effet, selon une décision en date du 13 mai 2014 (CJUE Google Spain c/ AEPD du 13 mai 2014, la Cour de Justice a considéré qu’une personne physique pouvait obtenir le déréférencement de certains liens vers des pages web de la liste des résultats obtenue à partir d’une recherche sur le moteur de recherche de Google à partir de son nom, auprès de la société du même nom, responsable d’un traitement de données personnelles résultant de l’activité de son moteur de recherche. En vertu de cette décision, la demande de déréférencement doit être adressée au responsable du traitement qui en examine le bien-fondé et le cas échéant procède à l’effacement demandé. Si le responsable du traitement ne donne pas suite, la personne concernée peut saisir l’autorité judiciaire

Ici, Lorie a mis en demeure la société Wanadoo de déréférencer le site. Bien que connaissant l’auteur du site, elle n’a agi que vis-à-vis du moteur de recherche. La société Wanadoo a déréférencé le site dès la connaissance du contenu du site litigieux. Le tribunal énonce que le professionnel est à la charge d’une obligation de surveillance et de “suppression de la référence au site dès lors qu’elle n’a pu qu’avoir eu connaissance du caractère manifestement illicite de son contenu”.

Concernant le droit à l’effacement numérique, le tribunal judiciaire de Paris (ancien tribunal de grande instance) a fait condamner Google à supprimer l’affichage dans Google Images , pendant cinq ans, neuf photos attentatoires à la vie privée du demandeur.

En l’espèce, le demandeur demandait le retrait, et la cessation de l’affichage sur les pages de résultats du moteur de recherche Google Images de neuf images extraites d’une vidéo représentant le demandeur dans des scènes d’intimité sexuelle, et antérieurement publiées par un journal britannique. La diffusion de ces images avait donné lieu à trois condamnations judiciaires en France et au Royaume-Uni. Ensuite, Google, qui avait fait droit aux premières demandes de retrait, avait refusé de supprimer les images qui réapparaissaient quotidiennement. Google estimait que les mesures d’interdiction et de surveillance sollicitées se heurtent aux exigences de l’article 10 de la CEDH.

Le Tribunal soutient que la mesure sollicitée de retrait et d’interdiction pour l’avenir des neuf clichés photographiques provenant d’un délit pénal et déjà jugés attentatoires à la vie privée du demandeur, entre largement dans le cadre de la responsabilité des intermédiaires techniques. En ce sens, le tribunal observe que la condition de proportionnalité est « parfaitement remplie », au regard de l’obligation positive qui pèse sur la France de faire respecter le droit du demandeur au respect de sa vie privée et, d’autre part, de l’impossibilité où se trouve celui-ci de faire respecter ce droit en n’usant que des seules procédures mises à sa disposition par Google.

Par ailleurs, la mesure sollicitée est jugée poursuivre un « but légitime » en ce qu’elle vise sinon à supprimer les atteintes au moins à en réduire sensiblement leur portée, et « nécessaire dans une société démocratique » au sens de l’art. 10 par. 2 CEDH, l’illicéité des images ayant été judiciairement constatées

En conséquence, le tribunal  a fait injonction, sous astreinte, à Google de retirer et de cesser l’affichage sur Google Images, accessible en France, des neuf images litigieuses pendant cinq ans à compter de l’expiration d’un délai de deux mois suivants la signification du jugement (3).

Par ailleurs, selon la doctrine, la responsabilité du moteur de recherche peut, également, être engagée dans l’hypothèse où les mots « suspects » seraient écartés dans l’indexation effectuée par le robot. Donc, les pages web contenant ce terme seraient écartées, seulement, les sites qui traiteraient éventuellement des problèmes ou apporteraient des solutions, par exemple pour lutter contre certains phénomènes seraient également écartés (si le moteur élimine les pages contenant le mot « pédophile », il écarte alors automatiquement les sites d’associations luttant contre ce fléau).

Techniquement, il est possible pour un robot d’être programmé pour exclure certains termes. Cependant, il lui est impossible de prendre connaissance du contenu du site. Certains auteurs sont “pour” que les moteurs de recherche retirent “tous les mots clefs illicites à connotation pédophiles, racistes…”. Ils proposent même une sorte de filtre tout comme les logiciels de filtrage parental.

II – Les cas où la responsabilité du moteur de recherche est exclue

Les hébergeurs ne sont juridiquement pas responsables tant qu’ils restent neutres. En effet, l’article 14 de la directive 2000/31 précise que les hébergeurs ne sont pas responsables dès lors qu’ils n’avaient pas connaissance des contenus illicites publiés sur leurs sites et dès lors qu’ils ont agi promptement pour retirer ces contenus manifestement illicites. La raison de cette irresponsabilité de principe est qu’un intermédiaire ne peut pas tout surveiller et tout vérifier. Ainsi, Google ne peut pas vérifier la validité et la licéité de tous les sites que son robot référence.

C’est en ce sens que la Cour d’appel de Paris a , par un arrêt du 19 mars 2009, rappelé l’irresponsabilité des moteurs de recherche dès lors qu’ils sont neutres. En l’espèce, une société avait assigné Google et Yahoo en se plaignant du référencement naturel d’un site la dénigrant, leur reprochant de ne pas avoir vérifié le contenu du site. Les moteurs se sont défendus en soulignant qu’ils procédaient un référencement de manière automatique, sans aucun contrôle a priori sur leurs robots, et ne pouvaient en conséquence maîtriser le référencement.

La Cour a rejeté la responsabilité de Google et Yahoo en précisant que ces moteurs n’avaient pas à vérifier le contenu de chaque site et à assurer de leur conformité à la loi.

La Cour a, ainsi conclu que le caractère automatique des résultats affichés et l’absence de toute analyse de contenu excluent une intention de nuire ou délictueuse, que ce soit de diffamer ou de dénigrer. En conséquence, le caractère automatique du référencement naturel et la neutralité de celui-ci permettent d’échapper à toute responsabilité naturelle. Ce principe d’irresponsabilité n’a pas été remis en cause, de manière significative, depuis près de 20 ans.

Dans une autre affaire, et suivant cette même logique, une personne qui avait été impliquée dans une affaire de corruption de mineure avait assigné le moteur de recherche Google en diffamation au motif que lorsqu’il effectuait une recherche sur son patronyme par le biais des fonctionnalités « Suggest et Recherches associées », apparaissaient les termes « viol », « condamné », « sataniste » ou « prison » associés à ses noms et prénom. Infirmant le jugement de première instance, la cour d’appel a fait bénéficier le directeur de la publication de Google Inc. de l’excuse de bonne foi et l’a débouté de toutes ses demandes.

L’intéressé a formé un pourvoi en cassation. La Cour rejette le pourvoi, estimant que c’est à bon droit que les critères de prudence dans l’expression et de sérieux de l’enquête se trouvaient réunis au regard d’un procédé de recherche dont la fonctionnalité se bornait à renvoyer à des commentaires d’un dossier judiciaire publiquement débattu. De même, la cour d’appel a relevé que la société Google France sollicitait à bon droit sa mise hors de cause dès lors qu’elle n’avait pas de responsabilité directe dans le fonctionnement du moteur de recherche ni dans le site google.fr et qu’elle n’était pas concernée par l’élaboration des items incriminés.

Par ailleurs, un moteur de recherche qui insère un avertissement dans ses résultats ne peut pas être responsable. Ne constitue pas un trouble illicite le fait, par un moteur de recherche qui a détecté que la visite d’un site peut endommager un ordinateur (virus, espiogiciel…), d’en avertir ses utilisateurs.

En l’espèce, le moteur américain avait détecté que, lors de la connexion à certaines pages des sites exploités par les sociétés demanderesses, pouvait se déclencher automatiquement l’installation d’un logiciel destiner à couper la connexion d’un internaute à son insu, pour le diriger vers des numéros téléphoniques surtaxés. Dès lors, le moteur était attaqué pour avoir choisi de faire figurer divers avertissements sur ce risque en regard des liens menant vers ces sites. Le moteur pouvait-il faire des avertissements sur ce risque ?

Le juge a répondu qu’il n’existe pas de caractère illicite du trouble allégué. En d’autres termes, le moteur pouvait librement faire des avertissements, c’est le résultat de leur liberté éditoriale, comme l’a reconnu implicitement le Conseil de la concurrence (9 juin 2000).

De la même façon qu’ils peuvent librement référencer ou non des sites existants, ils peuvent avertir les utilisateurs -sauf bien sûr à engager, en cas d’excès, leur responsabilité sur le fondement du droit de la presse, ou du droit commun. La Cour estime, donc, que le contenu stigmatisé par le moteur présentait un caractère à tout le moins douteux. Aussi est-il estimé qu’il n’était pas fautif d’assortir le lien vers un tel contenu d’un avertissement.

Pour lire une version plus complète de cet article sur la responsabilité des moteurs de recherche, cliquez

SOURCES :

  • https://www.cnil.fr/fr/les-moteurs-de-recherche
  • Art 6 al I. 2 loi 21 juin 2004 pour la confiance dans une économie numérique + Article 14 de la directive 2000/31
  • Tribunal de Grande Instance de Paris, 6 novembre 2013, n° 11/07970).
  • Paris, 14e ch. B, 25 janvier 2008, RG n° 07/13334

LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS

L’amélioration considérable de la communication est grâce au développement due à l’arrivée d’internet et des nouvelles technologies. Ces nouvelles technologies, toutefois, ne sont pas invulnérables, les failles de sécurité sont fréquentes. La question de la sécurité des télécommunications prend ainsi une place importante dans la société actuelle. 

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

La télécommunication désigne la transmission, l’émission ou la réception d’informations par tout système électromagnétique. Les télécommunications permettent donc des échanges rapides entre personnes. Ces échanges peuvent porter sur des données de la vie privée. Dès lors, il faudra que la sécurité des télécommunications soit assurée. La sécurité des télécommunications permettra d’éviter des intrusions dans le circuit d’échange et permettra de protéger la vie privée des individus.

Il est force de constater que, dans nos sociétés, la sécurité des télécommunications est un objectif pour les différentes autorités gouvernantes, car ces derniers doivent garantir la sécurité des télécommunications de leurs citoyens comme la sécurité des télécommunications étatiques. Un défaut de la sécurité des télécommunications de l’État serait extrêmement problématique.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Ainsi, la science a développé différents moyens d’assurer la sécurité des télécommunications ainsi que doté différents organes des outils nécessaires pour assurer cette sécurité. De plus, plusieurs conditions sont à remplir pour pouvoir assurer la sécurité des télécommunications. Celles-ci sont posées par l’État qui garde un contrôle sur tous les protagonistes de la sécurité des télécommunications.

Cependant, des risques demeurent rattachés au progrès des technologies de l’information et de la communication. Des failles de sécurité se multiplient et engendrent de nouvelles vulnérabilités ; des menaces pernicieuses et inédites se font jour. Les sociétés perdent des sommes considérables, en raison des dysfonctionnements induits par les questions de sécurité.

Le concept de sécurité dans le domaine des télécommunications englobe, dans ce contexte, non seulement la sécurité technique, mais également la sécurité juridique. Le terme de télécommunications désigne tous biens ou services dédiés aux “ émissions, transmissions ou réceptions de signes, de signaux, d’écrits, d’images ou de sons, par câble, par la voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques” (art. L. 32 du Code des PT).

Les dispositions de l’article L. 32 du Code des postes et communications électroniques (nouvelle dénomination issue de la LCEN), après avoir défini les télécommunications, prévoient au 12º des exigences essentielles : « on entend par exigences essentielles les exigences nécessaires pour garantir la préservation de l’intérêt général s’attachant :

– à la protection de la santé, de la sécurité des personnes et des animaux domestiques ainsi que des biens, dans des conditions fixées par décret en Conseil d’État ;

– au maintien d’un niveau adéquat de compatibilité électromagnétique entre équipements et installations de communications électroniques, dans des conditions fixées par décret en Conseil d’État ;

– à une utilisation efficace des fréquences radioélectriques par les équipements et à une contribution à l’utilisation optimisée de ces dernières en évitant des brouillages préjudiciables pour les tiers.

Les exigences essentielles comportent également, pour les classes et les catégories d’équipements prévues par décret en Conseil d’État, les exigences nécessaires à :

– la protection des réseaux, notamment des échanges d’informations de commande et de gestion qui y sont associés ;

– l’interopérabilité des services et celle des équipements radioélectriques ;

– la protection des données à caractère personnel et de la vie privée des utilisateurs et des abonnés ;

– la compatibilité des équipements radioélectriques avec des accessoires, y compris des chargeurs universels, et avec des dispositifs empêchant la fraude, assurant l’accès aux services d’urgence, facilitant leur utilisation par les personnes handicapées ou garantissant qu’un logiciel ne peut être installé sur un équipement radioélectrique que lorsque la conformité de la combinaison de l’équipement radioélectrique avec le logiciel est avérée.». (1)

Récemment, l’Union européenne s’est dotée d’un Code européen des communications électroniques rassemblant les quatre directives du Paquet Télécoms européen de 2002 par la directive 2018/1972 du parlement européen et du conseil du 11 décembre 2018. Cette directive a été transposée par l’ordonnance n° 2021-650 du 26 mai 2021 puis complétée par le Décret n° 2021-1281 du 30 septembre 2021. (2)

La protection des données personnelles et la sécurité des échanges via les télécommunications constituent sans doute 2 objectifs majeurs que le législateur a explicitement gardés à l’esprit. En matière de télécommunications, l’obligation de sécurité et de confidentialité est une exigence essentielle dont le non-respect peut entraîner des sanctions pénales.

Veiller au strict respect de leurs obligations par les opérateurs télécoms (A) ainsi que promouvoir le développement de la cryptologie (B) se révèlent être 2 moyens efficaces pour assurer la sécurité et le secret des télécommunications.

I. Les obligations des opérateurs

La protection de la vie privée des consommateurs est prévue expressément par le Code des postes et télécommunications.

Des dispositions spécifiques sont prévues dans toutes les autorisations délivrées aux opérateurs au titre de l’article L.34-1 (téléphonie publique) ou des articles L.33-1 (réseau de télécommunications) et L.34-1. Elles figurent dans le cahier des charges annexé à chacune de ces autorisations sous l’intitulé de ” clause type c) “. La clause c), intitulée ” conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications “, comprend trois séries de dispositions, propres à assurer la protection des utilisateurs :

– une première série d’obligations concerne le respect du secret des correspondances et de la neutralité du transporteur ;
– une deuxième série concerne le traitement des données à caractère personnel ;
– une troisième série porte sur la sécurité des communications.

A) Respect du secret des correspondances et neutralité

L’opérateur a l’obligation de prendre les mesures nécessaires pour garantir la neutralité de ses services vis-à-vis du contenu des messages transmis sur son réseau et le secret des correspondances. A cet effet, l’opérateur assure ses services sans discrimination quelle que soit la nature du message transmis et prend les dispositions utiles pour assurer l’intégrité des messages.

Conformément à l’article 1er de la loi du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications, il ne peut être porté atteinte à ce secret que par l’autorité publique, dans les cas et conditions prévues par la loi. Ainsi, l’interception, le détournement, l’utilisation ou la divulgation des correspondances émises, transmises ou reçues par la voie de télécommunications est puni d’un an d’emprisonnement et de 45000 € d’amende.

B) Traitement des données à caractère personnel

La prise des mesures propres à assurer la protection, l’intégrité et la confidentialité des informations identifiantes qu’il détient et qu’il traite s’impose.

En particulier, l’opérateur garantit le droit pour toute personne :

– de ne pas être mentionnée sur les listes d’abonnés ou d’utilisateurs publiées. L’opérateur assure la gratuité de cette faculté ou, à défaut, subordonne son exercice à un paiement d’une somme raisonnable et non dissuasive ;
– de s’opposer gratuitement à l’inscription sur ces listes de l’adresse complète de son domicile dans la mesure où les données disponibles permettent de distinguer cet abonné de ses homonymes ainsi que, s’il y a lieu, d’une référence à son sexe ;
– de s’opposer gratuitement à l’utilisation de données de facturation la concernant par l’opérateur à des fins commerciales ;
– d’interdire gratuitement que les informations identifiantes la concernant issues des listes d’abonnés soient utilisées dans des opérations commerciales soit par voie postale, soit par voie de télécommunications, à l’exception des opérations concernant les activités autorisées et relevant de la relation contractuelle entre l’opérateur et l’abonné ;
– ainsi que de pouvoir gratuitement obtenir communication des informations identifiantes la concernant et exiger qu’elles soient rectifiées, complétées, clarifiées, mises à jour ou effacées.

L’opérateur est tenu d’exploiter les données à caractère personnel conformément aux finalités déclarées. L’opérateur peut légitimement utiliser, conserver et le cas échéant, transmettre à des tiers les données collectées dans le cadre de son activité, pour les besoins de la transmission des communications, de la facturation et du paiement des services rendus.

L’opérateur doit permettre à tous ses clients de s’opposer gratuitement, appel par appel ou de façon permanente, à l’identification de leur numéro ou de leur nom par le poste appelé. Cette fonction doit être également proposée pour les communications effectuées à partir des cabines téléphoniques publiques. En outre, l’opérateur met en œuvre un dispositif particulier de suppression de cette fonction pour les raisons liées au fonctionnement des services d’urgence ou à la tranquillité de l’appelé, conformément à la réglementation en vigueur.

L’opérateur doit prévoir les modalités permettant, à la demande de l’abonné vers lequel les appels sont transférés, d’interrompre le transfert d’appel.

Si les sociétés de commercialisation de services (SCS) ne sont pas soumises directement aux dispositions du Code des postes et télécommunications puisqu’elles exercent leur activité sans avoir besoin d’obtenir une autorisation, elles sont indirectement soumises à ses obligations puisque la clause c) prévoit que : ” Lorsque l’opérateur fait appel à ses sociétés de commercialisation de services, il veille, dans les relations contractuelles avec celles-ci, au respect de ses obligations relatives aux conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications “.

En pratique, le contrat conclut entre l’opérateur et le distributeur devra prévoir des clauses imposant au distributeur le respect des obligations auxquelles est tenu l’opérateur.

À titre d’exemple, au titre de la clause c) de l’autorisation de l’opérateur, il apparaît notamment que le distributeur :

– aura l’obligation, dans sa propre activité commerciale, de respecter la volonté des personnes ne souhaitant pas figurer dans les annuaires, ou ne pas recevoir de publicité à domicile ;
– ne pourra utiliser ces coordonnées pour une commercialisation de fichiers qu’autant que l’utilisateur ne s’y est pas opposé auprès de lui ou de l’opérateur ;
– ne pourra communiquer les informations de facturation qu’il détiendra (numéros appelés, date, heure) que dans le respect de la loi régissant le secret des correspondances.

C) La sécurité des communications

L’opérateur est tenu de prendre toutes les dispositions nécessaires pour assurer la sécurité des communications empruntant son réseau. L’opérateur informe ses clients des services existants permettant le cas échéant de renforcer la sécurité des communications.

II. La garantie offerte par la cryptologie

Les années 90 ont été marquées par l’explosion des systèmes de communications, qui ont permis le développement sur une grande échelle des échanges électroniques, tant dans le domaine industriel et bancaire que celui du commerce en ligne et plus récemment celui des relations entre les citoyens et les administrations. Si, dans les premières années, l’ouverture et l’interopérabilité des réseaux et systèmes ainsi que leurs performances ont été logiquement privilégiées, éventuellement aux dépens de la sécurité, on a récemment assisté à une prise de conscience des problèmes par les acteurs des nouvelles technologies, qui ont engagé des réflexions sur la sécurité.

Désormais, la cryptologie constitue pour les entreprises la solution technique incontournable pour protéger leurs échanges sur le réseau contre d’éventuelles violations de correspondance. La cryptologie est un moyen de préservation de l’intimité de la vie privée.

L’article 29 de la loi pour la confiance dans l’économie numérique (LCEN) dispose que:

“ On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

On entend par prestation de cryptologie toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie. »

Le gouvernement français a décidé, depuis janvier 1999, de rendre totalement libre l’utilisation des moyens de cryptologie. Néanmoins, cette liberté reste conditionnée, notamment par la conservation des conventions de cryptage par des “tiers de confiance” – organismes placés sous le contrôle des pouvoirs publics – lorsque les clés emploient des algorithmes excédant 128 bits et qu’elles assurent une fonction de confidentialité ; l’utilisateur devant solliciter une autorisation préalable personnelle.

La cryptologie, n’étant plus réservée au domaine militaire, est une nécessité pour le bon fonctionnement de la société de l’information.

Pour lire une version de cet article  sur la sécurité des télécommunications plus complète, cliquez

Sources :

  • https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043545193/
  • Ordonnance n° 2021-650 du 26 mai 2021 portant transposition de la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 ; Décret n° 2021-1281 du 30 septembre 2021 modifiant les obligations des opérateurs de communications électroniques conformément au code des communications électroniques européen

LES RISQUES JURIDIQUES DES LOGICIELS DE RECONNAISSANCE FACIALE

Aujourd’hui, les logiciels de reconnaissance faciale gagnent en performance et en fiabilité. Les plus avancés peuvent ainsi travailler avec des images de basse qualité telles que celles fournies par les caméras de vidéosurveillance. De plus en plus présente dans nos vies, cette technologie génère des inquiétudes et pose de véritables problèmes d’atteinte à la vie privée.

Dès leur avènement aux années 1990, les logiciels de biométrie sont devenus de plus en plus performants notamment en termes de rapidité de traitement et de fiabilité. Comment fonctionne ce procédé ? Le visage est capturé à l’aide de n’importe quel capteur, caméra ou appareil photo, et l’image est ensuite traitée par un logiciel qui repère en général la position des yeux pour procéder à un alignement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Grâce à mécanisme, le logiciel fait un relevé des différents points caractéristiques du visage (nez, sourcils, écartement des yeux, etc.). Ensuite, ces informations sont codées sous forme de fichier, le gabarit, dans lequel s’effectueront les recherches. Il est ensuite possible de repérer les similitudes entre les captures de visage et les gabarits présents en base de données.

Ce procédé était utilisé par la police grâce à la technique du bertillonnage, et ce, avant même de la naissance de la technologie. Il s’agit d’une technique criminalistique mise au point par Alphonse Bertillon en 1879 et reposant sur l’analyse biométrique accompagnée de photographies de face et de profil. Le principe était de réaliser des mesures sur les criminels, de noter entre autres l’écartement entre les yeux, la taille du visage, les oreilles… afin de réaliser un fichier d’identification permettant de les reconnaître plus facilement en cas de nouvelle arrestation.

Désormais, les technologies utilisent les mêmes techniques grâce à un algorithme qui permet de comparer un visage à une photo de sa base de données. Jugées peu fiables à l’époque, elles permettent dorénavant un taux de rejet de plus en plus faible. Les réseaux sociaux ont profondément contribué à cette évolution et tous les géants technologiques se sont approprié ce savoir-faire d’identification des visages. Le logiciel d’Apple « iphoto », l’application « Picassa » et le réseau social Facebook utilisent tous ce système de reconnaissance faciale.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Le paradoxe de Facebook résulte dans le fait que ce sont les utilisateurs eux-mêmes qui abreuvent chaque jour le réseau de centaines de millions de photographies. Selon ce dernier, 100 millions de noms sont mis en légende sous des visages quotidiennement.

Ce processus permet, dès lors, au réseau de posséder de précieuses informations sur ses utilisateurs, notamment concernant ses données personnelles, sur lesquelles les « géants du net » basent leur système économique.

Il convient de préciser que ces utilisations par les entreprises privées de la reconnaissance faciale ne font pas figure de seuls exemples : récemment, certaines villes chinoises se dotaient de cette technologie à des fins de fluidité du trafic.

Ainsi, quand la ville de Shenzhen affiche aux coins des carrefours de grands panneaux analysant les visages des passants, la mégalopole de Shanghaï inflige des contraventions aux personnes qui traversent « au rouge », leur visage placardé sur les écrans des arrêts de bus du quartier grâce à une capture via reconnaissance faciale.

Ces pratiques, toutefois, induisent de possibles dérives bien évidentes, à la limite des romans de science-fiction et du Big Brother de George Orwell…

Le tribunal administratif de Marseille, dans une décision rendue le 27 février 2020, avait annulé la délibération du conseil régional de Provence-Alpes-Côte d’Azur qui consistait à lancer à titre expérimental un dispositif de reconnaissance faciale dans deux lycées.

En l’espèce, lors d’une réunion datant du 14 décembre 2018, ce conseil avait délibéré en vue de lancer cette expérimentation qui visait à assurer le contrôle de l’accès au lycée des lycéens que le système identifiera. En outre, ce dispositif de reconnaissance faciale devait permettre de suivre la trajectoire de non seulement les lycéens, mais également les visiteurs occasionnels que le système ne pourrait pas identifier.

Le tribunal administratif a donc considéré que cette expérimentation portait atteinte aux dispositions du Règlement général sur la protection des données (RGPD). En effet, le tribunal administratif de Marseille s’est aligné sur la position de la CNIL qui avait considéré que cette expérimentation particulière était « contraire aux principes fondamentaux de proportionnalité et de minimisation des données issues du RGPD ». (1)

Quid des craintes sur le respect de la vie privée, sur la possibilité que la police utilise ce système pour mener des enquêtes illégales ou pour que des gens malintentionnés s’en servent à mauvais escient ? Ces inquiétudes sont non seulement légitimes, mais laissent également penser à quel point cette technique nécessite un encadrement pour éviter les dérives.

Il convient, dès lors, de se pencher sur les risques d’atteinte à la vie privée liés aux logiciels biométriques (I), pour envisager un cadre efficace face aux éventuelles dérives (II).

I- Logiciels biométriques et risques d’atteinte à la vie privée

A) Le droit à l’image

Ces techniques permettent de transformer les visages en données électroniques qu’il est désormais possible de regrouper, d’analyser et de classer. Or, ces données sont sensibles et précieuses, car elles sont une caractéristique de notre corps et un élément de notre identité.

Il est incontestable que certaines utilisations de la reconnaissance faciale sont bénéfiques notamment en ce qui concerne l’authentification des employés autorisés à avoir accès à une centrale nucléaire ou la lutte contre la fraude visant les individus qui présentent des demandes de passeport sous différents noms.

Ceci étant, la reconnaissance faciale a également des répercussions sur le respect de notre vie privée et certains auteurs estiment que cette technologie signe la fin de l’anonymat. La base de données d’images de Facebook est certainement la plus importante au monde.

Sur ce réseau planétaire, l’utilisateur a notamment la possibilité de « taguer » une photographie pour y associer un nom et un profil. En 2011, Facebook lance un système de rconnaissance faciale qui permet, à partir d’un nom, de retrouver sur le réseau et le web, toutes les images représentant la personne.

En septembre 2012, ce système a été abandonné par Facebook pour l’Europe à la suite d’une série de plaintes déposées par un étudiant autrichien, Max Schrems, devant l’autorité irlandaise chargée de la protection des données privées.

Parmi les projets en développement, Facebook va frapper fort avec son programme de recherche DeepFace qui sera dévoilé en détail à la fin du mois de juin. La société qui possède 250 milliards de photos personnelles pourra bientôt identifier tout un chacun avec son système de reconnaissance faciale. Ce système ne devrait pas être destiné aux utilisateurs.

Récemment, le 2 novembre 2021, le vice-président de l’intelligence artificielle auprès de Meta (Facebook) avait annoncé l’abandon de la reconnaissance faciale pour ses applications et la suppression des données biométriques pour plus d’un milliard de personnes. En effet, Facebook prévoit de supprimer, d’ici décembre 2021, plus d’un milliard de modèles de reconnaissance faciale. Néanmoins, Meta n’éliminera pas son programme DeepFace. (3)

B) Utilisation des données personnelles et sécurisation des données

La question de la sécurisation des données en ligne se pose à ce stade. L’application Snapchat, prisée par les jeunes, car elle promet l’autodestruction des photos partagées en quelques secondes, a admis de graves failles. Accusée d’avoir récolté les carnets d’adresses des utilisateurs sans leur consentement et de les avoir trompés sur la disparition des fichiers échangés, l’application Snapchat qui n’avait pas sécurisé sa base d’utilisateurs a été victime de pirates qui ont pu récupérer noms et numéros.

Une application actuellement en deuxième période d’essai nommée NameTag fonctionne sur les Google Glass et permet de scanner n’importe quelle personne dans la rue puis de l’envoyer vers les serveurs de FacialNetwork afin de dresser une comparaison avec une base de données contenant pour le moment 2,5 millions de portraits.

C’est après une analyse par le logiciel, le nom de la personne est présenté avec la possibilité de consulter les informations rendues publiques sur divers réseaux sociaux communautaires tels que Facebook, Twitter, Linkedln ou Instagram. La société dispose également de 450 000 fiches issues de la base américaine des agresseurs sexuels et autres criminels. Pour ses lunettes, Google a strictement interdit les applications de reconnaissance faciale reconnaissant la violation de la vie privée.

En ce qui concerne de police judiciaire, les avancées permises par ces logiciels sont certaines. En 2012, le FBI avait investi un milliard de dollars dans ce qui devait être un « programme d’identification de nouveau générateur » permettant de constituer une base de données nationale photographique des criminels puis quelques informations concernant leurs données biométriques.

Auparavant, les défenseurs de la vie privée s’inquiétaient déjà que des personnes au casier vierge et non suspectes puissent figurer dans ce fichier et se retrouver surveillées. Cette crainte semble aujourd’hui se justifier d’après des documents récupérés par la Fondation Electronic Frontier, une ONG à but non lucratif, selon lesquels 4,3 millions de clichés ont été récupérés sans aucune implication criminelle ou enquête en cours.

Il est possible d’imaginer plusieurs situations : celle dans laquelle un innocent se retrouve au cœur d’une enquête criminelle, mais aussi celle où la technologie est utilisée à mauvais escient pour atteindre d’autres objectifs visés par les pouvoirs publics notamment pour réprimer la dissidence. La protection des données biométriques et leur vulnérabilité au piratage et aux utilisations malveillantes suscitent des inquiétudes.

La reconnaissance faciale est encadrée par la loi informatique et liberté du 6 janvier 1978. Mais en 2018 un nouveau règlement européen est entré en vigueur mettant en place de nouvelles règles dans ce domaine.

Ce texte européen n’est autre que le règlement général sur la protection des données adoptée par le parlement européen en avril 2016 et entrée en vigueur le 25 mai 2018. Selon ce nouveau texte, les données biométriques doivent être considérées comme des données sensibles. Or il s’avère que ce règlement interdit le traitement des données sensibles à l’article 9.1. En principe la reconnaissance faciale est donc interdite par ce texte.

Le droit français a été adapté à ce nouveau texte européen par le biais de la loi du 20 juin 2018 qui a substantiellement modifié la loi informatique et liberté tout en faisant usage des marges de manœuvre accordées aux États membres par le RGPD. Ensuite, l’ordonnance n° 2018-1125 du 12 décembre 2018 est intervenue afin de réécrire et de remettre en cohérence la loi du 6 janvier 1978 ainsi que d’autres lois françaises qui traitent de la protection des données.

Cette législation, cependant, comporte également beaucoup d’exceptions à ce principe. La reconnaissance faciale peut être autorisée sur les personnes qui consentent à son utilisation. L’État peut lui aussi recourir à un système de reconnaissance faciale lorsque l’intérêt public est en jeu. Mais il faut pour cela respecter une certaine procédure.

Cette procédure se résume au dépôt d’un décret devant le Conseil d’État ainsi que la sollicitation de l’avis de la CNIL (Commission nationale de l’informatique et des libertés). Le procédé est également autorisé s’il utilise des données à caractère personnelles, mais qui sont rendues publiques par la personne concernée. Si la technologie de reconnaissance faciale est intégrée dans un système comme un téléphone ou un ordinateur alors son utilisation peut aussi être autorisée.

II- La nécessité d’un encadrement afin d’éviter les dérives

A) Le contrôle de la CNIL en France

Conformément à une étude effectuée à la demande de la CNIL par TNS Sofres, les technologies de reconnaissance faciale qui permettent d’associer automatiquement un nom suscitent des inquiétudes pour 41 % des participants, malgré une faible utilisation pour le moment (12 % des internautes). La CNIL est chargée d’encadrer les pratiques liées à la biométrie faciale.

Un cadre légal s’impose face à cette technologie. À moins d’avoir nommé un correspondant Informatique et Liberté (CIL), une déclaration auprès de la CNIL est nécessaire en cas d’usage de vidéosurveillance.

S’agissant des usages privés, la CNIL a surtout un rôle d’information générale et d’éducation des internautes quant à leur utilisation des réseaux sociaux. Elle a émis plusieurs recommandations dans certains articles de son site afin de sensibiliser les citoyens sur ces pratiques et d’éviter les dérives.

En France, la reconnaissance faciale appliquée à la sécurisation des accès dans les entreprises ou dans les lieux publics est soumise à l’autorisation de la CNIL. Si l’application est mise en œuvre pour le compte de l’État, il faut un décret en Conseil d’État après un avis préalable de la commission. Au contraire, si l’application biométrique est limitée à un usage exclusivement personnel, elle ne sera pas soumise à la loi informatique et liberté (exemple : reconnaissance faciale qui sécurise l’accès aux ordinateurs domestiques, à un Smartphone).

Alors qu’en France, la surveillance globale est un concept toujours lointain, il existe à New York des caméras installées dans la ville qui permettent d’observer les citoyens et de pouvoir effectuer une analyse biométrique de leur visage afin de le comparer à une base de données dans un but de protection contre le terrorisme.

L’idée consiste à ce que les autorités puissent identifier toute personne marchant dans la rue est inquiétante et attentatoire à la vie privée. La législation devra sûrement s’adapter avec l’arrivée de ces nouvelles technologies telles que les lunettes connectées ou encore les drones .

La CNIL n’est donc pas opposée par principe à l’utilisation de la reconnaissance faciale, mais elle réclame que son utilisation s’accompagne d’une prise de conscience sur les dangers potentiels que pourrait représenter cette technologie.

A cet égard, en septembre 2018 elle avait appelé à la tenue d’un débat démocratique sur le sujet. Ce débat devait déboucher sur l’instauration de gardes fous pour préserver la sécurité des citoyens et empêcher que cet outil ne soit utilisé à mauvais escient. Elle demandait ainsi de trouver « un juste équilibre entre les impératifs de sécurisation notamment des espaces publics et la préservation des droits et libertés de chacun ».

Dans ce but, la CNIL a apporté, le 7 novembre 2019, une première contribution de méthode à ce débat et qui poursuit les quatre objectifs suivants :

  • La présentation technique de ce qu’est la reconnaissance faciale et à quoi elle sert.
  • La mise en lumière des risques technologiques, éthiques, sociétaux, liés à cette technologie.
  • Le rappel du cadre s’imposant aux dispositifs de reconnaissance faciale et à leurs expérimentations.
  • La précision du rôle de la CNIL dans l’éventuel déploiement de nouveaux dispositifs de reconnaissance faciale à titre expérimental. (2)

La CNIL a imposé, dans ce contexte, certaines exigences en matière de reconnaissance faciale pour concrétiser cet objectif. Elle tient donc à ce que les risques technologiques, éthiques et sociétaux que cette technologie comporte soient mis en lumière.

Elle demande en particulier aux acteurs ayant une activité dans le domaine de faire en sorte que son utilisation se fasse en toute transparence. Toutefois les risques liés à cette technologie sont si importants que la CNIL distingue entre ceux qui ne sont pas acceptables, car ils auraient des conséquences beaucoup trop importantes dans une société démocratique et ceux qui peuvent être assumés moyennant des garanties appropriées.

Elle exige de ce fait une étude d’impact avant toute utilisation de la reconnaissance faciale pour évaluer les dommages qu’elle pourrait causer. S’ils sont trop importants ou s’il n’existe aucun moyen pour s’assurer que les principes démocratiques seront préservés alors l’emploi de ce dispositif ne sera pas autorisé. Elle préconise donc une étude au cas par cas.

Selon la commission le respect des personnes doit être placé au cœur des systèmes utilisant la reconnaissance faciale. La CNIL réclame donc que les entreprises mettant cette technologie à disposition du public respectent les règles édictées par le RGPD notamment le recueil du consentement et la garantie du contrôle des données.

Récemment, la Présidente de la CNIL a adressé, le 18 février 2021, un avertissement à un club sportif en matière de reconnaissance faciale. Le club sportif en question envisageait de recourir à un système de reconnaissance faciale dans le but d’identifier automatiquement les personnes qui font l’objet d’une interdiction commerciale de stade.

En effet, en l’absence d’une disposition législative ou réglementaire spéciale, la mise en œuvre de ce dispositif de reconnaissance faciale par ce club sportif à des fins de « lutte antiterroriste » est considérée comme illicite. Ainsi, ce projet a été considéré par la CNIL comme non conforme au RGPD et à la loi informatique et liberté.

B) Rebondissements à l’échelle internationale

Dans de nombreux pays, des réflexions sur le sujet ont été menées. En mars 2012, le Groupe de travail « Article 29 sur la protection des données de l’Union européenne » a exprimé son opinion concernant la reconnaissance faciale dans les services en ligne et mobiles en vue d’une réflexion sur le cadre juridique approprié et de la formulation de recommandations. Ce groupe de travail mentionne l’absence de consentement, les mesures de sécurité insuffisantes et le fait que ces technologies pourraient sonner le glas de l’anonymat.

Il convient de rappeler qu’en avril 2012, le groupe de travail a rendu publique une opinion qui indique qu’il faut obtenir le consentement de l’intéressé pour stocker et utiliser des données biométriques. De ce fait, Facebook a été contraint de désactiver son système de reconnaissance faciale qui contrevenait aux lois sur la protection des données de l’UE et à supprimer les photos qu’il avait recueillies en Allemagne.

En outre, un avis commun sur la proposition de règlement de la Commission européenne sur l’intelligence artificielle a été rendu le 21 juin 2021. Dans cet avis, la CNIL européenne (European Data Protection Board) et l’European Data Protection Supervisor (EDPS) affirment leur volonté de vouloir interdire les outils de reconnaissance faciale dans l’espace public.

Andrea Jelinek, la présidente du comité européen de la protection des données, et Wojciech Wiewiórowski, CEPD ont déclaré que : « le déploiement de l’identification biométrique à distance dans les espaces accessibles au public signifie la fin de l’anonymat dans ces lieux. Les applications comme la reconnaissance faciale en direct interfèrent avec les droits et libertés fondamentaux dans une telle mesure qu’elles pourraient remettre en cause l’essence même de ces droits et libertés ». (5)

Également intéressée par ces questions, La Federal Trade Commission a rendu publiques des pratiques exemplaires (autorisation des clients) à l’intention des entreprises ayant recours aux technologies de détection des visages. D’ailleurs aux États-Unis, la reconnaissance faciale gagne de plus en plus de terrain. L’organisme d’audit du Congrès des États-Unis (Government Accountability Office (GAO)) a publié, le 24 août, un rapport selon parmi 24 agences interrogées, dix envisagent d’intensifier leur utilisation de la reconnaissance faciale d’ici 2023. (4)

En conclusion, il est incontestable que la reconnaissance faciale confère une nouvelle dimension à la surveillance du fait qu’elle permet d’identifier les individus beaucoup plus rapidement et aisément. Elle constitue l’un des enjeux majeurs de ces prochaines années face au développement de ces nouvelles technologies et d’autant plus avec l’arrivée de la géolocalisation.

Pour lire une version plus complète de cet article sur la reconnaissance faciale, cliquez

Sources :