Geneviève Fieux-Castagnet et Gérald Santucci

Avril 2020

Présentation générale

Comment une machine, fût-elle « intelligente », peut-elle reconnaître des visages ? Certes, tous les visages comportent les mêmes éléments : deux yeux, un nez, des lèvres, un front, des joues, des oreilles, des cheveux etc., mais chaque visage est différent et un visage change d’aspect avec l’âge de la personne, les émotions qu’elle ressent, les expressions qu’elle se donne ainsi que son orientation. 

La reconnaissance faciale, l’une des principales applications de l’intelligence artificielle, gagne du terrain chaque jour sans que nous nous en rendions bien compte. Ainsi, depuis 2018 les voyageurs qui prennent le train pour Londres depuis la gare du Nord, ou qui embarquent à Roissy-Charles-de-Gaulle, ont affaire à de nouveaux portiques de sécurité qui sont destinés à vérifier leur identité lors du passage de la frontière. 

Désormais nos visages déverrouillent nos téléphones portables, nous font accéder à notre banque en ligne, nous permettent de monter à bord des trains et des avions… 

Il va de soi que ce qui est en train de se passer est un enjeu important pour le respect de notre vie privée. A l’âge du « capitalisme de surveillance », pour reprendre la formule de la sociologue et universitaire américaine Shoshana ZUBOFF, la vie privée est-elle condamnée ? Peut-être, mais il conviendrait de souligner que la « vie privée » ne devrait pas être ce que « la société » (le gouvernement, les entreprises etc.) nous accorde mais ce que nous décidons nous-mêmes d’en faire. 

Au-delà de la vie privée, l’intelligence artificielle, et en particulier, la reconnaissance faciale, nous interroge sur l’éthique. Ce thème transversal figurera en filigrane tout au long de cet article

Technologie utilisée

La reconnaissance faciale est une technologie informatique qui permet de reconnaître automatiquement une personne sur la base de son visage. Pour cela, elle utilise des données biométriques^[1]. 

La reconnaissance faciale se fait en trois temps : 

1. La détection du visage, suivie de son alignement, afin de localiser le visage d’un individu sur une image et d’en délimiter les contours à l’intérieur d’un champ ;
2. L’extraction des caractéristiques du visage et leur transformation informatique en modèle ou « gabarit » pouvant être utilisé pour la tâche de reconnaissance proprement dite ;
3. La reconnaissance du visage en recherchant une correspondance entre le gabarit et un ou plusieurs autres gabarits contenus dans une base de données. 

Source : Youssef FENJIRO, gestionnaire de projets et expert en science des données

Dans le cas de la biométrie faciale, un capteur 2D ou 3D « saisit » un visage, puis le transforme en données numériques par l’opération d’un algorithme et le compare à une base de données. 

Grâce à ces systèmes automatisés, l’identification et la vérification de l’identité d’individus peuvent s’effectuer en seulement quelques secondes à partir des caractéristiques de leur visage : écartement des yeux, des arêtes du nez, des commissures des lèvres, des oreilles, du menton, etc., y compris au milieu d’une foule ou dans des environnements dynamiques et instables. 

Bien qu’il existe d’autres signatures biométriques (empreintes digitales, scan de l’iris, voix, numérisation des veines de la paume de la main, ou encore analyse du comportement), la reconnaissance faciale s’impose comme la plus efficace des références en matière de mesures biométriques : 

– elle est facile à déployer et à mettre en oeuvre ;
– il n’y a pas d’interaction physique requise par l’utilisateur final ;
– les processus de détection et de correspondance du visage (pour la vérification / identification) sont très rapides.

Principales fonctions de la reconnaissance faciale

La biométrie permet d’identifier et d’authentifier des  personnes sur la base d’un ensemble de données reconnaissables, vérifiables, uniques et spécifiques à celles-ci et également de catégoriser des personnes en fonction de caractéristiques. 

L’identification répond à la question : « qui êtes-vous ? ». La personne est identifiée parmi d’autres en comparant ses données personnelles aux données d’autres personnes qui sont contenues dans la même base de données ou éventuellement dans des bases de données reliées. 

Elle est utilisée dans certains pays pour assurer des fonctions de sécurité. La reconnaissance faciale est utilisée par les forces de l’ordre pour retrouver des criminels, des terroristes, des enfants perdus etc.

La Chine s’est placée aux avant-postes de la technologie de reconnaissance faciale et a installé des milliers de « caméras intelligentes » à travers le pays. Le gouvernement et les entreprises privées de surveillance se sont associés pour développer les systèmes de surveillance. Un cas d’usage typique de la reconnaissance faciale est la lutte contre les infractions mineures concernant les piétons marchant en dehors des clous à Shenzhen (jaywalking) : des caméras de surveillance intelligentes sont placées près des passages piétons afin de surveiller le trafic piéton. Si un passant traverse sans attendre le signal provenant des feux de signalisation, il est détecté par les caméras et les données faciales le concernant sont comparées avec celles qui figurent dans les dossiers détenus par les autorités ; en cas de correspondance, la photo de l’auteur de la contravention au règlement est  affichée  à la vue de tous sur un large écran près du passage piéton. En l’absence de législation concernant le respect de la vie privée, la Chine s’impose comme le leader mondial de la reconnaissance faciale. Elle a introduit un système de « crédit social » qui mesure la réputation des citoyens selon leur comportement et leur présence sociale. Le score obtenu par un individu définit ce qu’il est autorisé à faire et, en dessous d’un certain niveau, certains droits et avantages lui sont retirés (par exemple, la possibilité d’effectuer une réservation de voyage).

De son côté, l’Inde s’emploie à construire la base de données de reconnaissance faciale la plus importante au monde. Les autorités font valoir que dans un pays d’1,3 milliard d’habitants, cette technologie est indispensable pour aider les services de police dont les ressources sont limitées et qui sont en sous-effectif. Dans un autre domaine, la plupart des gares de chemin de fer prévoient d’utiliser d’ici la fin de 2020 un logiciel de reconnaissance faciale pour combattre la criminalité. Le système est d’ores et déjà expérimenté dans le pôle technologique de Bangalore où un demi-million de visages sont scannés chaque jour puis comparés aux visages stockés dans les bases de données de la police. La reconnaissance faciale devrait être utilisée aussi à bord des trains au moyen de caméras de vidéosurveillance installées dans un premier temps à l’intérieur de 1200 des 58000 compartiments de trains. En outre, des capteurs seront testés pour détecter certains sons tels que les cris ou éclats de voix émanant de disputes.

L’authentification, quant à elle, répond à la question : « Êtes-vous bien la personne que vous prétendez être ? ». La biométrie permet ici de certifier l’identité d’une personne en comparant les données qu’elle présente avec les données préenregistrées de la personne qu’elle déclare être. Prenons d’abord le cas de l’Eurostar. Lorsque nous utilisons cette compagnie pour nous rendre à Londres, il nous faut comme toujours présenter notre passeport et notre billet de train. Pourtant, tout a changé. Le billet de train, au lieu d’être imprimé sur un support physique, est désormais un e-billet téléchargé dans notre téléphone mobile et, surtout, le passeport n’est plus examiné par un agent de la sécurité au guichet, mais vérifié par une machine dont la caméra et l’écran d’ordinateur nous scrutent : il faut se présenter devant le sas libre, positionner son passeport sur le lecteur puis, quand le passeport est détecté et que la porte permettant d’entrer dans le sas s’ouvre, il faut se positionner sur le marquage au sol et regarder la caméra de sorte à permettre l’identification du visage. Si le visage est identifié, alors la porte de sortie du sas s’ouvre. En fin de compte, de quoi avons-nous besoin pour prendre l’Eurostar ? Un e-billet et un passeport, certes, mais aussi et surtout un visage.

Chez Aéroports de Paris (ADP), c’est l’entreprise Gemalto, acquise par Thales en avril 2019, qui a conçu avec le ministère de l’Intérieur le programme informatique connu sous le nom de « Parafe » (Passage automatisé rapide aux frontières extérieures). Thales souhaite que sa collaboration avec ADP s’élargisse pour couvrir l’ensemble des besoins depuis l’enregistrement pour un vol jusqu’au moment de l’embarquement, la technologie employée évitant ainsi d’avoir à redemander à chaque fois des éléments d’identité.

La catégorisation par la biométrie peut aussi être utilisée pour faire entrer des personnes dans des catégories en fonction de caractéristiques qui peuvent être le genre, l’âge, l’origine ethnique, afin de les profiler. L’analyse algorithmique des visages permet de détecter certaines maladies, comme la dépression, mais aussi, selon un nombre croissant de chercheurs, les émotions. Par exemple, le logiciel d’analyse des expressions du visage FaceReader collecte les données relatives aux émotions afin de déterminer si une personne est « heureuse », « triste », « en colère », « surprise », « effrayée », « dégoûtée » ou bien « neutre ». En fait, les « données émotionnelles » fournissent à ceux qui les récoltent des informations additionnelles objectives concernant l’impact, l’appréciation, l’attirance et la répulsion vis-à-vis d’une marchandise, d’un service, d’une application mobile, d’un site web, d’un message publicitaire, de la bande-annonce d’un film, etc.^[2] Compte tenu des quantités considérables de données qui sont nécessaires pour entraîner une intelligence artificielle à détecter les émotions, de nombreux chercheurs restent sceptiques quant à l’avenir de la reconnaissance faciale dans ce domaine, surtout lorsqu’il apparaît que le sujet ne se trouve pas assis en face de la caméra, fixant l’objectif. Toutefois, les travaux de recherche se poursuivent, comme par exemple chez Fujitsu qui, en vertu d’un « processus de normalisation » lui permettant de convertir en une image frontale plusieurs images prises à partir d’un angle particulier, se vante d’être capable de détecter les émotions avec un taux d’exactitude de 81% (contre 60% chez la plupart de ses concurrents). La firme japonaise prévoit d’ores et déjà que son système de reconnaissance faciale va permettre d’améliorer la sécurité routière grâce à la détection des moindres changements de concentration du conducteur ou bien à un robot de repérer nos plus petits changements d’humeur. Ces perspectives semblent certes prometteuses, pour autant que leurs implications éthiques sont prises en compte sérieusement, mais les chercheurs ne doivent cependant pas perdre de vue le fait que les expressions du visage ont aussi une dimension culturelle, c’est-à-dire que leur signification diffère selon que le sujet vit en Asie, en Europe, en Afrique ou ailleurs.

Enjeux éthiques

Pour les cas d’usage portant sur l’authentification des personnes

Dans ce cas d’usage, le principal risque éthique est le faux négatif si la personne n’est pas reconnue, ce qui pourrait laisser croire qu’elle n’est pas en règle et porter ainsi atteinte à sa dignité. Or, l’on sait que les faux négatifs sont plus fréquents chez les personnes de couleur, ce qui peut générer une forme de discrimination. Certains programmes pour l’analyse faciale sont entachés de biais de nature sexiste ou raciale qui se traduisent par un faible taux d’erreur pour les hommes à peau clair, mais un taux élevé d’erreur pour les femmes à peau foncée^[3].

La reconnaissance faciale pourrait être utilisée pour contrôler l’accès à des ordinateurs ou à des applications. La personne risque de ne guère avoir le choix que d’accepter de recourir à la reconnaissance faciale pour avoir accès aux services, même si, dans un premier temps, une alternative pourrait lui être proposée. 

La reconnaissance faciale pourrait aussi être utilisée pour accéder aux locaux des entreprises ou dans les lycées. Même si le système reposait sur le consentement des individus, comment penser que celui-ci soit réellement libre quand il existe un rapport de force inégalitaire ? Le recours à la reconnaissance faciale dans ces cas-là peut très vite donner l’impression aux personnes d’être épiées dans leurs comportements, dans leurs horaires, ou dans leur assiduité, ce qui peut générer un sentiment de surveillance, d’atteinte à la vie privée et aux libertés individuelles.

La collecte de données biométriques qui constituent un des attributs du caractère unique d’une personne peut être vécue comme une atteinte à la dignité. Plus le système se généralisera, plus il y aura un risque de sentiment de perte d’individualité ; le visage qui exprime les émotions et la sensibilité d’une personne prendra la dimension d’un simple outil parmi d’autres outils, générant ainsi un sentiment de « dépersonnification » et de déshumanisation. La matière première de cette technologie n’est rien moins que nos visages. Peut-on considérer que le visage d’un utilisateur constitue une « data » comme les autres ? 

De plus, un mauvais usage ou un détournement d’usage peut avoir des conséquences graves sur les droits et libertés des personnes : usurpation d’identité, diffusion d’images sur les réseaux sociaux, chantage, harcèlement etc. 

Comme le souligne la CNIL « les dispositifs de reconnaissance faciale sont particulièrement intrusifs et présentent des risques majeurs d’atteinte à la vie privée et aux libertés individuelles des personnes concernées. Ils sont par ailleurs de nature à créer un sentiment de surveillance renforcée »^[4].

Tous ces cas d’usage d’authentification des personnes génèrent une accoutumance et une banalisation du recours à une technologie qui contient en elle des potentialités de dérive autoritaire dans un régime non démocratique où les contrepouvoirs seraient faibles. 

Pour les cas d’usage portant sur l’identification des personnes

Un cas d’usage peut être l’identification sur la voie publique de personnes recherchées, par confrontation en temps réel de tous les visages captés à la volée par des caméras de vidéo protection avec une base de données détenue par les forces de l’ordre. Les visages de tous les individus qui passent ou qui sont là au moment où l’on recherche un individu précis font l’objet d’une reconnaissance faciale. La technologie, étant sans contact, peut être alors considérée comme invasive. Pour qu’elle soit pleinement efficace en matière de sécurité et de suivi de délinquants, encore faut-il qu’elle soit largement déployée par de nombreuses caméras vidéos équipées du système d’intelligence artificielle (SIA) et que les bases de données soient les mieux fournies possibles. Son efficacité est donc proportionnelle à son déploiement, ce qui fait de cette technologie une porte ouverte à une société de surveillance de masse. 

Le seul fait de savoir que l’on peut faire l’objet de reconnaissance faciale dans un lieu public est susceptible d’être vécu comme une forme de surveillance et d’ingérence dans la sphère privée pouvant induire des modifications de comportements et une restriction spontanée dans sa liberté d’aller et venir, de se réunir ou de s’associer. Il s’ensuit un sentiment d’atteinte indirecte à la liberté d’expression et, par conséquent, à la vie privée et à la dignité de la personne^[5]. Sommes-nous prêts, en tant que citoyens, à perdre totalement et définitivement notre anonymat dans l’espace public ? Étant donné la vitesse de déploiement des usages multiples de la reconnaissance faciale, que vaut encore un consentement ? Certaines personnes, inquiètes pour leur vie privée, utilisent des maquillages, vêtements et accessoires permettant de brouiller les logiciels de reconnaissance faciale. « En Russie, une artiste activiste adepte des performances antisystème a organisé une communauté virtuelle autour de ces techniques… avant d’être arrêtée »^[6]. 

Par ailleurs, un logiciel de reconnaissance faciale dans le cadre d’enquêtes policières présente ici encore des risques de « faux négatifs » (la technologie ne parvient pas à faire correspondre un visage avec celui figurant sur une liste de surveillance, en conséquence de quoi des suspects ne sont pas détectés) et de « faux positifs » (la technologie aboutit à des erreurs d’identification).

S’ajoute à cela un risque non négligeable de cybersécurité et de captation malveillante de données qui peut conduire à des risques majeurs pour les individus, notamment lorsque les données sont croisées avec celles d’autres banques de données privées (par exemple celles des grandes entreprises technologiques de l’Internet, GAFAM ou BATX). Pouvons-nous faire confiance à tous ceux qui nous promettent la sécurité de la donnée ultra-sensible que constitue notre visage ? Qui serait en mesure de nous garantir la légalité des traitements effectués par les opérateurs publics ou privés ? Il faut envisager également le cas où le responsable du traitement lui-même glisse subrepticement d’un usage limité et sans risque vers un autre usage plus invasif et non autorisé.

En cas d’apprentissage machine, des biais pourraient s’introduire et stigmatiser une partie de la population.

Pour les cas d’usage portant sur la catégorisation des personnes et leur profilage

Ce cas d’usage peut permettre d’identifier des catégories de personnes selon leur origine ethnique. En Chine, la reconnaissance faciale a permis d’identifier les personnes d’origine ouïghour, de les suivre, de les contrôler et de les enfermer par centaines de milliers dans des camps d’internement. La reconnaissance faciale peut ainsi permettre d’exercer une action répressive sur une minorité. 

Un des risques de cette technologie est sa combinaison avec d’autres banques de données qui permettront l’identification des individus dans de très nombreux domaines permettant un profilage massif des individus portant une très fort atteinte aux libertés et droits fondamentaux^[7]. Il existe déjà des applications qui permettent de retrouver le nom, les activités, les contacts de n’importe quelle personne à partir d’une photo en utilisant les milliards de données qui figurent sur internet et sur les réseaux sociaux^[8]. La valeur des résultats des IA est fonction des questions qui leur sont soumises : quiconque cherche des corrélations entre un faciès et n’importe quel type de données en trouvera nécessairement. L’asymétrie d’information exorbitante qu’implique cette technologie accroît les possibilités d’influence et de coercition émanant des autorités, que celles-ci fussent politiques ou économiques. Un « Big Brother » (symbole du totalitarisme) ou un « Big Other » (symbole de l’« instrumentarianisme »), capable de reconnaître tous les individus et d’en obtenir instantanément le profil et les antécédents, surpasserait amplement les scénarios dystopiques imaginés jadis par B. F. SKINNER (Walden Two, 1948) et George ORWELL (1984, 1949).

La détection des émotions à des fins commerciales peut également être insidieuse : les rayonnages intelligents de supermarchés soulèvent des questions éthiques si les prix viennent à varier en fonction du consommateur qui se trouve devant, voire des questions juridiques quand la personnalisation d’un contenu se fait à l’insu de la personne. Quel que soit le cas d’usage, là encore il convient de bien informer les personnes pouvant être sujettes à des analyses automatisées. 

Sans préjuger des avancées scientifiques et technologiques qui vont continuer à perfectionner les usages de la reconnaissance faciale, il est légitime de s’interroger sur l’apport réel de ces systèmes pour améliorer, comme le prétendent les entreprises, la « satisfaction-client ». En effet, dans quelle mesure est-il techniquement faisable de déduire d’une émotion un degré de satisfaction-client ? Nos visages ne sont-ils pas animés en permanence de micromouvements qui ne reflètent pas forcément un état de satisfaction ou d’insatisfaction ? En outre, les émotions étant fugaces, voire éphémères, comment un système pourrait-il saisir l’instant parmi tant d’autres durant lequel l’émotion exprimée serait véritablement le reflet d’une satisfaction ou d’une insatisfaction durable ? De plus, des buts commerciaux justifient-ils une telle intrusion dans l’intimité d’une personne ?

Vers un encadrement des cas d’usage de la reconnaissance faciale

Le déploiement de la reconnaissance faciale s’est accéléré au cours des dernières années à un point tel qu’il est légitime de se demander si elle ne finira pas par s’imposer d’elle-même, avec ses biais sur lesquels il sera bien difficile de revenir, malgré les discriminations engendrées, et alors même que son efficacité diffère selon les conditions d’utilisation et les populations (sexe, ethnie, etc.). 

Le cadre juridique existant

Entre rejet en bloc de la reconnaissance faciale et usage débridé, il y a une voie à trouver dont la responsabilité incombe aux autorités publiques. D’ores et déjà existent en Europe des « repères juridiques » qui sont la Convention européenne des droits de l’homme, la Charte des droits fondamentaux de l’Union Européenne, le règlement général européen sur la protection des données et la directive Police-Justice.

La Convention Européenne des droits de l’homme et la charte des droits fondamentaux de l’Union européenne 

i. Droits protégés

La dignité, les libertés (respect de la vie privée, protection des données à caractère personnel, liberté de pensée, de conscience, de religion, liberté d’expression et d’information, liberté de réunion et d’association) constituent en vertu de la Convention européenne des droits de l’homme^[9] et de la charte des droits fondamentaux de l’Union Européenne^[10]des droits fondamentaux qui doivent s’appliquer de façon non discriminatoire. 

La protection des données personnelles et de la vie privée concerne par conséquent des droits protégés. La reconnaissance faciale utilisant des données personnelles et portant atteinte à la vie privée porte par essence atteinte à ces droits fondamentaux et ne peut être développée librement au sein de l’Union Européenne. Des mesures doivent être prises pour que la reconnaissance faciale respecte ces droits fondamentaux. 

ii. Protection de ces doits

Le principe général de ces textes est que seule une loi peut limiter l’exercice des droits et libertés précités^[11].

Les limites apportées par la loi à ces droits et libertés doivent respecter le contenu essentiel de ces droits et libertés, être nécessaires, proportionnelles, et répondre à des objectifs d’intérêt général reconnus par l’Union Européenne ou au besoin de protection des droits et libertés d’autrui. La convention européenne des droits de l’homme cite les objectifs d’intérêt général qui peuvent être, dans une société démocratique, la sécurité nationale, la sûreté publique, le bien-être économique du pays, la défense de l’ordre et la prévention des infractions pénales, la protection de la santé ou de la morale.

Au regard de ces textes, la reconnaissance faciale ne devrait pas pouvoir se développer en dehors d’un cadre légal.

En France plus particulièrement se cumulent un cadre européen avec le RGPD et un cadre français plus strict, autorisé par le RGPD^[12], avec la loi Informatique et Libertés.

Le règlement général européen sur la protection des données personnelles (RGPD)

i. Identification des personnes

La protection de L’article 9 du RGPD précité prévoit de façon claire le principe d’interdiction des traitements de données biométriques permettant d’identifier une personne de façon unique. Le principe est donc l’interdiction de la reconnaissance faciale mais uniquement en ce qui concerne l’identification des personnes. L’interdiction ne vise ni l’authentification des personnes ni leur classification.

Des exceptions sont prévues à cette interdiction : nous ne citerons que les principales : tout d’abord le consentement explicite des personnes visées, ce qui pose la question du consentement réellement libre et l’offre d’alternatives véritables à la reconnaissance faciale, et également quand une loi prévoit la possibilité de recourir à cette technologie en matière de santé publique ou quand il existe des motifs d’intérêt public essentiels.

La protection légale est donc importante en matière d’identification de personnes par reconnaissance faciale puisque si les personnes visées ne donnent pas leur consentement. Seule une loi pourra permettre d’y recourir. Cette loi devra néanmoins respecter les principes de la convention européenne des droits de l’homme précités^[13]. 

Mais qu’en est-il de l’authentification des personnes et du profilage par reconnaissance faciale ? 

ii. Authentification des personnes

Dans les deux cas, une analyse d’impact est obligatoire. Cette analyse d’impact est en effet requise quand le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.^[14] Elle permet une analyse de l’impact des opérations de traitement envisagées sur la protection des données personnelles. Les autorités de contrôle établissent des listes des types d’opérations de traitement pour lesquelles une analyse d’impact est obligatoire. Dans certains l’autorité de contrôle est saisie pour avis préalable^[15]. Les pouvoirs des autorités de contrôle sont larges : elles peuvent demander des informations complémentaires mais aussi mener des enquêtes exiger des mesures correctrices, pouvant aller jusqu’à l’interdiction du traitement et à la condamnation à des amendes en cas de violation de règles du RGPD^[16].

iii. Profilage

Le profilage grâce à la reconnaissance faciale pour suivre par exemple le déplacement d’une personne et le prédire est interdit s’il est utilisé pour prendre une décision automatisée. En revanche, il sera possible si au bout de la chaîne il y a un être humain pour prendre la décision^[17]. La loi peut cependant prévoir des exceptions à cette interdiction^[18]. 

iv. Conditions à respecter

Le traitement devra respecter les principes de laicéité, loyauté et transparence, de limitation des finalités, de minimisation des données, d’exactitude, de limitation de la conservation, d’intégrité et de confidentialité et ces mêmes conditions devront être vérifiées chez les sous-traitants^[19].

v. Droits d’information et d’accès

Le RGPD prévoit toute une série de droit d’information et d’accès aux données et de non-portabilité de celles-ci. Le recours à cette technologie doit faire l’objet d’une information aisément accessible, large, compréhensible et concise qui doit permettre de connaître l’identité du responsable du traitement, la finalité du traitement, sa base légale, les destinataires des données, leur durée de conservation etc. Le responsable du traitement doit également prévoir un droit d’accès, d’opposition, de limitation, de rectification, d’effacement des données biométriques par ceux qui en font l’objet^[20] (ces droits pouvant être limités par la loi, notamment pour des raisons de sécurité publique). 

La directive « Police-Justice »

Le RGPD et la directive « Police-Justice »^[21] composent tous deux le « paquet européen relatif à la protection des données à caractère personnel ». Ils présentent des champs d’application distincts qui se veulent complémentaires. 

La directive « Police-Justice » établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

L’identification des personnes à partir de données biométriques est autorisée en cas de nécessité absolue. Il faudra une loi pour le prévoir^[22].

Elle prévoit également que le responsable du traitement doit établir une distinction claire entre les données personnelles de différentes catégories de personnes concernées (les personnes coupables, celles pour lesquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale, les victimes, les témoins). 

Un traitement juridique spécifique de la reconnaissance faciale

Les spécificités de la reconnaissance faciale et sa vitesse de déploiement dans les entreprises, les institutions et la société civile rendent nécessaires des interprétations plus fines des conditions qui s’imposent afin que soit développée une reconnaissance faciale éthique bénéficiant à tous sans créer de nouvelles inégalités, sans empiéter sur les libertés publiques et sans poser de nouveaux risques sur les sécurités individuelle et collective. 

A l’aube de la troisième décennie du vingt-et-unième siècle se profilent les premiers éléments de ce que pourrait être une cadre juridique spécifique pour la reconnaissance faciale, tout en tenant compte du fait que l’Europe se trouve confrontée en la matière à un triple défi : un défi d’innovation technologique et industrielle, un défi d’appropriation citoyenne et un défi de régulation juridique^[23]. 

Les propositions de régulation de la Commission Européenne

La Commission européenne a présenté sa stratégie pour l’intelligence artificielle en affichant une approche éthique dont elle entend faire son marqueur et son atout, un peu à l’image de ce qu’il s’est passé avec le règlement général sur la protection des données (RGPD). D’ailleurs, Marghrete VESTAGER, vice-présidente exécutive de la Commission européenne en charge de « Une Europe adaptée à l’ère du numérique », a enfoncé le clou :

« Certains disent que les données se trouvent en Chine et l’argent aux États-Unis. Mais en Europe, nous avons un projet et beaucoup de choses sur lesquelles nous pouvons construire (…) Mon approche n’est pas de rendre l’Europe plus comme la Chine ou les États-Unis, mon plan est de rendre l’Europe plus comme elle-même. »

La Commission européenne est revenue sur l’intention qu’elle a eue pendant un moment d’imposer un ban temporaire sur les usages de la reconnaissance faciale.

Elle a publié le 17 février 2020 un Livre blanc consacré à l’intelligence artificielle^[24] dans lequel elle soutient l’adoption d’un texte contraignant sur l’intelligence artificielle, notamment pour les systèmes d’intelligence artificielle (SIA) à haut risque^[25]. La reconnaissance faciale pour l’identification des personnes est considérée par le Livre blanc comme un SIA à haut risque et devrait être par conséquent encadrée par la nouvelle règlementation envisagée par la Commission. Celle-ci qui devrait poser des règles contraignantes en matière : 

– de contrôle des données utilisées lors de l’entraînement et lors de l’utilisation du SIA ;
– de conservation des archives expliquant le choix des données et de l’algorithme ;
– d’information due à l’utilisateur, notamment sur la finalité du SIA, ses capacités et ses limites ;
– de sécurité et d’exactitude du SIA, notamment sur la reproductibilité de ses résultats et sa capacité à corriger ses erreurs ;
– d’action humaine et de contrôle humain, notamment par une validation ou un recours par l’humain des décisions prises par le SIA, selon les cas par la possibilité d’imposer des contraintes ou par un bouton d’arrêt. 

Le projet de Livre blanc sur l’intelligence artificielle de la Commission contient deux approches fondées sur le risque : l’une en vue de la détermination des débiteurs d’une obligation, l’autre en vue d’instituer un cadre réglementaire.

L’une des principales difficultés générées par l’intelligence artificielle est la traçabilité d’une erreur à l’origine d’un dommage, en raison notamment de la diversité des acteurs économiques qui sont impliqués dans le cycle de vie d’une intelligence artificielle. Afin de déterminer sur qui pèsera la responsabilité du fait d’une intelligence artificielle, la Commission propose une approche fondée sur la désignation de la personne la plus à même d’y répondre. Ainsi, le développeur serait le plus à même de répondre des risques générés lors de la phase de développement. En revanche, la responsabilité de l’utilisateur prévaudra lors de la phase d’utilisation.

Elle évoque également le recours à une évaluation préalable de conformité avec des procédures d’essai, d’inspection ou de certification et un contrôle ex post par les autorités compétentes.

Les positions de la CNIL

La CNIL (Commission nationale de l’information et des libertés), autorité française indépendante gardienne des droits fondamentaux en matière de données biométriques, rend des avis sur les projets de loi ou décrets souhaitant autoriser le recours à la reconnaissance faciale tant pour l’identification des personnes que pour leur authentification^[26]. 

Elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques. Elle a notamment élaboré un règlement-type contraignant sur la biométrie sur les lieux de travail^[27].

Sauf pour les traitements mis en œuvre pour le compte de l’État agissant dans l’exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques^[28]. 

i. Les exigences de la CNIL en matière d’expérimentation de la reconnaissance faciale

La CNIL ne s’oppose pas au principe à l’utilisation de la reconnaissance faciale, néanmoins elle souligne plusieurs exigences pour en encadrer l’expérimentation, notamment en matière de respect de la vie privée des citoyens. 

Pour la CNIL, il importe que les expérimentations n’aient pas pour objet ou pour effet d’accoutumer les personnes à des techniques de surveillance intrusive. Dans l’attente d’un cadre juridique, elle veut éviter qu’une expérimentation ne nécessitant pas d’autorisation légale à ce jour permette une accoutumance par les citoyens aux usages non nécessaires ou non légitimes, voire le développement d’usages non souhaités en toute illégalité.

Un aspect méthodologique important pour la CNIL est que les traitements avec des données biométriques fassent l’objet d’une analyse d’impact^[29] préalable qui devra fournir une description systématique des opérations de traitement envisagées et de ses finalités, procéder à une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ainsi qu’à une évaluation des risques pour les droits et libertés des personnes concernées, et indiquer les mesures envisagées pour faire face à ces risques^[30]. L’analyse d’impact devra être transmise à la CNIL en cas de risques résiduels élevés malgré les mesures envisagées par le responsable de traitement concerné, ce qui sera le cas en général de la reconnaissance faciale.

La CNIL est favorable à ce que l’expérimentation de la reconnaissance faciale fasse l’objet d’un cadre juridique et que ce cadre soit l’occasion de tracer des « lignes rouges » d’interdiction au-delà desquelles aucun usage, même expérimental, ne serait admis. Ces lignes rouges sont dans la continuité des exigences posées par les textes légaux précités, à savoir : légitimité des buts poursuivis, minimisation du recours à cette technologie qui doit être strictement nécessaire avec la démonstration de l’inadéquation d’autres moyens de sécurisation moins intrusifs, proportionnalité des usages. 

ii. Identification du caractère strictement nécessaire de la reconnaissance faciale par rapport à d’autres technologies possibles

Dans le cas d’usage d’utilisation de la reconnaissance faciale pour s’authentifier sur un lieu de travail, la CNIL exige que le système de badge ne soit pas suffisant, que cela ne réponde pas seulement à un besoin de confort, et que les locaux soient particulièrement sensibles^[31]. Des solutions moins intrusives doivent être privilégiées. Elle a ainsi considéré comme illégal le système de reconnaissance faciale utilisé dans deux lycées de la Région Sud, des systèmes moins intrusifs tels que des badges pouvant être mis en place. 

C’est ainsi que la SNCF a fait le choix de ne pas recourir à un système de reconnaissance faciale dans ses gares pour identifier les propriétaires des bagages abandonnés ou les auteurs de flagrants délits mais plutôt d’utiliser un système de reconnaissance par les vêtements, ce qui est beaucoup moins intrusif puisqu’aucune donnée biométrique n’est utilisée pour identifier la personne. Ce système sera repris prochainement par la mairie de Nice et celle de Marseille. 

Selon la CNIL, cette démarche de recherche de solutions alternatives doit être systématisée afin d’éviter qu’une telle technologie hautement invasive, génératrice d’accoutumance, ne se répande alors qu’elle n’est pas indispensable. 

Il est intéressant de noter que plutôt que d’utiliser la reconnaissance faciale pour identifier les déplacements de personnes atteintes du Coronavirus, certains pays ont eu recours à d’autres technologies moins invasives, notamment des solutions de « suivi de contacts » (contact tracing), c’est-à-dire le fait de suivre à la trace les personnes potentiellement contaminées^[32]. 

En France, la CNIL est d’accord pour que l’on mesure les déplacements des populations grâce aux données des opérateurs télécoms (c’est ainsi qu’il a été possible d’évaluer que 1,2 million de Franciliens avaient quitté leur région au début du confinement), mais elle n’est pas d’accord pour établir un suivi individualisé, sauf si celui-ci repose sur une démarche volontaire de la personne concernée. 

iii. La recherche d’un consentement réel

La CNIL a rappelé à plusieurs reprises que le consentement ne pouvait être libre que « si le traitement de données était strictement nécessaire à la fourniture du service demandé par la personne, ou si une alternative était effectivement offerte par le responsable du traitement à la personne concernée ». Cela implique dans le second cas que le citoyen, l’utilisateur ou le consommateur devrait pouvoir choisir entre recourir à un système avec reconnaissance faciale ou recourir à un autre système. 

C’est le cas dans le système automatisé de sas intelligents Parafe, les utilisateurs pouvant choisir de l’adopter ou de passer par le contrôle classique des frontières. Cette liberté devrait pouvoir s’exercer dans la durée et non pas seulement le temps que les personnes s’habituent à utiliser la reconnaissance faciale. Un retour en arrière devrait également être rendu possible. 

Cependant, comment peut-on être certain que le consentement de l’individu soit « réel » ? Celui qui donne son consentement ne peut-il pas être victime d’un manque d’information ou d’une « manipulation douce » (nudge) ? 

Les solutions alternatives proposées, comme par exemple pour le cas des sas intelligents dans les aéroports, ne sont-elles pas déséquilibrées dès lors que la solution basée sur la reconnaissance faciale est beaucoup plus efficace que toute autre (vitesse, facilité d’usage, etc.) ? 

Au fil des années, le temps d’attente au passage des postes frontières a eu tendance à s’accroître en raison du durcissement des contrôles effectués par les autorités et d’effectifs qui n’ont pas évolué. Comment peut-on croire que le « progrès » généré par le système de reconnaissance faciale Parafe, en termes de rapidité (10-15 secondes contre 30-45 secondes pour l’ancien système d’empreintes digitales) et de sécurité, pourrait être remis en cause par la grande majorité des utilisateurs ? Il faut se rendre à l’évidence : les solutions de reconnaissance faciale, appliquées aux sas intelligents dans les aéroports ou à d’autres procédures de contrôles de sûreté, s’imposeront facilement et irrémédiablement dès lors qu’elles se traduisent incontestablement par des gains de performances et des réductions de coûts. 

Des mesures techniques de sécurisation des données ou des algorithmes

La technologie de reconnaissance faciale, on l’a vu, déploie ses ramifications dans l’ensemble de l’économie et de la société civile. Les forces de police à travers le monde mettent en œuvre des programmes utilisant des caméras destinées à scanner les foules lors des matchs dans les stades de football, lors des festivals, ou encore lors des manifestations dans les rues, avec pour objectif d’identifier des personnes soupçonnées d’une infraction. De leur côté, les géants du numérique entrent dans le jeu sans vergogne : Facebook compte sur la reconnaissance faciale pour étiqueter nos photos automatiquement ; Snapchat l’utilise pour superposer des animations amusantes sur notre visage ; Apple s’en sert pour déverrouiller nos téléphones portables via FaceID ; Amazon emploie un système d’analyses d’images, Rekognition, qui permet, entre autres, la reconnaissance faciale en temps réel parmi des dizaines de millions de visages. 

Les régulateurs à travers le monde reconnaissent l’importance du respect de la vie privée et exigent que les « informations personnelles identifiables » (PII) soient protégées, d’où par exemple le règlement général européen sur la protection des données (RGPD, 2016), la loi votée par l’État américain de l’Illinois sur la protection des renseignements biométriques (Biometric Information Privacy Act, ou BIPA, 2008), ou encore la loi américaine sur la portabilité et la responsabilité en assurance santé (Health Insurance Portability and Accountability Act, ou HIPAA, 1996). En vertu du RGPD, les images faciales sont des données personnelles sensibles qui sont soumises à des exigences et des restrictions. Les entreprises sont donc incitées à utiliser des mesures techniques pour respecter les principes du RGPD, y compris la confidentialité par défaut, le droit à l’oubli ou encore la protection de la vie privée dès la conception. 

A côté de l’arsenal réglementaire, des mesures techniques permettant de limiter les atteintes à la vie privée, aux données personnelles et aux libertés publiques, commencent à se mettre en place. 

Le risque de vol ou de détournement d’usage sera limité si les données biométriques sont conservées par la personne elle-même. C’est le cas dans le système Parafe puisque les données biométriques sont contenues dans la puce intégrée au passeport biométrique, ce qui permet de limiter les risques de vol de données.

En outre, plus brève sera la durée de conservation des données, moins important sera le risque de vol ou de détournement d’usage : dans le système Parafe, les images recueillies sont effacées dès la comparaison avec l’image numérisée et stockée dans le passeport. 

Il faudra aussi procéder à la détection systématique des biais dans les banques de données et dans les algorithmes en cas d’apprentissage machine et corriger ceux-ci régulièrement de sorte à prévenir les traitements discriminatoires indus.

Il existe des possibilités de limiter les risques en matière de cyber sécurité : 

– l’utilisation d’ordinateurs dédiés accessibles uniquement dans des locaux sécurisés (badge obligatoire etc.) ;
– des réseaux vidéo cloisonnés (par VLAN etc.) ; 
– l’installation d’antivirus et autres protections sur les ordinateurs ; 
– des postes de travail dédiés, connectés à des réseaux sécurisés ; 
– le recours à du personnel dédié et formé ; 
– le strict contrôle des prestataires accédant aux données ; 
– la traçabilité et la journalisation des données ;
– l’archivage et la maintenance effectués en interne. 

Nous n’en sommes qu’au début de l’innovation dans les domaines de la sécurité et de la cyber sécurité concernant les algorithmes de reconnaissance faciale et les systèmes d’intelligence artificielle en général. Dans un délai rapproché, les entreprises devront non seulement respecter scrupuleusement les législations, plus ou moins sévères selon les pays et sans doute évolutives, mais également développer un arsenal de protections spécifiques combinant des mesures techniques, des mesures organisationnelles et des mesures de gestion. 

Reconnaissance faciale et vie démocratique

Le lancement de débats nationaux et européens

Un consensus semble exister, au moins en Europe, sur le point que les questionnements relatifs à l’analyse des visages, en particulier par l’utilisation de l’apprentissage profond, ne doivent pas rester uniquement dans les mains des ingénieurs et des entreprises. L’IA confère des pouvoirs inaccessibles jusque-là qui justifient que la reconnaissance faciale, porteuse de risques de surveillances massives, fasse l’objet d’un débat ouvert, inclusif, participatif. 

La Commission Européenne favorable à un débat européen

La Commission européenne a lancé le 19 février 2020 une consultation qui porte notamment sur les circonstances spécifiques permettant de justifier le recours à la reconnaissance faciale pour identifier les personnes dans des lieux publics ainsi que sur les garanties communes à mettre en place. Cette consultation prendra fin le 31 mai 2020.

La CNIL favorable à un débat national

La CNIL souhaite apporter sa contribution au débat sur la reconnaissance faciale avec plusieurs objectifs^[33] :

– clarifier l’objet du débat pour tous les citoyens en présentant ce qu’est la reconnaissance faciale techniquement et à quoi elle sert ; 
– mettre en lumière les risques technologiques, éthiques, sociétaux, liés à cette technologie, en montrant notamment que la reconnaissance faciale peut devenir un outil particulièrement omniprésent et intrusif et que la violation de données ou tout mésusage peut engendrer des risques importants (blocage d’accès à un service, usurpation d’identité, etc.) ; l’évaluation des risques est donc indispensable pour déterminer ceux qui ne sont pas acceptables dans une société démocratique et ceux qui peuvent être assumés moyennant des garanties appropriées ; 
– rappeler les principes qui doivent encadrer les usages : placer le respect des personnes au cœur des dispositifs, par exemple en recueillant leur consentement et en leur garantissant le contrôle de leurs données ainsi que l’accès aux informations ; le respect de ces principes, conformes avec le RGPD, a déjà conduit la CNIL à admettre certains usages tout en encadrant leurs modalités pratiques (contrôles aux frontières dans les aéroports, contrôle de l’accès au carnaval de Nice) et d’en refuser d’autres (contrôle d’accès d’élèves dans des établissements scolaires^[34]).

Le lancement d’un large débat public sur ce que peuvent être des circonstances exceptionnelles justifiant le recours à la biométrie sera très utile, mais à condition que ce débat ne soit pas limité à l’identification par reconnaissance faciale mais également destiné à réfléchir sur les questions liées à l’authentification et à la catégorisation par reconnaissance faciale. Il devra permettre à toutes les parties prenantes de la société civile de faire entendre leur voix. 

Des garanties démocratiques de contrepouvoir

Suite à ces débats démocratiques, il devrait être possible de lister les cas d’usage sans risques, les cas d’usage soumis à autorisation préalable et les cas d’usage interdits sauf circonstances exceptionnelles. 

Les cas d’usage soumis à autorisation préalable devront faire l’objet d’un examen par des comités éthiques indépendants au sein des États membres, composés des parties prenantes et présidés par exemple par des hauts magistrats du siège, ces comités travaillant en réseau entre eux. Ils pourront s’appuyer pour effectuer leur analyse sur les sept principes édictés par la Commission européenne en 2018 : 

– facteur humain et contrôle humain : les systèmes d’IA devraient être les vecteurs de sociétés équitables en se mettant au service de l’humain et des droits fondamentaux, sans restreindre ou dévoyer l’autonomie humaine ;
– robustesse et sécurité : une IA digne de confiance nécessite des algorithmes suffisamment sûrs, fiables et robustes pour gérer les erreurs ou les incohérences dans toutes les phases du cycle de vie des systèmes d’IA ;
– respect de la vie privée et gouvernance des données : il faut que les citoyens aient la maîtrise totale de leurs données personnelles et que les données les concernant ne soient pas utilisées contre eux à des fins préjudiciables ou discriminatoires ;
– transparence : la traçabilité des systèmes d’IA doit être assurée ;
– diversité, non-discrimination et équité : les systèmes d’IA devraient prendre en compte tout l’éventail des capacités, aptitudes et besoins humains, et leur accessibilité devrait être garantie ;
– bien-être sociétal et environnemental : les systèmes d’IA devraient être utilisés pour soutenir des évolutions sociales positives et renforcer la durabilité et la responsabilité écologique ;
– responsabilisation : il convient de mettre en place des mécanismes pour garantir la responsabilité à l’égard des systèmes d’IA et de leurs résultats, et de les soumettre à une obligation de rendre des comptes.

Les cas d’usage interdits ne pourront être développés que pour une période limitée dans le temps en raison de circonstances exceptionnelles d’intérêt général, de sécurité ou de santé publique qui devront être votées par les parlements, respecter le contenu essentiel des droits et libertés de la convention européenne des droits de l’homme, être nécessaires, proportionnelles et soumises au contrôle d’une autorité judiciaire. 

Des auditeurs publics devraient être dépêchés pour vérifier que les cas d’usage ne sont pas détournés et que les décisions prises dans le cadre des comités éthiques sont respectées. 

CONCLUSION

La technologie de reconnaissance faciale est entrée dans nos sociétés de façon assez subversive, sans réel contrôle démocratique, sans débats ouverts et préalables qui puissent faire circuler, au-delà du microcosme des parties prenantes bien informées, le savoir essentiel du point de vue du respect des droits fondamentaux de la personne. Elle s’est imposée en quelques années à la confluence des avancées technologiques dans le domaine de l’intelligence artificielle et de l’évolution rapide des besoins dans le vaste espace des domaines d’intérêt général (sûreté, mobilité et transports, santé, etc.). 

Il ne servirait à rien de feindre d’ignorer que, comme le montre l’histoire, lorsqu’une technologie devient disponible, elle finit par être utilisée. Toutefois, cela ne signifie pas que son utilisation doive être laissée au bon vouloir de n’importe qui, pour n’importe quel usage, et dans n’importe quelles conditions. 

Dans les pays démocratiques, un consensus se dessine en faveur de phases d’expérimentation dans divers cas d’usage, limitées dans le temps et dans leur champ d’application, afin d’éclairer des débats publics et de guider les prises de décision. 

En l’absence de telles expérimentations, l’on se retrouve le plus souvent dans des situations où l’utilisation de la reconnaissance faciale reste interdite par la loi alors même que des collectivités locales accordent des exceptions de plus en plus nombreuses en délivrant des autorisations à titre expérimental. 

Cet article a indiqué que nos sociétés se trouvaient confrontées à un triple défi : un défi d’innovation technologique et industrielle, un défi d’appropriation citoyenne et un défi de régulation juridique. Ces trois défis doivent être considérés en même temps sans que l’un d’eux ignore les deux autres ou en minimise l’importance. Par rapport à l’enjeu si important du respect de la vie privée, les stratégies technologiques des pays d’Asie au moment de l’éclatement de l’épidémie du coronavirus ont été dénoncées en Europe, moins aux États-Unis, en raison de leur incompatibilité avec nos « valeurs » et nos législations. 

Pour autant, la pandémie en cours ainsi que d’autres enjeux planétaires – le changement climatique, la désertification (un tiers du total des terres émergées), les mouvements migratoires, les changements démographiques, les pénuries de ressources (eau, sable, denrées alimentaires, etc.) – convergent pour nous amener à penser que nous assistons à un changement de civilisation. Nous assistons à une « accélération de l’histoire » qui nous force à revoir nos concepts, préjugés, stratégies, sous peine de mettre l’humanité en danger. Les libertés individuelles, et les droits fondamentaux qui les soutiennent, sont évidemment un héritage de l’histoire que l’humanité doit préserver. Mais ne serait-il pas temps de réaliser aussi à quel point la personne humaine, être singulier, constitue également un nœud de relations avec les autres et la planète, ce qui en fait le détenteur d’une part de responsabilité vis-à-vis non seulement des générations d’humains qui l’entourent mais aussi de l’espèce humaine, et par conséquent vis-à-vis des générations futures ? 

Il nous faut réfléchir dès maintenant aux grandes révolutions de demain, à commencer bien sûr par l’intelligence artificielle et son sous-domaine, la reconnaissance faciale, mais aussi les biotechnologies, la télémédecine, l’économie circulaire, tout comme nos prédécesseurs se préparèrent en leur temps à la machine à vapeur, au pétrole , à l’électricité, à l’informatique ou encore au téléphone. Nous devons faire face aux défis que nous lance l’ère numérique en construisant une éthique qui prenne en compte un horizon lointain. C’est-à-dire que nous devons travailler dans l’intérêt des générations futures – notre nouvelle boussole – en embrassant l’apport des nouvelles technologies, y compris la reconnaissance faciale dont le potentiel est considérable pour le bien-être de l’humanité, tout en intégrant à nos initiatives et à nos actions un cadre éthique, défini collectivement sur la base d’une information complète, exacte, analysée et commentée de façon ouverte et participative, qui permette à l’humain de conserver le contrôle des nouveaux systèmes numériques, à la fois par une conception des technologies intégrant en amont les exigences en matière de droits fondamentaux et par l’élaboration d’un cadre réglementaire approprié, forcément adaptable au fur et à mesure des grandes évolutions des sociétés. 

REFERENCES

^[1]       Les données biométriques sont des données à caractère personnel résultant d’un traitement technique spécifique relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que les images faciales (définition du Règlement Général sur la Protection des Données personnelles (RGPD) 2016/679 du 27 mars 2016).

^[2]       Bartkiene, E.; Steibliene, V.: Adomaitiene, V.; Juodeikiene, G.; Cernauskas, D.; Lele, V.; Klupsaite, D.; Zadeike, D.; Jarutiene, L. & Guiné, R.P.F. (2019), Factors Affecting Consumer Food Preferences: Food Taste and Depression-Based Evoked Emotional Expressions with the Use of Face Reading Technology, BioMed Research International, 4, 1-10. https://doi.org/10.1155/2019/2097415

^[3]       NIST Study Evaluates Effects of Race, Age, Sex on Face Recognition Software, 19/12/2019, https://www.nist.gov/news-events/news/2019/12/nist-study-evaluates-effects-race-age-sex-face-recognition-software

^[4]       Avis de la CNIL en date du 29 octobre 2019 sur une expérimentation de reconnaissance faciale dans deux lycées de la région PACA, https://www.cnil.fr/fr/experimentation-de-la-reconnaissance-faciale-dans-deux-lycees-la-cnil-precise-sa-position

^[5]       « Facial recognition technology: fundamental rights considerations in the context of law enforcement », https://fra.europa.eu/en/publication/2019/facial-recognition

^[6]       https://fr.news.yahoo.com/russie-collectif-d-artistes-développe-165023862.html

^[7]       Au sens du RGPD, le profilage consiste en toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

^[8]       Peut-on tromper la reconnaissance faciale? Les Echos 23 Mars 2020.

^[9]       Convention Européenne des droits de l’homme et libertés fondamentales adoptée le 4 novembre 1950 et entrée en vigueur le 3 septembre 1953.

^[10]     Charte des Droits fondamentaux de l’Union Européenne du 7 décembre 2000.

^[11]     Nous n’entrerons pas dans le débat de savoir si certains des droits fondamentaux ne peuvent pas faire l’objet de limitations comme le laisse entendre l’article 15 alinéa 2 de la convention européenne des droits de l’homme selon lequel des limitations légales seraient possibles pour certains droits mais pas pour d’autres car l’article 52 de la charte des droits fondamentaux de l’Union Européenne ne procède à aucune distinction entre les droits et prévoit globalement la possibilité de les limiter par la loi. 

^[12]     Article 9 du RGPD. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.

^[13]     Les limites légales doivent respecter le contenu essentiel des droits et libertés fondamentaux, être nécessaires, proportionnelles, et répondre à des objectifs d’intérêt général reconnus par l’UE ou au besoin de protection des droits et libertés d’autrui.

^[14]     Article 35 du RGPD

^[15]     Article 36 du RGPD

^[16]     Article 58 du RGPD

^[17]     Article 22 du RGPD

^[18]     Article 22 et 23 du RGPD

^[19]     Article 5 du RGPD

^[20]     Article 12 et suivants du RGPD

^[21]     Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.

^[22]     Article 10 de la directive 2016/680 du parlement européen et du conseil du 27 avril 2016

^[23]     BAICHÈRE (Didier), député des Yvelines, et SÉJOURNÉ (Stéphane), député européen, Pour une reconnaissance faciale éthique, Le Monde, 24/10/2019, https://www.lemonde.fr/idees/article/2019/10/24/pour-une-reconnaissance-faciale-ethique_6016693_3232.html

^[24]     Bruxelles, le 19/02/2020, COM(2020) 65 final, Livre Blanc « Intelligence artificielle – Une approche européenne axée sur l’excellence et la confiance ». 

^[25]     Selon la Commission européenne, une application d’IA devrait généralement être considérée comme étant à haut risque en fonction de ce qui est en jeu, en examinant si des risques importants sont associés à la fois au secteur et à l’utilisation envisagée.

^[26]     Article 32 de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : « Sont autorisés par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ».

^[27]     Les traitements conformes aux règlements types mentionnés au c du 2° du I de l’article 8 de la loi informatique et libertés mis en œuvre par les employeurs ou les administrations portent sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires. 

^[28]     Article 8 b de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

^[29]     Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.

^[30]     Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD). 

^[31]     Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail.

^[32]     Au moment du déclenchement de l’épidémie, plusieurs pays asiatiques ont mis en place des applications mobiles pour suivre la propagation du Covid-19 ou limiter les déplacements des personnes contaminées. En Chine, Ant Financial, filiale d’Alibaba, a lancé le 11 février 2020 l’application Alipay Health Code : à partir de l’historique des déplacements de l’utilisateur et d’un questionnaire sur son état de santé, un algorithme évalue le risque qu’il ait été en contact avec d’autres porteurs du virus. Le résultat s’affiche sous la forme d’un QR Code qui peut avoir trois couleurs : vert, le risque est faible, et l’utilisateur peut se déplacer ; jaune, la personne doit rester confinée pendant sept jours ; rouge, elle doit observer quatorze jours de quarantaine. Dans les régions les plus touchées, le code est contrôlé à tout moment, dans la rue ou dans les transports. En Corée du Sud, le ministère de l’Intérieur a mis en place début mars une application de contrôle des personnes placées en quarantaine. Elle permet aux autorités d’être tenues au courant de l’évolution de leur état de santé, mais aussi de s’assurer qu’elles respectent le confinement. A Singapour, l’application TraceTogether utilise les antennes Bluetooth des smartphones au lieu du GPS pour enregistrer toute rencontre entre deux personnes dans un rayon d’environ 2 mètres. Hors d’Asie, Israël et l’Iran ont annoncé l’adoption de technologies similaires. Quant à la Pologne, elle oblige déjà, via une application, les personnes en quarantaine à envoyer des selfies géolocalisés. Ces technologies se sont révélées assez efficaces mais elles posent dans les démocraties occidentales de réels problèmes en matière de libertés publiques. Une analyse par le New York Times du code source d’Alipay Health Code a permis de montrer que le programme envoyait des données vers des serveurs de la police chinoise. En Corée, où l’application de traçage se double d’alertes envoyées à la population par SMS, plusieurs personnes ont pu être publiquement identifiées et, sans surprise, stigmatisées. 

^[33]     CNIL, « Reconnaissance faciale : pour un débat à la hauteur des enjeux », 15/11/2019, https://www.cnil.fr/fr/reconnaissance-faciale-pour-un-debat-la-hauteur-des-enjeux

^[34]     CNIL, « Expérimentation de la reconnaissance faciale dans deux lycées : la CNIL précise sa position », 29/10/2019, https://www.cnil.fr/fr/experimentation-de-la-reconnaissance-faciale-dans-deux-lycees-la-cnil-precise-sa-position