Le débat, tout comme l’actualité de ces dernières semaines, a fait ressortir que cette technologie pose des questions qui touchent avant tout à des choix de modèle de société, au-delà des problématiques technologiques, juridiques et organisationnelles. On relèvera notamment de nombreuses interrogations autour de sa fiabilité (qui constitue une objection faible, les cas de faux positifs ou de faux négatifs étant amenés à diminuer avec la maturité des dispositifs), des biais éthiques et de genre, des modalités de protection des mineurs ou de la bonne réalisation d’une analyse de risques.
Les réponses ne sauraient donc être envisagées seulement du point de vue technique ou juridique ; elles sont bien liées à leur composante d’ensemble qui est politique.
Ainsi, parallèlement à l’examen de la proposition de loi relative à la sécurité globale déposée le 20 octobre 2020[1], le Ministère de l’Intérieur a publié le 16 novembre 2020 son livre blanc sur la sécurité[2]. Faisant écho à la suggestion du secrétaire d’État au numérique Cédric O[3], le document – qui ne comporte pas moins de 332 pages – propose « d’expérimenter la reconnaissance faciale dans les espaces publics, afin de maîtriser techniquement, opérationnellement et juridiquement cette technologie à des fins de protection des Français »[4].
À l’heure où une voie alternative est choisie par d’autres acteurs institutionnels (la ville de Portand, aux États-Unis, interdit depuis le 10 septembre 2020 l’usage de la reconnaissance faciale à des fins policière et commerciale[5]) ou privés (IBM[6], Amazon[7] et Microsoft[8] appliquent un moratoire et refusent de vendre leur technologie de reconnaissance faciale aux institutions gouvernementales tant que son impact sur les droits fondamentaux n’est pas évalué), le livre blanc privilégie une toute autre option, l’intensification. Cette intensification se concrétiserait donc par le recours aux expérimentations et par la création d’une base de données biométriques du visage à usage criminalistique « qui comprendrait d’une part comme aujourd’hui les images de référence mais aussi d’autre part, l’ensemble exhaustif des traces non identifiées, à l’instar de ce qui existe pour les traces papillaires et génétiques »[9]. Il s’agit ainsi de multiplier les possibilités de reconnaissance via des systèmes techniques, reconnaissance qui serait étendue à la reconnaissance comportementale. L’objectif serait alors non plus seulement « l’identification ou la localisation d’une personne par reconnaissance biométrique, mais l’analyse de contextes ou la détection de scènes potentiellement constitutives de danger pour les personnes ou correspondant à des situations délictuelles ou criminelles »[10].
En matière d’authentification, les technologies de reconnaissance faciale permettant de vérifier qu’une personne est bien celle qu’elle prétend être, semblent pour la plupart efficaces et conformes à nos valeurs démocratiques. On observe que, dans la plupart des cas, la personne a conscience du traitement de ses données biométriques. Tel est notamment le cas lors de son passage aux zones de contrôle des frontières dans les aéroports via des bornes de contrôles automatisées d’identité appelées sas PARAFE (Passage Automatisé Rapide aux Frontières Extérieures)[12]. En ce qui concerne l’identification, à savoir la capacité à retrouver une personne au sein d’un groupe, certaines finalités, selon les contextes concernés ou les choix opérés, ne sont pas sans poser des problèmes d’application, voire de respect des règles juridiques.
Les différentes décisions rendues en cette fin d’année 2020 offrent à cet égard un panorama des limites de l’utilisation de dispositifs captant des données biométriques par les pouvoirs publics et leur nécessaire conformité au RGPD.
Une première illustration de ces difficultés relatives à l’authentification nous est fournie par les prescriptions du Conseil d’État pour la mise en place de l’application ALICEM. Nous aborderons ensuite l’utilisation de la reconnaissance faciale par la police galloise sanctionnée par la Cour d’Appel de Londres avant de conclure sur la décision de la haute juridiction française sur l’utilisation préventive de rassemblement du public par des drones.
En France, l’application de la législation relative aux données personnelles est questionnée comme en témoigne la décision du Conseil d’État du 4 novembre 2020 à propos du dispositif ALICEM (acronyme de « Authentification en LIgne CErtifiée sur Mobile »). Réunie dans sa forme la plus solennelle, la haute juridiction administrative a en effet confirmé la compatibilité de l’application mise en œuvre avec le RGPD[13].
Pour rappel, ALICEM a été autorisée par le décret n° 2019-452 du 13 mai 2019[14]. En attendant l’arrivée pour à l’été 2021 de la carte d’identité électronique, l’application permet aux ressortissants français, disposant d’un passeport biométrique, et aux ressortissants étrangers, titulaires d’un titre de séjour biométrique, d’établir leur identité avec un niveau de sécurité comparable à celui du titre d’identité électronique utilisé, à savoir le niveau de garanti élevé au sens du règlement e-IDAS[15]. Préalablement à la création de cette identité numérique, la personne doit créer son compte et prouver qu’elle est bien celle qu’elle prétend être. À cette fin, elle doit se filmer en temps réel en réalisant trois actions : sourire, tourner la tête, cligner des yeux. Cette vidéo permet ensuite à l’Agence Nationale des Titres Sécurisés (ANTS) de vérifier qu’il s’agit bien de la personne en possession du téléphone (reconnaissance faciale dynamique) et d’extraire une photographie qui est comparée à celle figurant dans son passeport ou son titre de séjour.
Dans sa délibération n° 2018-342 du 18 octobre 2018[16], la CNIL avait estimé que « le refus du traitement des données biométriques fait obstacle à l’activation du compte, et prive de portée le consentement initial à la création du compte ». Se livrant à une application stricte du principe de nécessité, la Commission soulignait que « la nécessité de recourir à un dispositif biométrique pour vérifier l’identité d’une personne dans le but d’atteindre le niveau de garantie élevé de l’identité numérique, au sens du règlement e-IDAS, n’a pas été établie, compte tenu notamment de la possibilité de recourir à des dispositifs alternatifs de vérification ».
Ces solutions alternatives pourraient notamment prendre la forme d’une rencontre en face-à-face dans une institution publique[17], d’une vérification manuelle de la vidéo et de la photographie sur le titre[18] ou d’un appel vidéo en direct avec un agent de l’ANTS. Elle en concluait que « le consentement au traitement des données biométriques ne peut être regardé comme libre ».
C’est une analyse plus « souple » que nous livre le Conseil d’État dans sa décision du 4 novembre 2020 suite au recours en annulation du décret n° 2019-452 du 13 mai 2019 formé par l’association La Quadrature Du Net. La Haute juridiction estime ainsi qu’« il ne ressort pas des pièces du dossier que, pour la création d’identifiants électroniques, il existait à la date du décret attaqué d’autres moyens d’authentifier l’identité de l’usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale ». Dès lors, la collecte de données biométriques auquel procède ALICEM « doit être regardée comme exigée par la finalité de ce traitement ».
Par ailleurs, le Conseil d’État souligne que les personnes ne sont pas contraintes d’utiliser ALICEM. Elles peuvent bénéficier de France Connect, un autre service public d’identification en ligne, dont l’utilisation ne requiert pas de traiter des données biométriques. Dès lors, les usagers « ne sauraient être regardés comme subissant un préjudice au sens du règlement général sur la protection des données » (RGPD).
Cette interprétation du RGPD pose néanmoins la question de l’utilisation de l’application ALICEM par des personnes ne souhaitant consentir au traitement de leurs données biométriques. Elle peut se comprendre dans la stricte mesure où le marché de l’identité numérique est en pleine construction, et que le secteur privé devrait, du moins le souhaite-on, fournir d’ici peu des solutions d’identités mobiles présentant elles aussi un niveau de garanti élevé au sens du règlement e-IDAS. Ainsi, l’ANSSI vient de publier un appel public à commentaires concernant le référentiel d’exigences applicables aux prestataires de vérification d’identité à distance des personnes physiques[19]. Le référentiel, dans cette première version, prévoit des possibilités de vérification de l’identité d’une personne physique[20] soit par des mécanismes automatiques, soit par « une interaction humaine ».
De son côté, la Cour d’appel de Londres a condamné cet été la police galloise[21] sur le fondement de l’illégalité de l’utilisation d’un système de reconnaissance faciale « à la volée ». Les juges ont considéré qu’« une trop grande discrétion est actuellement laissée à chaque agent de police »[22] en soulignant l’absence d’indications claires sur les modalités conduisant à l’inscription sur la « liste de surveillance », et sur les lieux de déploiement de la reconnaissance faciale par la police[23]. La juridiction d’appel a aussi reproché à la police galloise de ne pas s’être suffisamment assurée que le logiciel utilisé ne présentait pas de biais racistes ou sexistes[24] et de ne pas avoir correctement évalué l’impact de cette technologie sur la protection des données au regard du Data Protection Act 2018[25].
Soulignons néanmoins que si la Cour d’appel de Londres a estimé que l’utilisation de la reconnaissance faciale n’était pas dans ce cas d’espèce suffisamment encadrée, elle n’a cependant pas remis en question le recours à la technologie en soi.
En France, le Conseil d’État a adopté une position similaire en rappelant le cadre juridique applicable lors de l’utilisation de drones par la préfecture de police de Paris[26]. L’objectif ici était de maintenir le respect des mesures de confinement pendant la période d’état d’urgence sanitaire, plus précisément d’utiliser ces dispositifs volants pour détecter des rassemblements contraires aux mesures en vigueur dans des espaces publics déterminés et, le cas échéant, de disperser un rassemblement. Or, bien que les drones n’enregistraient pas de données personnelles mais simplement transmettaient des images[27], le Conseil d’État rappelle que ce traitement de données personnelles aurait dû être autorisé par un texte réglementaire (soit un arrêté du ou des ministres compétents, soit un décret, pris après avis motivé et publié de la CNIL) conformément aux dispositions prévues par l’article 31 de la loi Informatique et Libertés[28].
Dès lors, le Conseil d’État conclut en toute logique que « compte tenu des risques d’un usage contraire aux règles de protection des données personnelles qu’elle comporte », la mise en œuvre de ce traitement de données pour le compte l’État « sans l’intervention préalable d’un texte réglementaire en autorisant la création et en fixant les modalités d’utilisation … ainsi que les garanties dont il doit être entouré caractérise une atteinte grave et manifestement illégale au droit au respect de la vie privée ».
Soulignons ici que les images envoyées par les drones, visionnées en temps réel, n’étaient pas utilisées pour constater les infractions ou identifier leurs auteurs[29]. Il n’était donc pas prévu d’utiliser un dispositif de reconnaissance faciale.
Cependant, l’utilisation de ces appareils télécommandés n’est pas sans lien avec la reconnaissance faciale, une technologie qui peut être associée aisément à d’autres dispositifs. Comme le souligne la CNIL, « à la différence par exemple des systèmes de captation et de traitement vidéo, qui nécessitent la mise en place de dispositifs physiques, la reconnaissance faciale est une fonctionnalité logicielle qui peut être mise en œuvre au sein de systèmes existants »[30].
Il importe donc, pour préserver notre vie privée, notre liberté de déplacement et de réunion, de tenir compte de cette possibilité d’infléchissement progressif par accumulation de technologies déployées tous azimuts. Il faut s’assurer que des technologies intrusives, combinées les unes aux autres, ne soient pas empilées sans réflexion d’ensemble préalable, sans un indispensable recul.
Les questions autour de la reconnaissance faciale sont donc socialement et politiquement toujours en suspens, le débat de société ouvert comme les modalités de mise en œuvre et d’articulation entre nos différentes libertés fondamentales encore loin d’être achevés.
Une affaire de confiance encore une fois, ou plus exactement de défiance avérée, tant que les preuves et signes de confiance n’y sont pas.
_____________________________________________________________________
Claire Levallois-Barth, Maître de conférences en droit, Coordinatrice de la Chaire VP-IP, Télécom Paris, Institut Polytechnique de Paris
_____________________________________________________________________
La version originale de cet article a été publiée sur le site de la chaire Valeurs et Politiques des Informations Personnelles.
[1] Proposition de loi relative à la sécurité globale présentée le 20 octobre 2020 par Mesdames et Messieurs Jean‑Michel FAUVERGUE, Alice THOUROT, Christophe CASTANER, Olivier BECHT, Yaël BRAUN‑PIVET, Pacôme RUPIN, des membres du groupe La République en Marche et apparentés et les membres du groupe Agir, http://www.assemblee-nationale.fr/dyn/15/textes/l15b3452_proposition-loi#.
[2] Ministère de l’intérieur, Livre blanc sur la sécurité intérieure du 16 novembre 2020, https://www.interieur.gouv.fr/fr/Actualites/L-actu-du-Ministere/Livre-blanc-de-la-securite-interieure.
[3] Cédric O : « Expérimenter la reconnaissance faciale est nécessaire pour que nos industriels progressent », Journal Le Monde, 14 oct. 2019, https://www.lemonde.fr/economie/article/2019/10/14/cedric-o-experimenter-la-reconnaissance-faciale-est-necessaire-pour-que-nos-industriels-progressent_6015395_3234.html.
[4] Livre blanc sur la sécurité intérieure, précité, p. 263. L’objectif serait aussi de « quantifier les difficultés de déploiement à l’échelle de grands réseaux, en termes de charge de calcul, de coût des matériels de déploiement, d’évaluation des différentes catégories d’algorithmes ».
[5] Portland passes broadest facial recognition ban in the US, by Rachel Metz, CNN Business, September 10, 2020 https://edition.cnn.com/2020/09/09/tech/portland-facial-recognition-ban/index.html.
[6] https://www.heidi.news/sciences/ibm-met-un-coup-d-arret-a-ses-activites-de-reconnaissance-faciale.
[7] Les actionnaires d’Amazon disent stop à la reconnaissance faciale, 18 janv. 2019, https://www.presse-citron.net/les-actionnaires-damazon-disent-stop-la-reconnaissance-faciale/.
[8] Discrimination raciale : Microsoft fait front à son tour contre les dérives policières, 12 juin 2020, https://global.techradar.com/fr-fr/news/microsoft-police-reconnaissance-faciale-black-lives-matter.
[9] Livre Blanc sur la sécurité intérieure, précité, pp. 259-260.
[10] Livre blanc sur la sécurité intérieure, précité, p. 264.
[11] Reconnaissance faciale : des pubs ciblées rien que pour vos yeux ?, 10 nov. 2017 ? https://www.frandroid.com/editoid/469929_reconnaissance-faciale-des-pubs-ciblees-rien-que-pour-vos-yeux.
[12] L’Aéroport Nice Côte d’Azur installe des sas PARAFE à reconnaissance faciale, Aéroport de Nice, 17 juil. 2018, https://www.nice.aeroport.fr/Passagers/Actualites/L-aeroport-installe-des-sas-PARAFE-a-reconnaissance-faciale .
[13] Conseil d’État, 10ème – 9ème chambres réunies, 04/11/2020, 432656, Inédit au recueil Lebon, https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042499854?tab_selection=cetat&searchField=ALL&query=432656&searchType=ALL&juridiction=TRIBUNAL_CONFLIT&juridiction=CONSEIL_ETAT&juridiction=COURS_APPEL&juridiction=TRIBUNAL_ADMINISTATIF&sortValue=DATE_DESC.
[14] Décret n° 2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifiée sur mobile », JORF n°0113 du 16 mai 2019, https://www.legifrance.gouv.fr/loda/id/JORFTEXT000038475477/2019-07-10/.
[15] Règlement (UE) 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, JOUE L 257/73 du 28 août 2014 (Règlement eIDAS).
[16] Délibération de la CNIL n° 2018-342 du 18 octobre 2018 portant avis sur un projet de décret autorisant la création d’un traitement automatisé permettant d’authentifier une identité numérique par voie électronique dénommé « Application de lecture de l’identité d’un citoyen en mobilité » (ALICEM) et modifiant le code de l’entrée et du séjour des étrangers et du droit d’asile (demande d’avis n° 18008244), JORF n° du 17 mai 2019, https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038477075/.
[17] En préfecture, en mairie, ou auprès d’un autre service public accueillant directement le public.
[18] Vérification de l’identité par un agent à partir d’une vidéo envoyée au serveur de l’ANTS.
[19] ANSSI, Appel public à commentaires sur le référentiel d’exigences applicables aux prestataires de vérification d’identité à distance (PVID), 30 nov. 2020, https://www.ssi.gouv.fr/actualite/appel-public-a-commentaires-sur-le-referentiel-dexigences-applicables-aux-prestataires-de-verification-didentite-a-distance-pvid/.
[20] ANSSI, Appel public à commentaires sur le référentiel d’exigences applicables aux PVID, précité, p. 6 : « Le présent référentiel formule des exigences applicables aux prestataires de services de vérification d’identité à distance, que ces services soient asynchrones3, synchrones avec interaction humaine, synchrones sans interaction humaine, internes ou externes ».
[21] Court of appeal (civil division), appeal from the high court of justice queen’s bench division (administrative court) Cardiff district registry Haddon-Cave LJ and Swift J[2019] EWHC 2341 (Admin), Case No: C1/2019/2670, 11/08/2020, https://t.co/L8cgiXjzYz?amp=1 (PDF).
[22] « Too much discretion is currently left to individual police officers » §91, Court of appeal (civil division), 11/08/2020, précité.
[23] « It is not clear who can be placed on the watchlist nor is it clear that there are any criteria for determining where AFR can be deployed”, §91, Court of appeal (civil division), 11/08/2020, précité.
[24] “We would hope that, as AFR [facial recognition technology] is a novel and controversial technology, all police forces that intend to use it in the future would wish to satisfy themselves that everything reasonable which could be done had been done in order to make sure that the software used does not have a racial or gender bias”, §201, Court of appeal (civil division), 11/08/2020, précité.
[25] “The inevitable consequence of those deficiencies is that, notwithstanding the attempt of the DPIA to grapple with the Article 8 issues, the DPIA failed properly to assess the risks to the rights and freedoms of data subjects and failed to address the measures envisaged to address the risks arising from the deficiencies we have found, as required by section 64(3)(b) and (c) of the DPA [Data Protection Act] 2018”, §153, Court of appeal (civil division), 11/08/2020, précité.
[26] Ordonnance du Conseil d’État du 18 mai 2020, association La Quadrature du Net et Ligue des droits de l’homme, n° 440442 et 440445, https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-18-mai-2020-surveillance-par-drones.
[27] En effet, les drones n’étaient pas équipés d’une carte mémoire, de sorte qu’il n’était procédé à aucun enregistrement, ni aucune conservation d’image.
[28] Voir art. 31-I de la loi Informatique et Libertés selon lequel « Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l’État et : 1° Qui intéressent la sûreté de l’État, la défense ou la sécurité publique ; 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté. L’avis de la commission est publié avec l’arrêté autorisant le traitement ».
[29] Voir point 11 de l’ordonnance du Conseil d’État du 18 mai 2002, précitée : « La finalité poursuivie par le dispositif litigieux n’est pas de constater les infractions ou d’identifier leur auteur mais d’informer l’état-major de la préfecture de police afin que puisse être décidé, en temps utile, le déploiement d’une unité d’intervention sur place chargée de procéder à la dispersion du rassemblement en cause ou à l’évacuation de lieux fermés au public afin de faire cesser ou de prévenir le trouble à l’ordre public que constitue la méconnaissance des règles de sécurité sanitaire ».
[30] CNIL, « Reconnaissance faciale : pour un débat à la hauteur des enjeux », 15 nov. 2019, p. 4, https://www.cnil.fr/fr/reconnaissance-faciale-pour-un-debat-la-hauteur-des-enjeux.