24 septembre 2020

Reconnaissance faciale : un cadre législatif pour les expérimentations ?

par Margaux Legras-Maillet

Face au développement des outils de reconnaissance faciale, les demandes d’expérimentations se multiplient. Malgré un usage de la reconnaissance faciale fortement réglementé, un office parlementaire recommande un cadre législatif spécifique aux expérimentations pour l’heure inexistant. 

Le 15 novembre dernier la Commission nationale de l’informatique et des libertés (Cnil) a rappelé l’importance de mettre en place des règles strictes concernant les expérimentations de reconnaissance faciale. Elle préconise de déterminer les “lignes rouges” à ne pas franchir pour les expérimentations.

Note de la Cnil: « “Reconnaissance faciale, pour un débat à la hauteur des enjeux”

Une première expérimentation à Nice

 

Les outils de reconnaissance faciale ne cessent de se développer et nécessitent d’être testés. La première expérimentation française en conditions réelles remonte à février 2019. Elle a été menée sur 5000 volontaires par la Ville de Nice lors de son carnaval. Depuis, les propositions d’expérimentations se multiplient. La dernière en date est celle de la région Paca pour tester un algorithme de reconnaissance faciale à l’entrée de deux lycées à Nice et Marseille. La Cnil a retoqué la demande en octobre, estimant que les conditions d’application ne respectaient pas la loi. 

Une décision jugée inadmissible par l’édile de la ville, Christian Estrosi et Renaud Muselier, président de la région Paca. “Je regrette vivement que la Cnil place la sécurité des élèves de ma région Sud en dessous de son idéologie poussiéreuse”, a affirmé ce dernier sur son compte Twitter. 

Didier Baichère, député des Yvelines et rapporteur auprès de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPCEST) ne veut toutefois pas blâmer les élus car “il n’y a pas de cadre législatif qui existe”. Dans le bilan de l’expérimentation du carnaval, la Ville de Nice recommandait déjà des “dispositions relatives” aux tests de reconnaissance faciale et la création d’un comité d’analyse et d’études des expérimentations. 

Rapport de l’expérimentation du carnaval de la Ville de Nice 

A l’heure actuelle, le cadre légal qui réglemente les projets de reconnaissance faciale est robuste. ll y a le Règlement européen général de protection des données (RGPD), la directive “Police-Justice” et les dispositions de la loi informatique et liberté“, explique Marie Duboys-Fresney, juriste à la Cnil. En revanche, il n’existe aucun cadre juridique propre aux expérimentations autre que celui prévu par lesdits textes. 

 

Des données biométriques sensibles

 

Pourtant, les données traitées dans le cadre de la reconnaissance faciale et donc dans le cadre de ces expérimentations sont des données jugées “sensibles” par le RGPD. Il s’agit de données biométriques similaires à celles de nos passeports et cartes d’identité. 

Lire aussi : « Les dangers de la reconnaissance faciale : le vrai du faux »

La reconnaissance faciale c’est la comparaison un gabarit biométrique pré-enregistré avec un autre gabarit biométrique. S’ils correspondent alors c’est qu’ils appartiennent à la même personne. Au même titre que l’ADN et les empreintes digitales, les données biométriques qui constituent votre gabarit sont uniques et personnelles. A partir de ces données, la reconnaissance faciale peut prendre deux formes. L’authentification, c’est-à-dire vérifier qu’une personne est bien celle qu’elle prétend être; l’identification, c’est-à-dire retrouver une personne parmi un groupe, sur une image ou une base de données. Ces données sont donc “immuables”, insiste Marie Duboys-Fresney. “Si on vous vole votre gabarit biométrique, malheureusement vous n’en avez qu’un. Vous ne pouvez pas en changer ni même le modifier.  La compromission de ces données est irréparable.” 

Lorsqu’une proposition d’expérimentation est soumise à la Cnil, celle-ci la juge au cas par cas selon plusieurs grands principes. Parmi eux, le principe de proportionnalité selon lequel le responsable de traitement doit démontrer que les données collectées et traitées sontadéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées “ (art 5. RGPD). Autre principe, le consentement des personnes qui dit qu’il ne peut y avoir de traitement de données biométriques, qu’il soit expérimental ou non, sans le consentement de la personne qui fait l’objet de ces données. Pour que ce consentement soit libre, la reconnaissance faciale ne doit pas être la seule condition d’accès. 

C’est sur ce dernier principe que la Cnil s’est prononcée défavorablement sur l’expérimentation de la plateforme Alicem, testée par le gouvernement depuis juin. Cette plateforme doit pouvoir permettre aux citoyens de se connecter aux services publics en ligne en utilisant un algorithme de reconnaissance faciale. Mais aucune alternative n’étant proposée pour se connecter, la Cnil a estimé que le consentement des utilisateurs n’était pas libre. “C’était un point de réserve de la commission qui n’a malheureusement pas été modifié”, regrette la juriste Marie Duboys-Fresney. 

 

Pour une démarche scientifique 

 

Mais au-delà de tester l’efficacité, la licité et la viabilité des nouveaux algorithmes de reconnaissance facial, l’expérimentation doit servir des intérêts scientifiques. “Le cadre d’une expérimentation c’est revenir à une vraie démarche expérimentale avec  avec une méthode expérimentale rigoureuse, une expérimentation limitée dans le temps et dans l’espace et qui ne fixe pas un cadre d’emblée pérenne”, souligne Marie Duboys-Fresney.

Didier Baichère est du même avis. Selon lui, le cadre juridique actuel ne suffit pas pour les essais. Dans un rapport publié en juillet dernier, l’OPCEST a d’ailleurs recommandé la mise en place d’un collège pluriprofessionnel formé de scientifiques et académiques pour tirer des conclusions scientifiques des expérimentations. 

Une loi propre aux tests obligerait à donner le lieu et la durabilité des tests, mais aussi quel public volontaire concerné, quels industriels impliqués avec quelles finalités et ce, de manière systématique.

Laisser un commentaire

*

*

0

Your Cart