Publication 9 juin 2021
Encadrement des technologies de reconnaissance faciale
Le 21 avril 2021, la Commission européenne dévoilait sa proposition de règlement visant à encadrer les usages variés des technologies d’intelligence artificielle (IA) au sein de l’Union européenne, dont font notamment partie les technologies de reconnaissance faciale. Ces dernières reposent sur des méthodes d’intelligence artificielle qui appliquent des techniques dites d’apprentissage profond (deep learning), en s’appuyant sur des bases de données biométriques. Elles peuvent être utilisées à des fins d’authentification (par exemple, vérifier une identité à partir d’un visage donné) et d’identification (par exemple, associer une identité à un visage donné parmi une base de données de visages connus). Les technologies de reconnaissance faciale sont entrées dans le quotidien des citoyens européens à différentes échelles et par le biais de différentes expériences, comme la possibilité de déverrouiller son smartphone avec son visage ou d’identifier automatiquement des amis sur des photos publiées sur un réseau social. Les applications en sont nombreuses, ces technologies pouvant être utilisées tout autant à des fins de sécurité (sécurité aux frontières, déverrouillage d’un smartphone, paiements en ligne, accès à des services publics…), de marketing (publicité ciblée), voire même récréatives (face swapping), identification sur des photographies sur les réseaux sociaux).
Dans sa proposition de règlement, la Commission européenne opte pour une approche fondée sur les risques en catégorisant les solutions d’IA selon qu’elles comportent un degré de risque inacceptable, élevé, ou faible. Ainsi, quatre pratiques en matière d’IA sont interdites par la proposition, la Commission considérant qu’elles comportent un degré de risque inacceptable. C’est le cas notamment de l’identification biométrique en temps réel et à distance dans l’espace public par les forces de l’ordre (article 5(1)(d)). L’exécutif européen juge, en effet, cet usage contraire aux valeurs de l’Union européenne. Cette interdiction comporte toutefois trois exceptions, relativement larges, prévues par le texte. Les forces de police pourront, par exemple, utiliser ces technologies pour rechercher des victimes d’actes criminels, incluant les enfants disparus, pour localiser une victime ou un suspect d’une infraction pénale passible d’une peine privative de liberté d’au moins trois ans, ou encore pour prévenir une menace pour la vie ou la sécurité d’autrui ou en cas d’attaque terroriste. Quant aux autres usages des solutions d’IA impliquant une identification biométrique à distance – par exemple, les usages dans le secteur privé –, la Commission européenne propose de les classer dans la catégorie des applications à risque élevé. À ce titre, leur usage serait soumis au respect de certaines garanties, notamment la mise en place d’un système de gestion des risques (article 9), un niveau minimal de qualité des données utilisées pour entraîner les algorithmes (article 10), un devoir de transparence et d’information vis-à-vis des utilisateurs (article 13) et une supervision humaine (article 14).La nécessité d’encadrer le déploiement des technologies de reconnaissance faciale afin de protéger les droits et libertés fondamentaux des citoyens européens est au cœur des débats. Leur caractère hautement intrusif est de plus en plus dénoncé par certains acteurs de la société civile, comme ceux à l’origine de la campagne Reclaim Your Face. Si le traitement de données biométriques est, en principe, interdit par le Règlement général sur la protection des données (RGPD), ce dernier comporte, en effet, de nombreuses exceptions. Dans un rapport publié en juin 2020 , Renaissance Numérique a, à ce sujet, relevé que, malgré l’existence d’un cadre juridique particulièrement fourni, son application demeure disparate et peu efficiente, mettant ainsi en danger les droits des citoyens européens.
Dans la continuité de ses travaux, le think tank a organisé un séminaire, le 21 février 2021, visant à établir une analyse comparative de l’utilisation des technologies de reconnaissance faciale entre deux pays européens : la France et le Royaume-Uni. Préparé en partenariat avec l’Ambassade du Royaume-Uni à Paris et le cabinet d’avocats Pinsent Masons, ce séminaire européen a réuni une cinquantaine d’acteurs privés et publics, de la société civile et du monde de la recherche. La comparaison de la France et du Royaume-Uni vis-à-vis des usages et de l’encadrement des technologies de reconnaissance faciale revêt plusieurs intérêts. D’une part, les débats sont désormais relativement ancrés (bien que récents) dans les deux pays. D’autre part, il existe des variations notables dans la manière de déployer et réguler ces technologies de part et d’autre de la Manche.
Cette note, nourrie de ces échanges, interroge les principaux enjeux que soulève l’encadrement des technologies de reconnaissance faciale en France, au Royaume-Uni, et plus largement en Europe. Une comparaison qui permet de dessiner les lignes d’une régulation idoine pour répondre aux défis posés par ces technologies.
Un encadrement des technologies de reconnaissance faciale tributaire de la culture juridique du pays
En France comme au Royaume-Uni, les technologies de reconnaissance faciale sont utilisées à la fois dans les espaces publics et privés et à la fois par des acteurs publics ou privés. En France, la puissance publique a, par exemple, recours à ces technologies pour le traitement des antécédents judiciaires (TAJ), le passage rapide aux frontières extérieures (via le système PARAFE), et l’authentification en ligne certifiée sur mobile (ALICEM) qui permet d’accéder à des services publics en ligne. Des expérimentations de ces technologies à des fins sécuritaires ont également été menées dans les territoires, comme ce fut le cas lors du carnaval de Nice en février 2019, ou dans le cadre du contrôle de l’accès à deux lycées dans la région PACA. À Marseille, des technologies de reconnaissance faciale reposant sur un réseau d’une cinquantaine de caméras de vidéoprotection ont été déployées, avant que le projet ne soit finalement suspendu début 20211. Des usages qui divisent et contre lesquels se sont mobilisées plusieurs associations de défense des droits, dont la Quadrature du Net et la Ligue des droits de l’Homme. Contrairement aux usages déployés en France, qui relèvent pour partie d’expérimentations, des outils de reconnaissance faciale pour la surveillance ont été utilisés à grande échelle et sur la base de vraies bases de données biométriques outre-Manche, soulevant des inquiétudes vis-à-vis de la protection de la vie privée, notamment en termes de recueil du consentement des individus dont les visages sont scannés. L’affaire du quartier de King’s Cross à Londres en 2019 a ainsi révélé que les passants étaient filmés à leur insu par un promoteur immobilier, qui communiquait avec la police des informations en vue d’identifier des personnes fichées. L’autorité de protection des données britannique, l’Information Commissioner’s Office (ICO) enquête actuellement sur l’utilisation qui a été faite de la reconnaissance faciale dans ce cas précis, et a appelé le gouvernement à adopter un code de bonne conduite sur ce genre d’usages. Ces technologies y sont également plus souvent utilisées par des acteurs privés, à l’instar de certains supermarchés, où les visages des personnes entrant sont scannés et comparés à des listes de suspects. Des dispositifs de reconnaissance faciale ont également été déployés au cours d’événements rassemblant un grand public, par exemple lors de concerts ou de matchs de rugby et de football, comme lors de la finale de l’UEFA à Cardiff en 2017.
Face au développement de ces usages, un débat public commence à émerger de part et d’autre de la Manche sur l’encadrement de ces technologies. Au Royaume-Uni, ce dernier est relativement récent et a été interrompu par la crise du Covid-19. Un projet de loi a notamment été déposé le 4 février 2020 par le sénateur Lord Clement-Jones. Ce dernier vise à interdire l’utilisation des technologies de reconnaissance faciale automatisée dans les lieux publics et demande à ce qu’une évaluation de ces technologies soit réalisée par un panel indépendant sous un an. L’évaluation devrait en outre couvrir les aspects suivants : les implications de l’utilisation de ces technologies en matière d’égalité et de droits humains, en matière de protection des données, la qualité et la précision de ces technologies, et l’adéquation du cadre règlementaire existant. Ce texte est actuellement en seconde lecture à la Chambre des Lords. Il concerne toutefois exclusivement l’usage public (et non privé) des technologies de reconnaissance faciale. Les cas d’usage sont donc traités séparément, et il n’existe pas, à ce jour, de politique globale sur la question au Royaume-Uni.
En France, le débat s’intensifie à l’approche d’échéances sportives internationales, comme l’organisation de la coupe du monde masculine de rugby en 2023 et des Jeux olympiques de Paris en 2024. Les technologies de reconnaissance faciale sont envisagées par les organisateurs de ces événements afin de sécuriser l’accès aux différentes installations sportives, ce qui ouvrirait la voie à des expérimentations à plus grande échelle que ce qui n’a été fait jusqu’à présent. À ce titre, la Commission nationale de l’informatique et des libertés (CNIL) n’exclut pas de rendre un avis favorable à l’utilisation de tels dispositifs à des fins sécuritaires lors des Jeux olympiques, à certaines conditions. Le sujet a toutefois été laissé en marge de la proposition de loi dite « Sécurité globale », la majorité parlementaire étant divisée quant à l’utilisation de ces technologies. Dans ce contexte, le député Didier Baichère a présenté au début du mois de mai 2021 une proposition de loi « d’expérimentation et de consultation sur les dispositifs de reconnaissance faciale par l’intelligence artificielle ». Ce texte vise à établir un cadre d’expérimentation « transparent et éthique » pour les technologies de reconnaissance faciale qui mobilisent l’IA. Il prévoit également l’organisation d’une consultation citoyenne, dans le but de « faire naître les conditions d’un débat citoyen et pédagogique pour éclairer et mesurer les perceptions des Français et détecter les lignes rouges à ne pas franchir. » Au-delà de ces échéances nationales, tout l’enjeu en France dans les mois à venir sera d’intégrer l’approche européenne préconisée par le futur règlement sur l’IA.
Bien que les cas d’usages de ces technologies soient multiples (usages sécuritaires, mais aussi à des fins marketing, voire récréatives), les débats tendent ainsi à se focaliser sur le recours de ces dernières à des fins de surveillance (les autres usages n’étant pourtant pas dépourvus de risque). C’est d’ailleurs sur cet aspect que se sont concentrées les discussions lors du séminaire du 21 février 2021. À cet égard, il a été souligné lors de l’événement, que les autorités françaises se sont montrées jusqu’à présent plus prudentes que le Royaume-Uni quant au déploiement de ces technologies à des fins de surveillance. Alors que le Royaume-Uni est le premier pays d’Europe à recourir à des bases de données biométriques réelles pour ses usages de la reconnaissance faciale dans l’espace public, le déploiement de ces technologies repose en France quasi-exclusivement sur des expérimentations limitées dans le temps et dans l’espace. En outre, ces expérimentations n’ont lieu qu’avec le consentement des personnes concernées. Ce fut, par exemple, le cas en février 2019 à l’occasion du Carnaval de Nice. Le Conseil d’État a, par ailleurs, récemment interdit l’usage de drones embarquant des dispositifs de reconnaissance faciale dans l’espace public à des fins de contrôle du respect du confinement dans le cadre de la lutte contre le Covid-19. Le tribunal administratif de Marseille s’est également aligné sur la position de la CNIL défavorable au contrôle d’accès virtuel expérimenté à l’entrée de deux lycées de Marseille et Nice, arguant que d’autres systèmes de contrôle tout aussi efficaces existaient.
Il semblerait que les autorités françaises soient plus réticentes que leurs homologues britanniques, quant à l’utilisation des technologies de reconnaissance faciale à des fins sécuritaires. Il ressort, en effet, des échanges entre les participants au séminaire, que lorsque la justice britannique est venue condamner une pratique, elle le faisait généralement pour des motifs qui tenaient davantage aux conditions liées à l’utilisation des données à caractère personnel ou au non-respect du principe de discrimination, plutôt qu’à l’utilisation des technologies de reconnaissance faciale à des fins sécuritaires en tant que telles. C’est notamment ce qui ressort de la décision rendue par la Cour d’appel du Royaume-Uni sur l’usage des technologies de reconnaissance faciale par la police du sud du Pays de Galles. Dans cette affaire, un argument rappelé par l’ICO dans son rapport d’investigation était que la collecte des données devait être adéquate, pertinente et proportionnée, ce qui n’était pas le cas ici, car la police du sud du Pays de Galles utilisait des listes de suspects particulièrement larges. Si la Cour d’appel a jugé que la police avait eu tort de considérer que les données de personnes hors des listes de surveillance étaient publiques, elle a toutefois relevé l’intérêt de l’utilisation des technologies de reconnaissance faciale.
Les autorités britanniques ont parfois une lecture moins rigoriste du RGPD que les autorités françaises au sujet du recours aux technologies de reconnaissance faciale à des fins de surveillance, et en particulier en ce qui concerne le respect du principe de proportionnalité. Ainsi, au Royaume-Uni, si les données biométriques sont collectées pour un usage spécifique, sur un temps limité et dans une zone géographique donnée et que ces données sont ensuite effacées, alors l’utilisation des technologies de reconnaissance faciale est généralement autorisée. Cette approche entraîne des décisions juridiques plus souples au Royaume-Uni et témoigne de la différence de culture d’encadrement sur ces questions entre les deux pays.
Au-delà de ces aspects juridiques propres à l’utilisation de ces technologies, des différences culturelles plus larges transparaissent également. Les dispositifs de vidéosurveillance sont, par exemple, beaucoup plus développés au Royaume-Uni qu’en France, bien que le pays ait connu également un essor considérable de ces dispositifs. Enfin, l’organisation décentralisée du Royaume-Uni entraîne parfois une hétérogénéité des approches sur ces questions entre les différents territoires. Par exemple, l’Écosse est plus réticente que l’Angleterre à utiliser les technologies de reconnaissance faciale dans le cadre de ses pouvoirs de police, au nom du principe de précaution.
Le recours aux technologies de reconnaissance faciale nécessite des garde-fous qui vont au-delà de critères techniques
Afin de réguler au mieux les technologies de reconnaissance faciale en fonction de la place que l’on souhaite leur accorder dans la société, les risques et les opportunités offerts par ces dernières doivent être clairement identifiés. Comme évoqué par certains participants au séminaire, elles présentent a priori des avantages. Les données biométriques ne peuvent pas être facilement piratées. Elles ne peuvent pas non plus être oubliées, contrairement à un mot de passe. En cela, leur utilisation diminue le risque d’usurpation d’identité dans le cadre de démarches administratives et bancaires en ligne. D’autre part, les technologies de reconnaissance faciale seraient particulièrement efficaces pour certaines tâches, comme l’authentification de personnes aux frontières ou pour l’usage de services bancaires en ligne. Ainsi, leur sécurité et leur fiabilité sont deux arguments qui reviennent souvent pour justifier leur recours.
Cependant, la nature même des technologies de reconnaissance faciale peut entraîner de nombreux risques, la précision des algorithmes sur lesquels elles reposent n’étant jamais fiable à 100 %. Plusieurs études1 ont d’ailleurs révélé que ces derniers reproduisent les nombreux biais (racistes, sexistes ou âgistes) observés dans la société, entrainant ainsi des risques de discrimination importants, comme le non-accès à un service par erreur, ou une arrestation abusive. Ainsi, même si l’efficacité technique des technologies de reconnaissance faciale est régulièrement mise en avant par les acteurs qui les utilisent, ces technologies ne sont (et ne seront) jamais complètement fiables.
Quand bien même elles le seraient, et ne comporteraient aucun biais, y recourir soulève des enjeux qui vont au-delà de simples aspects techniques. Selon leur usage, sont soulevées, en effet, de sérieuses interrogations quant à leur compatibilité avec les droits et libertés fondamentaux des individus à qui elles s’appliquent, notamment en termes de légalité, de nécessité et de proportionnalité. L’une des difficultés majeures que soulève l’utilisation de ces technologies est la question du consentement des individus, particulièrement difficile à obtenir dans les espaces publics. L’obligation de transparence et d’information des citoyens sur le fait que leurs données biométriques sont susceptibles d’être collectées apparaît, à ce titre, essentielle. Bien qu’il existe au Royaume-Uni un cadre légal visant à protéger les données personnelles des individus2, des difficultés d’application de ces différentes lois peuvent subsister. De plus, elles ne traitent pas de tous les cas qui peuvent exister de manière exhaustive, comme la question de la confidentialité des données biométriques dans des situations à risque.
Mal utilisées, les technologies de reconnaissance faciale peuvent porter atteinte à la dignité humaine par leur caractère intrusif, ainsi qu’à d’autres principes tels que le droit à la non-discrimination, la liberté d’expression et d’association, ou encore le droit à une bonne administration. La performance technique des systèmes de reconnaissance faciale n’est donc pas un critère suffisant pour justifier la nécessité et la proportionnalité de leur utilisation. Des garde-fous doivent être pensés, qui vont au-delà de critères techniques tels que le degré de précision des algorithmes, afin de garantir la protection des droits et libertés fondamentaux des citoyens.
Lors du séminaire, des participants ont évoqué que ces garde-fous pourraient prendre la forme d’organismes de contrôle indépendants, chargés d’évaluer la qualité des dispositifs de reconnaissance faciale (à la fois en amont et en aval de leur utilisation), de mettre en place des contrôles et procédures d’autorisation de leur utilisation, et de réguler la collecte et l’utilisation de données biométriques. Il ressort également des discussions qu’au vu de la sensibilité de ces technologies et de la grande variété de cas d’usages possibles, une analyse a priori et au cas par cas devrait être envisagée. Parmi les arguments mis en avant, ressort l’idée qu’un tel cadre d’évaluation des risques permettrait d’aller plus loin que les analyses d’impact relatives à la protection des données (AIPD) prévues par le RGPD. L’approche mise en avant par la Commission européenne dans sa proposition de règlement sur l’IA va d’une certaine manière en ce sens. L’exécutif européen suggère que les systèmes d’IA visant l’identification biométrique à distance de personnes physiques fassent l’objet d’une procédure d’évaluation de conformité ex ante par un organisme notifié.
Cependant, il n’existe pour l’heure en Europe pas de consensus quant aux organismes qui devraient idéalement être chargés de ces évaluations et comment ils devraient remplir cette mission. Il convient de noter toutefois que pour être efficaces, ces organismes devraient être indépendants et non biaisés, et devraient émettre des avis clairs et univoques, qui ne puissent pas être soumis à des différences d’interprétation.
L’encadrement des technologies de reconnaissance faciale doit prendre en compte leur impact collectif sur la société
L’utilisation des technologies de reconnaissance faciale a des incidences sur l’ensemble de la société. Dès lors, leur encadrement doit être pensé au-delà de leur impact individuel, qui est essentiellement traité sous le prisme de la protection des données personnelles. Pour combler le manque d’implication des citoyens dans la décision publique au Royaume Uni, une initiative a été lancée par l’Ada Lovelace Institute, un centre de recherche indépendant qui s’est penché sur la question des technologies biométriques et de reconnaissance faciale. Selon une étude réalisée en septembre 2019 par cet institut, 55 % des citoyens interrogés souhaitent des restrictions sur l’utilisation de ces technologies par les forces de police, et une part importante de la société distingue des usages légitimes d’autres usages jugés illégitimes, comme le fait d’utiliser la reconnaissance faciale dans les transports en commun ou dans les écoles. Face à ce constat, l’Ada Lovelace Institute a créé le Citizen’s Biometric Council , un conseil délibératif composé d’une cinquantaine de citoyens représentatifs de la société britannique. Au travers de nombreux débats avec des experts, les membres de ce conseil ont proposé un ensemble de mesures visant à rendre l’utilisation des technologies biométriques « digne de confiance » : instaurer une législation et une réglementation plus poussées, mettre en place un organisme indépendant et faisant autorité pour assurer une surveillance rigoureuse, garantir des standards minimum en matière de conception et de déploiement.
CHIFFRE CLÉ
55 %
Cet exemple montre que le partage d’informations et la participation aux débats permettent aux citoyens de faire des choix de société éclairés. Informer le public apparaît donc comme une priorité, ainsi que la mise en place de processus délibératifs, où professionnels des technologies de reconnaissance faciale, chercheurs, représentants de la société civile, régulateurs et citoyens seraient invités à discuter et confronter leurs avis.
Vers un débat ouvert et multipartite
L’étude comparative de la France et du Royaume-Uni en ce qui concerne le déploiement et l’encadrement des technologies de reconnaissance faciale révèle des différences d’usages entre ces deux pays, qui relèvent tant d’aspects politiques, que juridiques ou socioculturels. Il apparaît primordial que l’encadrement de ces technologies ne se fonde pas uniquement sur leur efficience technique, mais aussi sur le respect des droits et libertés fondamentaux des citoyens. À cet égard, une évaluation au cas par cas par des organismes indépendants pourrait constituer une partie de la solution. Alors que la Commission européenne vient de proposer son règlement visant à encadrer diverses technologies d’IA, et que ce dernier autorise plusieurs usages des technologies de reconnaissance faciale, le moment est venu de structurer une vision collective quant à l’encadrement de ces dernières.
1 Voir par exemple le projet “Gender Shades” développé par le Massachusetts Institute of Technology (MIT) (2018).
2 Parmi les plus importantes, on retrouve le Human Rights Act de 1998, l’Investigatory Powers Act de 2016 ou encore le Data Protection Act de 2018.