Ces arrestations que la police effectue désormais sur le fondement de la reconnaissance faciale<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Des policières municipales contrôlent les écrans dans le centre de vidéosurveillance de la police municipale de Nice.
Des policières municipales contrôlent les écrans dans le centre de vidéosurveillance de la police municipale de Nice.
©SEBASTIEN NOGIER / AFP

Technologies

La technologie de reconnaissance faciale est de plus en plus utilisée par la police afin de résoudre des affaires criminelles. L’emploi de ces dispositifs est-il suffisamment encadré ?

Jean-Paul Pinte

Jean-Paul Pinte

Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.

Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.

Certifié par l'Edhec et l'Inhesj  en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.

Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.

Voir la bio »

Atlantico : La technologie de reconnaissance faciale est de plus en plus utilisée aux Etats-Unis par les forces de l’ordre afin de résoudre des affaires criminelles ou pour procéder à des arrestations ? Comment fonctionne cette technologie d’un point de vue technique ?

Jean-Paul Pinte :  La reconnaissance faciale est selon la CNIL, une technique qui permet à partir des traits de visage :

  • D’authentifier une personne : c’est-à-dire, vérifier qu’une personne est bien celle qu’elle prétend être (dans le cadre d’un contrôle d’accès)

ou

  • D’identifier une personne : c’est-à-dire, de retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données.

En pratique, la reconnaissance peut être réalisée à partir d’images fixes (photos) ou animées (enregistrements vidéo) et se déroule en deux phases :

  1. A partir de l’image, un modèle ou « gabarit » qui représente, d’un point de vue informatique, les caractéristiques de ce visage est réalisé. Les données extraites pour constituer ce gabarit sont des données biométriques au sens du RGPD (article 4-14).
  2. La phase de reconnaissance est ensuite réalisée par la comparaison de ces modèles préalablement réalisés avec les modèles calculés en direct sur des visages présents sur l’image candidate.

Dans le cas de l’authentification, le système vérifie si l'identité prétendue est bien la bonne en comparant le modèle du visage présenté au modèle préalablement enregistré correspondant à l’identité prétendue.

À Lire Aussi

La Chine vous surveille à l’insu de votre plein gré

Dans le cas de l’identification, le système vérifie si le modèle du visage présenté correspond à l’un des modèles contenus dans la base de données. Les résultats de la comparaison correspondent à celui ou ceux présentant le score de similarité le plus élevé parmi ceux dépassant un certain seuil pré‑déterminé.

La reconnaissance faciale ne doit pas être confondue avec la détection de visage qui caractérise la présence ou non d’un visage dans une image indépendamment de la personne à qui il appartient.

Cette technologie n’en est désormais plus à ses balbutiements. Les enjeux de protection des données et les risques d’atteintes aux libertés individuelles que de tels dispositifs sont susceptibles d’induire sont considérables, dont notamment la liberté d’aller et venir anonymement. Tout projet d’y recourir devra à tout le moins faire l’objet d’une analyse d’impact relative à la protection des données (AIPD)

Selon un article du Journal Le Monde, derrière le terme passe-partout de « reconnaissance faciale » se cachent des technologies différentes. Techniquement voisines, elles ne soulèvent pas du tout les mêmes enjeux en matière de protection des données et de libertés publiques.

Le premier usage, le moins conséquent en matière de protection des données personnelles, consiste en la vérification de l’identité en comparant l’image d’une personne avec celle qui est stockée, par exemple dans son passeport. Dans ce cas, il n’y a pas obligatoirement constitution d’une base de données, simplement une comparaison.

Pour la CNIL, la solution à privilégier est justement celle de stocker le gabarit du visage sur des « supports possédés par les individus et leur en assurant la maîtrise » (par exemple leur téléphone) et qui permet à l’utilisateur de ne pas diffuser l’image de son visage à des tiers. C’est ce type de mécanisme qui permet de déverrouiller certains téléphones.

À Lire Aussi

Cet inquiétant boom de la cyber surveillance globale

Techniquement, c’est le dispositif de reconnaissance faciale le plus au point, même s’il n’est pas fiable à 100 %. Mais comme pour tous les usages de cette technologie, la fiabilité du dispositif dépend directement de la qualité de l’image prise comme de celle à laquelle on la compare.

Il est également possible de comparer l’image d’un individu avec une base de données préalablement constituée, par exemple dans le cadre d’un portique de sécurité biométrique dans une entreprise qui compare chaque personne se présentant à une base de personnes autorisées à pénétrer dans l’enceinte de la société.

Il est aussi possible, dans le cadre de procédures judiciaires, de recourir à la reconnaissance faciale : les enquêteurs peuvent comparer une photo (issue d’un réseau social, d’une vidéosurveillance…) à celles contenues dans le fichier de traitement d’antécédents judiciaires, le seul actuellement à pouvoir être interrogé pour la reconnaissance faciale. A l’autre bout du spectre, se trouve la reconnaissance faciale à la volée, dans l’espace public, couplée à la vidéosurveillance. Actuellement, ce type de technologie n’est pas employé en France, mais pourrait peut-être l’être dans le futur. C’est l’utilisation la plus problématique de la reconnaissance faciale car elle se fait à l’insu des passants, et nécessite pour fonctionner de traiter les données biométriques – et potentiellement d’identifier – de toutes les personnes passant dans le champ de la caméra.

Atlantico : Les caméras de vidéosurveillance sont-elles reliées à des bases de données ?

À Lire Aussi

Ce qui pourrait se cacher derrière l’étrange absence apparente de cyber attaques en Ukraine

Jean-Paul Pinte : Dans un arrêt du 11 décembre 2019 (Aff. C-708/18), la CJUE valide l’intérêt légitime comme base légale d’un traitement de vidéosurveillance, précisant les trois conditions devant être remplies : la poursuite d’un intérêt légitime, la nécessité du traitement pour la réalisation d’un traitement légitime et la conciliation entre les droits et libertés fondamentaux des personnes concernées, ces derniers ne devant pas prévaloir sur l’intérêt légitime poursuivi. (Source)

La Cnil permet que la base légale d’un traitement de vidéosurveillance soit l’intérêt légitime dans un cadre de prévention, c’est-à-dire sans qu’il n’y ait eu antérieurement d’atteintes effectives. Il est dès lors tout à fait possible d’avoir recours à des systèmes de vidéosurveillances dans un immeuble, dès lors que les caméras ne filment que les espaces communs, et ne soient pas orientées vers des espaces privés (balcons, fenêtres, etc.).

Si un tel système est mis en place par une copropriété, seul le syndic ou le gestionnaire peuvent avoir accès aux images qui ne doivent être visionnées qu’en cas d’incident et conservées pour une durée d’un mois maximum. Enfin, conformément à l’obligation d’information prévue aux articles 12 à 14 du RGPD et 48 et suivants de la loi n° 78-17 du 6 janvier 1978, les personnes concernées par le traitement doivent être informées des éléments suivants :

  • le responsable de traitement, ses nom et adresse ainsi que ceux du Délégué à la protection des données(DPD ou DPO pour Data Protection Officer) ;
  • la finalité du dispositif ;
  • la base légale du traitement ;
  • les destinataires des données ;
  • la durée de conservation des images ;
  • la possibilité d’introduire une réclamation auprès de la Cnil.

En conclusion, si l’intérêt légitime peut constituer une base légale du traitement de vidéosurveillance, le responsable de traitement doit toujours procéder à une mise en balance des intérêts en présence, conformément aux lignes directrices du CEPD.

À Lire Aussi

Voilà les trois potentielles cyber attaques russes qui font le plus peur aux experts

Ce site du Service Public vous apporte toutes les indications et règlementations sur les caméras de vidéo-surveillance.

Atlantico : Les logiciels utilisés et les objectifs des caméras sont-ils à la pointe de la technologie permettant une identification formelle des individus recherchés ?  Le recours à la technologie de reconnaissance faciale est-elle si fiable ?

Jean-Paul Pinte : Il existe une variété de caméras de vidéo-surveillance qui varie selon les besoins précis de la structure concerné et l’un des principaux critères de sélection pour choisir une caméra de surveillance reste la qualité de l’image et l’intégration d’une vision nocturne est indispensable.

En France, la preuve par vidéosurveillance peut être recevable devant les tribunaux, mais elle doit se conformer aux règlements suivants : l’article 6 de la Convention européenne des Droits de l’homme et le Droit pénal français, stipulent que la liberté de la preuve et la garantie d’un procès juste et équitable constituent des exigences incontournables. L’admissibilité de la preuve dépend également de la façon dont celle-ci a été obtenue.

Pour assurer la fiabilité de la preuve soumise via un dispositif de vidéosurveillance, la qualité de l’image s’avère également déterminante ; plus précisément, elle doit comporter 704 x 576 pixels de résolution au moins et une cadence de 12 images par seconde et plus. L’installation d’un tel système doit être justifiée par un besoin de sécurité ou de protection (personnes, biens, locaux, mesure d’anti-terrorisme). Dans le domaine privé, les personnes concernées doivent en être avisées et vous devez déclarer le dispositif à la CNIL. Si le périmètre d’une caméra porte sur une ou des voies publiques, l’obtention préalable d’un permis de la préfecture est préalablement exigée. En entreprise, le propriétaire doit informer ses employés et son CE de l’installation d’un ou de plusieurs appareils de vidéosurveillance dans ses différents locaux. Le propriétaire d’un système de vidéosurveillance doit être en mesure de certifier la sécurité de son réseau.

Atlantico : Cela peut-il aboutir à des erreurs et à de fausses accusations ?

Jean-Paul Pinte : Oui bien sûr voire même quand la vidéosurveillance sert à verbaliser. Le 23 mars 2022, trois personnes ont comparu devant le tribunal de police d’Albi pour non-port du masque. Elles dénoncent l’utilisation des caméras de vidéo protection. Ce jour-là, trois d’entre-eux sont poursuivis pour non-port du masque dans les rues d’Albi et au jardin national les 9 octobre, 23 octobre et 20 novembre 2021. Des jours de manifestations.

Quelques semaines plus tard, tous les cinq reçoivent une amende de 135 € pour non-port du masque. Et de se demander si la police n’avait pas voulu "faire peur aux manifestants en les verbalisant". "Nous avons fait opposition, mais trois d’entre nous sont convoqués au tribunal de police", explique Jean Bourdoncle.

C’est ce détournement de la vidéo protection que lui et ses quatre associés entendent dénoncer. "On ne peut pas se servir de la vidéoprotection pour des choses comme ça. L’utilisation est réglementée et le port du masque n’y rentre pas. On ne peut pas laisser faire cette pratique", souligne-t-il. Et de citer un décret de la CNIL du 12 mars 2021 sur ce sujet.

Dans une décision qui fera peut-être jurisprudence, le tribunal administratif de Marseille a jugé que la mise en place d’un dispositif de contrôle d’accès « par comparaison faciale » à l’entrée de deux lycées de Provence-Alpes-Côte-d’Azur (PACA) ne respectait pas le RGPD et constituait, de ce fait, un « excès de pouvoir »

D’autres dossiers sont en cours d’examen en France, notamment à Marseille, où la municipalité essaie de développer une « vidéosurveillance automatisée » (ou « vidéprotection intelligente », dans le langage des promoteurs). Contesté par la Quadrature du Net et la Ligue des droits de l’Homme, ce dispositif pourrait lui aussi être annulé

On peut lire enfin sur le site du ministère de l’Intérieur « qu’en matière de police judiciaire, il n’y a pas besoin de prévoir de convention particulière avec la police nationale, la gendarmerie nationale ou la justice pour que ces services puissent récupérer les images en cas de commission d’une infraction dans le champ d’une caméra.

En effet, ce sont les règles générales du code de procédure pénale qui s’appliquent. Tout officier de police judiciaire (OPJ) ou magistrat peut par réquisition judiciaire obtenir lecture et copie de telles images. »

A noter

Les APJ sont également compétents depuis la loi du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice afin de requérir d’un organisme public ou de certaines personnes morales de droit privé la mise à disposition d’informations non protégées par un secret prévu par la loi, contenues dans un système informatique ou un traitement de données nominatives, en agissant sous le contrôle d’un officier de police judiciaire au cours de l’enquête de flagrance, ou avec l’autorisation préalable du procureur au cours de l’enquête préliminaire. (article 47 de la loi ayant modifié les articles 60,60-1, 60-2, 60-3, 76-2, 77-1, 77-1-1, 77-1-2 et 77-1-3 du code de procédure pénale et réponse publiée au JO le : 10/09/2019 page : 8055)

Cette procédure doit être rappelée dans le règlement intérieur de la vidéoprotection (voir un modèle), concernant les règles de communication des enregistrements. Ainsi, il peut être précisé : « Seuls un officier de police judiciaire territorialement compétent ou un agent de police judiciaire dûment désigné par son autorité (OPJ) sont habilités à se saisir du support comportant des enregistrements d’images vidéo après en avoir fait la réquisition écrite. Un registre est tenu pour la délivrance des copies. Il mentionne le nom de l’officier de police judiciaire requérant, le sujet, la date et l’heure des faits contenus sur la copie. Le registre est signé par la personne à qui a été remise la copie. »

Il est rappelé aussi que l’article R642-1 du code pénal, prévoit que « le fait, sans motif légitime, de refuser ou de négliger de répondre (…) à une réquisition émanant d’un magistrat ou d’une autorité de police judiciaire agissant dans l’exercice de ses fonctions, (…) est puni de l’amende prévue pour les contraventions de la 2e classe ».

Atlantico : De plus en plus d’élus locaux en France comme dans la ville de Nice déploient des caméras de sécurité pour tenter de rassurer les habitants et pour faciliter les missions des forces de l’ordre. La reconnaissance faciale tend-elle à se généraliser en France ? Ce procédé et cette technologie sont-ils lourds à mettre en place et nécessitent-ils un budget conséquent ?    

Jean-Paul Pinte : La vidéosurveillance est de plus en plus courante en France. De nombreuses villes de notre pays comme Nice, Nîmes, Evry ou Feurs (petite commune du département de la Loire) sont désormais équipées d’un système de surveillance dans les espaces publics.

D'après une étude publiée en début d’année par la gazette, la mise en place des systèmes de vidéosurveillance dans les 50 villes les plus peuplées en France a été multipliée par 2,4 depuis 2013

La surveillance algorithmique avance à pas de colombe. Lundi 19 juillet 2021, le conseil régional d’Auvergne-Rhône-Alpes a adopté un plan de sécurité prévoyant de mettre en place, « à titre expérimental, un premier dispositif de reconnaissance faciale » dans les gares et les trains régionaux. Une logique sécuritaire assumée.

On peut citer comme exemple récent la ville de Lille vient de passer un nouveau cap dans la mise en place de son système de  vidéosurveillance avec l’entrée en fonction du flambant neuf centre de supervision urbain (CSU). Les  policiers municipaux affectés à ce service peuvent désormais visionner en temps réel les images fournies par les dizaines de caméras déjà installées. Techniquement, Lille s’est dotée de matos dernier cri, notamment en termes de caméras haute définition. Il faut dire que le budget suivait : 2,3 millions d’euros pour le CSU et les caméras. Une policière nous montre comment une caméra-dôme peut zoomer et permettre la lecture de la plaque d’immatriculation d’une voiture stationnée 800 m plus loin. Un atout incontestable pour la vidéoverbalisation qui sera d’ailleurs « utilisée dès que possible », affirme Jean-Claude Menault, adjoint en charge de la sécurité.

Ce dernier, ancien patron de la police du Nord, présente les trois piliers de son nouveau jouet : dissuasion, intervention, élucidation. Selon l’adjoint à la sécurité, la pose d’une caméra dans le quartier du Lion d’Or a évité l’installation d’un trafic de stups : dissuasion. Moins d’une semaine après son entrée en fonction, le CSU à permis une interpellation en flagrant délit : intervention. Les images des caméras nomades, désormais reliées au CSU, ont fait l’objet d’une centaine de réquisitions des forces de l’ordre et facilité de nombreuses enquêtes de police : élucidation.

Un projet est en gestation pour les Jeux olympiques de 2024. La Commission nationale Informatique & libertés (CNIL) pourrait rendre un avis favorable, en adaptant le dispositif au consentement. À la clef : un marché de 7 milliards d’euros. Encore une histoire de gros sous. 

Le flou juridique entourant la reconnaissance faciale — et plus largement l’analyse biométrique — est unanimement critiqué. Ses promoteurs ne savent pas vraiment comment développer leurs technologies en respectant les lois. Ceux qui voudraient l’interdire, pour leur part, exigent un cadre légal capable d’entraver les expérimentations qui, faute de règles, tendent à se multiplier et finiront par forcer le destin.   

Atlantico : L’ampleur de ce phénomène et la généralisation de cette technologie représentent-ils une potentielle menace pour les libertés publiques ? L’emploi de ces dispositifs et de ces technologies est-il suffisamment encadré en France et aux Etats-Unis ? Les bases de données de ces informations sensibles sont-elles suffisamment sécurisées face aux cybermenaces et aux risques de piratage ?    

Jean-Paul Pinte  : Dans une interview donnée le 24 décembre 2019 au Parisien, Cédric O, secrétaire d'Etat en charge du Numérique, annonçait que le gouvernement souhaitait une expérimentation de la reconnaissance faciale sur les images de vidéosurveillance.

Le déploiement d'Alicem, une application smartphone permettant d'accéder plus simplement à divers services publics… à condition de s'être soumis préalablement à un dispositif de reconnaissance faciale automatisé pose aussi pas mal d’interrogations sur nos données personnelles.

De nombreuses questions se posent en matière de protection des données personnelles, comme le souligne la Cnil dans sa contribution du 15 novembre 2019 : le consentement des personnes sera-t-il recueilli pour cette expérimentation, comme l'impose le règlement européen sur la protection des données (RGPD) ? Dans le cas de la vidéosurveillance, on peut douter qu'une telle autorisation soit recueillie auprès de chaque personne détectée, ne serait-ce que pour des raisons pratiques. Cette expérimentation ne permettra donc pas à chacun·e de garder le contrôle de ses données, en violation du droit européen… et des libertés fondamentales.

Si la promesse de simplification paraît alléchante, elle est fortement décriée, que ce soit du côté de la Cnil, ou des défenseurs des libertés sur Internet comme la Quadrature du Net, ainsi que le chercheur en cybersécurité, Baptiste Robert, avec lequel CheckNews s'est entretenu. Ils lui reprochent tous le recours obligatoire à la reconnaissance faciale pour pouvoir utiliser l'application. En effet, comme on peut le lire dans le décret de mai 2019 autorisant la création d'Alicem, ou plus simplement le voir sur cette vidéo dénichée par Baptiste Robert : pour se créer une identité numérique, les citoyens (disposant d'un smartphone Android, d'un titre français biométrique valide et d'une adresse e-mail) devront passer par un dispositif de reconnaissance faciale automatisé. Ce mécanisme vérifiera si les données du titre biométrique correspondent bien à la personne qui cherche à l'activer en lui demandant de procéder à des tests vidéos, durant lesquels il devra cligner des yeux, bouger sa tête et sourire.

Le président du service juridique de Microsoft, Brad Smith a lancé un pavé dans la mare de la reconnaissance faciale cet été, passé presque inaperçu : inquiet des dérives que l'utilisation de cette technologie peut produire, il demande au gouvernement américain de s'emparer du sujet afin qu'une régulation soit mise en place. Le gouvernement chinois, lui fait l'inverse : il régule les joueurs de jeux vidéo grâce à cette technologie.

Alors que la Commission européenne ne va vraisemblablement pas imposer une interdiction temporaire de la reconnaissance faciale dans l’espace public comme elle l’aurait un temps envisagé, le Sénat américain se penche lui sur la proposition d’un moratoire sur cette technologie. Un texte proposé par deux élus interdirait à toute entité fédérale et locale - services de police, renseignement ou encore police aux frontières - d’utiliser des dispositifs de reconnaissance faciale tant qu’il n’y aura pas un vrai cadre législatif.

Le but: éviter que son usage ne «prive les citoyens américains d’un niveau raisonnable d’anonymat», «affecte les minorités ethniques de façon disproportionnée», ou «entrave la liberté d’expression».

«Il a été prouvé que la reconnaissance faciale connaît des taux d’erreur disproportionnés chez les femmes et les personnes à la peau noire. Le congrès doit établir des règles pour un usage responsable de cette technologie par les forces de l’ordre», a déclaré le sénateur démocrate Cory Booker dans un communiqué. Une étude du gouvernement américain a en effet montré que les systèmes de reconnaissance faciale identifient à tort les personnes asiatiques ou noires 100 fois plus souvent que les personnes blanches, du fait des biais introduits pas les données qui servent à entraîner certains algorithmes en Occident.

La reconnaissance faciale est un outil contrôlé au service de l’état comme le signale cet évènement sur le sujet.

Qualifiées de « sensibles », l'utilisation de données biométriques aux fins d'identification d'une personne physique, est, conformément à l'article 9.1 du RGPD, en principe interdite. Dès lors, la reconnaissance faciale, traitant de données biométriques, en fait partie et est donc, par principe, interdite. Toutefois, la réglementation limite cette utilisation à certains cas dans lesquels ce traitement des données peut avoir lieu. Il s'agit notamment des cas dans lesquels la personne concernée a donné son consentement, lorsque ce traitement est rendu nécessaire pour des motifs d'intérêts public ou lorsque le traitement porte sur des données à caractère personnel mais qui sont manifestement rendues publiques par la personne concernée.

Toujours selon cette même conférence, la reconnaissance faciale échappe donc à l'interdiction d'utilisation de données biométriques lorsqu'elle est mise en place aux fins de garantir l'ordre public et la sécurité, au même titre que simplifier la vérification de l'identité des individus. C'est d'ailleurs pour cette raison qu'en janvier 2018, dans les lycées des villes de Marseille et de Nice, une expérimentation de la « comparaison faciale », basée sur l'analyse d'images vidéo, a été mise en place. Ces systèmes avaient pour objet de « réduire la durée des contrôles » et « contrôler l'usurpation d'identité » ainsi que « détecter le déplacement non souhaité d'un visiteur non identifié »

Cependant, la reconnaissance faciale présente aussi certains risques.

Le risque premier face à cette nouvelle technologie est la mise en danger des libertés individuelles. La CNIL a notamment pointé la mise en danger de la liberté d'aller et venir anonymement et le droit au respect de la vie privée. En effet, la CNIL a considéré que la reconnaissance faciale est un procédé présentant un « caractère intrusif » à l'égard des individus, d'où la mise en danger de leurs libertés publiques précitées[6], consacrées, entre autres, dans la Déclaration des Droits de l'Homme et du Citoyen, mais aussi dans d'autres textes fondamentaux.

Voir ici l’exemple du premier jugement en France relatif au recours à la reconnaissance faciale.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !