Généralisation de la reconnaissance faciale dans les transports : attention danger

Atlantico.fr : En quoi ces dispositifs de reconnaissance faciale dans les aéroports font-ils courir le risque d'atteintes aux libertés individuelles fondamentales ?

Elise Dufour : La CNIL rappelle de longue date que « les enjeux de protection des données et les risques d’atteintes aux libertés individuelles que les dispositifs de reconnaissance faciale sont susceptibles d’induire sont considérables, dont notamment la liberté d’aller et venir anonymement ».

C’est donc la libertés d’aller et venir, mais aussi la liberté de manifester librement, qui est potentiellement remise en question.

Par ailleurs, le visage est une donnée pouvant être captée à l'insu des personnes. Ainsi, les progrès techniques pourraient faciliter les procédés d'identification biométrique d'une personne à son insu, en comparant son visage avec une base de photographies, voire d'usurper son identité.

Déployer la reconnaissance faciale au niveau des gares, des aéroports voire dans les villes, à l’instar de la récente expérimentation menée par le maire de la ville de Nice, risque égaement d’avoir pour effet de créer un sentiment de surveillance de masse au niveau des concitoyens.

En outre, les algorithmes de reconnaissance faciale présentent encore des biais et d’écarts de performance. A titre d’exemple, une étude du Massachusetts Institute of Technology établit que les algorithmes ont tendance à moins bien reconnaître les femmes noires que les hommes blancs, en raison semble-t-il du manque de diversité des bases d’images utilisées pour entraîner les algorithmes.

Enfin, le dirigeant d'ADP a reconnu avoir rencontré plusieurs difficultés dans le cadre des expérimentations menées au nombre desquelles figurent notamment la planimétrie du visage, rebaptisé « le bug du T-shirt Johnny Hallyday », la machine pouvant scanner par erreur un visage plat sur un vêtement.

La CNIL a ainsi récemment appelé à la tenue d’un débat démocratique sur ces questions

Est-il possible de s'assurer que les données collectées par ces dispositifs ne seront pas utilisées ou bien à des fins commerciales, ou bien à des fins politiques à l'avenir ? 

Il est vrai que de nombreuses applications commerciales utilisant la reconnaissance faciale se développent.

Il existe un risque à ce que ces données soient conservées et réutilisées, voire revendues pour une autre finalité que celle initialement prévue.

Cependant, le droit européen, et plus particulièrement le RGPD prévoir des garantie à ce titre, les données biométriques ne pouvant être collectées qu’avec le consentement de la personne concernée et pour une finalité déterminée.

A titre d’exemple, dans sa délibération n°2015-432 du 10 décembre 2015 autorisant la société Aéroports de Paris à mettre en œuvre un traitement automatisé de données à caractère personnel expérimental ayant pour finalité l’identification biométrique des passagers volontaires en entrée et sortie de salle d’embarquement du 10 décembre 2015, la CNIL avait autorisé à titre expérimental les aéroports de Paris le traitement de reconnaissance faciale avec pour finalité l’identification biométrique des passagers volontaires en entrée et sortie de salle d’embarquement, sous réserve que :

-         Les images du visage et de l’empreinte digitale ne soient en aucun cas conservées dans le serveur une fois le gabarit produit.

-         Les personnes concernées donnent, préalablement à leur participation à l’expérimentation, leur consentement libre, spécifique et informé, en signant un formulaire sur support papier après y avoir inscrit leurs nom et prénom.

-         Les données d’état civil (nom et prénom) ainsi que les gabarits biométriques du visage et de l’empreinte digitale ne sont conservées que le temps du passage de la personne concernée par les sas d’entrée et de sortie dédiés à l’expérimentation et au maximum quatre heures après le départ du vol emprunté par les participants concernés.

Quels sont les règlements et les lois existantes en Europe et en France qui permettent de traiter le problème ? Sont-elles selon vous suffisantes ?

Rappelons que le respect du droit à une vie privée est maintes fois proclamé : article 12 de la Déclaration universelle des droits de l'homme, article 8 de la Convention européenne des droits de l'homme. En outre, en droit interne, l'article 9 du code civil rappelle que « chacun a droit au respect de sa vie privée ».

Dans son appel un débat démocratique sur les nouveaux usages de caméras vidéos, la CNIL soulignait à ce titre que :

-         « le cadre juridique actuel, précis sur certaines technologies (caméras fixes, certains usages de caméras-piétons) et certaines finalités (visionnage « simple » d’images), n’apporte en revanche pas nécessairement de réponse appropriée à l’ensemble des techniques et usages nouveaux mentionnés ci-dessus. Le droit français, qui comporte un certain nombre de règles spécifiques (code de la sécurité intérieure notamment), se trouve en outre renouvelé, pour ces dispositifs, par l’entrée en application du règlement général sur la protection des données et des textes de transposition de la directive dite « police justice » du 27 avril 2016. Un réexamen d’ensemble, à la lumière des nouvelles règles européennes, s’impose. »

Concernant plus précisément l’utilisation de dispositifs de reconnaissance faciale, en France, lorsqu’un tel dispositif est mis en œuvre pour le compte de l’État celle-ci doit est encadré par les articles 31 et 32 de la loi « informatique et libertés » 21 et par l’article 10 de la directive européenne n° 2016/68022 . Ces dispositions viennent limiter le champ d’application de ces traitements et imposent pour leur mise en œuvre un décret en Conseil d’État pris après l’avis de la CNIL.

C’est dans ce cadre que la CNIL a donné son avis par délibération n° 2019-027 du 14 mars 2019 sur le décret portant diverses dispositions relatives au traitement automatisé de données à caractère personnel dénommé « Passage Automatisé Rapide aux Frontières Extérieures » (PARAFE) (demande d'avis n° 19002203).

Dans l’Union européenne, l’utilisation de dispositifs de reconnaissance faciale, faisant intervenir des données biométriques est encadrée par le règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018.

S’il n’y a plus d’autorisation à demander à la CNIL pour ce type de traitement, il reste que le responsable d’un traitement doit effectuer une analyse d'impact relative à la protection des données.

En outre, une donnée biométrique étant une donnée « particulière » ou « sensible » au sens du règlement, elle ne peut être collectée qu’avec le consentement de la personne concernée.

Ces données doivent par ailleurs être conservées pour une durée limitée et ne peuvent utilisées que pour la finalité pour laquelle la personne concernée a donné son consentement.

Si le système européen parait plus protecteur que celui déployé par exemple aux Etats-Unis (qui pour sa part est fondé sur un principe d’opt-out et non d’opt-in), il semble que le cadre mis en place ne soit pas entièrement satisfaisant et reste incomplet.

L’expérimentation menée à Nice a mis au jour la nécessité de compléter le cadre juridique actuel. Cette expérimentation se plaçait en effet certes dans un cadre régi par le RGPD, le fondement légal utilisé étant la recherche scientifique et non pas la sécurité.

Attendons les résultats du débat public initié par la CNIL.