Après avoir appelé, en 2018, à un débat démocratique sur les nouveaux usages de la vidéo, la CNIL le 15 novembre 2019 présente les éléments techniques, juridiques et éthiques qui doivent selon elle être pris en compte pour traiter de la reconnaissance faciale.
Si la CNIL a déjà eu l’occasion de rendre des avis sur certains usages de la reconnaissance faciale, dont dernièrement sur un projet d’expérimentation dans les lycées ou sur l’application gouvernementale ALICEM, c’est la première fois qu’elle propose une approche générale.
L’autorité appelle à un débat politique pour faire des choix qui dessineront certains contours du monde de demain dans une société démocratique.
Par cette contribution, elle indique souhaiter présenter, techniquement, ce qu’est la reconnaissance faciale et à quoi elle sert, mettre en lumière les risques technologiques, éthiques, sociétaux, liés à cette technologie, et rappeler le cadre s’imposant aux dispositifs de reconnaissance faciale et à leurs expérimentations. Elle entend ainsi jouer un rôle déterminant dans le déploiement de nouveaux dispositifs de reconnaissance faciale.
Les points à retenir de la contribution de la CNIL :
La CNIL livre sa définition : « La reconnaissance faciale est une technique informatique et probabiliste qui permet de reconnaître automatiquement une personne sur la base de son visage, pour l’authentifier ou l’identifier ».
Elle écarte ainsi les systèmes de vidéo intelligente de cette contribution et suggère qu’ils devront être traités de manière différenciée.
Pour valider la technologie elle préfère les réponses par usage et au cas par cas qui tiennent compte « du degré de contrôle des personnes sur leurs données personnelles, de leur marge d’initiative dans le recours à cette technologie, des conséquences qui en découlent pour elles (en cas de reconnaissance ou de non-reconnaissance) et de l’ampleur des traitements mis en œuvre ».
Qualifié de traitement portant sur des données biométriques la CNIL appelle à une sécurisation renforcée des données en matière de reconnaissance faciale.
Concernant le cadre juridique, basé sur le GDPR et la Directive Police Justice, elle rappelle qu’en l’absence de consentement, un opérateur, public ou privé, ne peut mettre en œuvre un traitement biométrique que s’il n’y est pas préalablement autorisé par une loi ou, au minimum, par un décret.
La CNIL met en garde contre des dangers potentiels de cette technologie.
Tout d’abord, sur ces limites techniques en rappelant que par essence elle est faillible et comporte actuellement des biais importants.
Ensuite sur les dérives du déploiement de la reconnaissance faciale et du changement de paradigme qu’elle engendre dans la société : « le passage d’une surveillance ciblée de certains individus à la possibilité d’une surveillance de tous aux fins d’en identifier certains. »
Dans la continuité de ce qu’elle a indiqué dans ses précédents avis elle affirme « Les principes de légitimité des objectifs poursuivis et de stricte nécessité de mise en oeuvre de tels traitements biométriques sont en effet des exigences indépassables. La reconnaissance faciale ne peut légalement être utilisée, même à titre expérimental, si elle ne repose pas sur un impératif particulier d’assurer un haut niveau de fiabilité de l’authentification ou de l’identification des personnes concernées et sans démonstration de l’inadéquation d’autres moyens de sécurisation moins intrusifs ».
Afin d’élever le débat et de s’inscrire dans le long terme d’une société transformée par le numérique, elle rappelle dans le contexte des expérimentations qu’elles devront être envisagées sous l’angle du pacte républicain de l’article 1er de la loi Informatique et Libertés : « L'informatique doit être au service de chaque citoyen. […] Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
La CNIL rappelle enfin son rôle de régulateur de la protection des données à caractère personnel et de la vie privée, qu’elle consolidé depuis plus de 40 ans.
Au regard de sa légitimité, de son expérience, de son rôle enrichi au travers du RGPD, cette position était attendue et semble indispensable.
