Au cours des dernières années, la technologie de reconnaissance faciale s’est beaucoup développée pour une multitude d’usages tels que la gestion des accès dans les locaux ou le déverrouillage de smartphones ou de tablettes. Pour ce qui relève plus particulièrement de l’application de cette technologie dans le secteur des paiements, aux États-Unis, la chaîne de restauration rapide CaliBurger a été, en février 2018, la première entreprise américaine ayant donné à ses clients la possibilité de régler leurs achats en utilisant des terminaux de paiement équipés d’une technologie de reconnaissance faciale.

Quant à la Chine, le paiement par reconnaissance faciale est devenu une réalité en 2019. Divers établissements, tels que la chaîne chinoise de boulangeries Wedome ou les supermarchés IFuree et Carrefour, se sont en effet équipés de terminaux de paiement adaptés. S’agissant des consommateurs effectuant des achats chez Wedome ou Carrefour,

Enfin, en Europe, et plus particulièrement en France, la reconnaissance faciale est d’ores et déjà utilisée par certains acteurs dans le secteur bancaire pour permettre notamment l’ouverture de comptes bancaires En 2018, Société Générale (voir infra) a été, à cet égard, le premier groupe bancaire français à avoir lancé une solution, reposant notamment sur la reconnaissance biométrique faciale par selfie dynamique et permettant l’ouverture d’un compte bancaire à distance.

Définition de la reconnaissance faciale

La reconnaissance faciale est un développement de la vidéosurveillance. C’est une technologie biométrique qui permet d’analyser, grâce à des algorithmes, les traits de visages de personnes filmées ou photographiées et de les comparer à des images stockées dans une base de données. Ce système est un des domaines de l’intelligence artificielle. La reconnaissance faciale permet : i) d’authentifier une personne, c’est-à-dire vérifier qu’une personne est bien celle qu’elle prétend être (pour un contrôle d’accès par exemple) ; ii) d’identifier une personne, c’est-à-dire de retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données.

La reconnaissance faciale d’une personne qui est une technique biométrique de reconnaissance automatisée d’une personne, à partir des caractéristiques de son visage, ne doit pas être confondue avec d’autres techniques de traitement des images (par exemple, avec des dispositifs de « vidéo intelligente » qui permettent de détecter des évènements ou des émotions sans reconnaître, pour autant, les individus), avec lesquelles elle peut, parfois, se combiner.

Derrière la reconnaissance faciale, il existe une grande diversité d’usages possibles, allant du déverrouillage d’ordiphone à la reconnaissance d’une personne recherchée par les forces de police dans une foule, en passant par l’ouverture de comptes bancaires. Ces utilisations ne soulèvent pas toutes les mêmes enjeux, notamment en termes de contrôle des personnes sur leurs données.

Enjeux de la reconnaissance faciale

La reconnaissance faciale met en lumière des risques technologiques, éthiques, sociétaux. Ces risques sont liés à la nature biométrique de la reconnaissance faciale : les données extraites des visages touchent au corps, à l’intimité des personnes. Toute violation de données, tout mésusage ferait peser des risques importants (blocage d’accès à un service, usurpation d’identité, etc.). La reconnaissance faciale repose en outre sur une probabilité, et non une certitude absolue, de correspondance entre les visages comparés et le « gabarit » de référence. Les variations de performance peuvent donc avoir des conséquences très importantes pour les personnes mal reconnues.

Un autre enjeu est que cette technologie permet le traitement de données à distance, sans contact, voire à l’insu des personnes. Dans l’environnement numérique actuel, où les visages des personnes sont disponibles dans de multiples bases de données et captées par de nombreuses caméras, la reconnaissance faciale peut devenir un outil particulièrement omniprésent et intrusif. Le renforcement de la surveillance permis par cette technologie peut enfin réduire l’anonymat dont disposent les citoyens dans l’espace public.

Cadre juridique de la reconnaissance faciale

Les législateurs européen (RGPD, directive « police-justice ») et national (modifications de la loi « Informatique et Libertés » en 2018) ont très récemment encadré, plus strictement qu’auparavant, les dispositifs biométriques dans le but d’adapter le niveau de protection des données aux nouveaux usages du numérique. Tout usage, y compris expérimental, de la reconnaissance faciale devra donc respecter ce cadre juridique modernisé.

Conformément à ces règles, la nécessité de tels dispositifs devra, au cas par cas, être établie : la reconnaissance faciale ne peut être utilisée sans impératif particulier de forte fiabilité de vérification de l’identité des personnes.

Ces textes exigent également de s’assurer de la proportionnalité des moyens déployés et de veiller à la protection particulière dont doivent bénéficier les enfants. Ils imposent de placer le respect des personnes au cœur des dispositifs, par exemple en recueillant leur consentement ou en leur garantissant le contrôle de leurs données. C’est en appliquant ces principes, récemment réaffirmés au niveau européen, que la CNIL a déjà eu l’occasion d’admettre dans leur principe certains usages tout en encadrant leurs modalités pratiques (contrôles aux frontières dans les aéroports), et d’en refuser d’autres (contrôle d’accès d’élèves dans des établissements scolaires).

Ces exigences supérieures s’imposeront à tout encadrement, même expérimental, des systèmes de reconnaissance faciale.

La  CNIL a précisé que “les traitements de données biométriques sont d’une sensibilité particulière, justifiant une protection renforcée des personnes. Notamment, les dispositifs de reconnaissance faciale sont particulièrement intrusifs et présentent des risques majeurs d’atteinte à la vie privée et aux libertés individuelles des personnes concernées. Ils sont, par ailleurs, de nature à créer un sentiment de surveillance renforcé. Ces risques se trouvent accrus lorsque les dispositifs de reconnaissance faciale sont appliqués à des mineurs”.

Le RGPD pose le principe d’un consentement libre est obligatoire pour récolter les données nécessaires à l’usage de la reconnaissance faciale. Le recours à une identification biométrique ne peut être imposé à un individu et ces données récoltées ne peuvent être conservées par la suite.

Position de la CNIL

La CNIL a un rôle consultatif dans l’utilisation de cette technologie au sein de l’espace public mais conserve son pouvoir d’autorisations pour les acteurs du secteur privé.  En la matière, la CNIL a rendu plus d’une centaine de décisions autorisant le déploiement de systèmes d’identification par reconnaissance faciale.

A titre d’exemple, par sa Délibération n° 2018-051 du 15 février 2018, la CNIL a autorisé la société Boursorama à mettre en œuvre un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance.

Le traitement biométrique projeté reposait sur la comparaison entre une photographie du visage prise lors de l’entrée en relation et la photographie officielle de la pièce d’identité fournie par la personne concernée. Ce traitement intervenait dans le cadre d’un parcours de souscription de compte bancaire accéléré dit « parcours flash ». Ce parcours constituait une alternative à la souscription en ligne classique et devait permettre l’ouverture d’un compte de manière quasi immédiate (1 jour ouvré au lieu de 10 à 20 jours actuellement), sans rupture de charge, tout en limitant les risques de fraudes et usurpations d’identité qu’une telle entrée en relation accélérée impliquerait. 

Par une autre Délibération n° 2017-251 du 14 septembre 2017, la Société Générale a été autorisée à mettre en œuvre un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance. 

Le traitement biométrique de reconnaissance faciale intervenait à deux reprises dans le processus d’entrée en relation en vue de l’ouverture d’un compte. La Société Générale souhaitait, par ce biais, garantir un niveau élevé d’identification du prospect afin d’empêcher l’ouverture d’un compte sous une identité fausse ou usurpée, sans complexifier son parcours, ni le contraindre à se déplacer physiquement en agence.

Là aussi, les données brutes et modèles permettant la comparaison biométrique n’étaient  traitées qu’en mémoire vive (RAM) pendant le temps de traitement de l’algorithme, soit quelques secondes.

En revanche, par sa Délibération n° 2015-393 du 12 novembre 2015, la CNIL a refusé la mise en œuvre par la société SUD MOTEURS d’un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance faciale et ayant pour finalité le pointage des horaires.

Le recours à un dispositif de reconnaissance faciale ne peut être admis que dans certaines circonstances particulières où l’exigence d’identification des personnes résulte d’un impératif de sécurité, conformément aux dispositions de l’article 6-3° de la loi du 6 janvier 1978 modifiée. En effet, cet article dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. En l’espèce, aucune circonstance exceptionnelle n’était démontrée. 

Concernant le secteur public, dans une délibération du 18 octobre 2018, la CNIL (voir infra), saisie par le ministre de l’intérieur pour avis, juge l’application non conforme au RGPD. Le refus de passer par la reconnaissance faciale bloque la création d’une identité numérique et aucune alternative à la reconnaissance faciale n’est proposée pour créer une identité numérique. En conséquence, “le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD.”

La CNIL rappelle aussi que tout projet d’utilisation de cette technologie doit faire l’objet d’une analyse d’impact lorsqu’il est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques.

Avis du contrôleur européen de la protection des données 

Le contrôleur européen de la protection des données (CEPD) a récemment salué la proposition de la Commission européenne en date d’avril 2021 pour une nouvelle réglementation sur l’intelligence artificielle (IA). Ce nouveau règlement sur l’IA proposé par la Commission rappelle l’interdiction de principe de l’usage de l’identification biométrique à distance dans les espaces publics en dehors de cas spécifiques relevant de la sécurité des personnes ou du pays (rechercher un enfant disparu, prévenir une menace terroriste imminente). L’utilisation de ce système doit être autorisée par une instance judiciaire. Cette utilisation est également soumise à certaines limitations sur i) la durée ; ii) la portée géographique ; iii) et les bases de données consultées.

Reconnaissance faciale : ce que prévoit le Règlement IA

La proposition de Règlement sur l’IA prévoit que tous les systèmes d’IA destinés à l’identification biométrique à distance des individus soient considérés comme à haut risque, fassent l’objet d’une évaluation ex ante de leur conformité effectuée par un tiers et soient notamment soumis à des exigences en matière de documentation et de contrôle humain dès le stade de la conception.

Des ensembles de données de haute qualité et des tests permettront de s’assurer de la précision de ces systèmes et de l’absence d’incidences discriminatoires sur la population concernée.

Le recours dans les lieux accessibles au public à l’identification biométrique à distance en temps réel à des fins de maintien de l’ordre comporte tout particulièrement des risques pour les droits fondamentaux, notamment en ce qui concerne la dignité humaine, le respect de la vie privée et familiale, la protection des données à caractère personnel et la non-discrimination.

Son utilisation est donc en principe interdite, mais quelques exceptions restreintes strictement définies, délimitées et réglementées sont néanmoins prévues. L’identification biométrique peut notamment être utilisée par les forces de l’ordre de façon ciblée pour rechercher spécifiquement des victimes potentielles de crimes, notamment des enfants portés disparus; pour répondre à la menace imminente d’une attaque terroriste; ou pour repérer et identifier les auteurs de crimes graves.

Enfin, tous les systèmes de reconnaissance des sentiments et de catégorisation biométrique resteront soumis à des exigences de transparence spécifiques. Ces systèmes seront également considérés comme des applications à haut risque s’ils relèvent des cas d’utilisation identifiés comme tels, par exemple dans les domaines de l’emploi, de l’éducation, du maintien de l’ordre, de la migration et du contrôle aux frontières.

Proposition de loi relative à la sécurité globale

L’article 22 de la Proposition de loi relative à la sécurité globale a exclu la reconnaissance faciale pour le traitement des captations d‘image par les drones.  

À deux reprises en 2020, le Conseil d’État a ordonné à l’État de cesser la surveillance de Paris. Le texte précise les cas où le recours aux drones est admis. Ces cas ont été limités par le Sénat: constat de certaines infractions graves, surveillance de lieux dangereux ou difficiles d’accès, manifestations en cas de risque de troubles très graves… Outre les forces de l’ordre, les sapeurs-pompiers et les personnels de la sécurité civile pourront en faire usage. Des garanties seraient posées : interdiction d’un recours permanent aux drones, de filmer l’intérieur des domiciles et les entrées, du recours à la reconnaissance faciale, de la captation des sons, obligation d’informer le public.