La Commission nationale de l’informatique et des libertés (Cnil) se mobilise pour répondre aux enjeux de protection des données personnelles associés aux technologies de reconnaissance faciale et de traitement de données biométriques.

Lors de son audition devant la Commission des lois, Madame Marie-Laure Denis avait rappelé le besoin de donner une « assise juridique plus forte » aux enjeux portant sur les techniques de reconnaissance faciale. Cette déclaration marque le début d’un intense débat européen dans lequel les autorités de contrôle devront jouer un rôle proactif. Elles devront évaluer non seulement le bien-fondé de l’emploi de telles technologies mais également les évolutions éthiques en matière de réification de l’être humain qu’un tel précédent pourrait entériner.

Dans un rapport publié en novembre dernier, la Cnil encourageait ainsi un débat public proactif et prospectif tenant compte du continuum technologique et des possibilités d’associations avec d’autres dispositifs techniques. En effet, la reconnaissance faciale est une fonctionnalité logicielle, susceptible d’être combinée avec d’autres fonctionnalités. Ainsi, sa mise en œuvre au sein de systèmes et d’infrastructures préexistants, comme des systèmes de captation et de traitement vidéo, soulève des enjeux prospectifs dont la Cnil devrait se saisir prochainement.

Des traitements de données fondés sur les réalités biologiques immuables

La reconnaissance faciale se place dans un ensemble plus large de techniques dites « biométriques », s’appuyant sur des procédés automatisés permettant de reconnaître un individu à partir d’une quantification de ses caractéristiques physiques, physiologiques ou comportementales. Ces caractéristiques sont qualifiées de données biométriques au sens de l’article 4 alinéa 14 du RGPD, en ce qu’elles permettent ou confirment l’identification unique d’une personne.

La reconnaissance faciale, par la production de gabarits individuels, uniques et en principe permanents, permet une comparaison informatique probabiliste de visages aux fins d’authentification ou d’identification des personnes.

Ces gabarits sont des données biométriques particulièrement sensibles dans la mesure où ils se fondent sur une réalité biologique propre aux individus, permanente dans le temps et dont ils ne peuvent s’affranchir. Ces données ne sont donc pas attribuées ou choisies mais produites par le corps lui-même de façon immuable. En conséquence, toute compromission est irrévocable.

La particularité de ces données personnelles les soumet à un régime juridique particulier et dérogatoire. En principe prohibés par l’article 9 du RGPD, les traitements de données biométriques ne peuvent être mis en œuvre que dans certains cas particuliers, selon des modalités adaptées aux risques identifiés par une analyse d’impact sur la vie privée, obligatoire en la matière (RGPD, article 35).

La mise en œuvre de tels traitements exige donc une vigilance accrue s’agissant de leur conformité réglementaire et de l’analyse de leurs impacts.

Pour une pluralité d’usages de la reconnaissance faciale, une pluralité de définitions

La Cnil a souhaité apporter une clarification terminologique essentielle en insistant sur la nécessité d’employer le pluriel pour désigner les techniques de reconnaissance faciale. En effet, la pluralité des usages exige une approche pragmatique et casuistique des traitements envisagés en s’attachant à leurs modalités particulières.

Les distinctions dégagées tiennent principalement à leurs finalités ainsi qu’à leurs contextes de mise en œuvre. Ainsi, il faudra différencier les traitements à des fins d’authentification, permettant des mesures de contrôle d’accès tant physiques que digitales, des traitements à des fins d’identification, visant à retrouver une personne au sein d’un groupe.

Cette distinction implique notamment des modalités de mise en œuvre dans des contextes très variés, relevant tant de l’espace public que privé, physique ou numérique, susceptibles de cibler tant des groupes restreints que des foules. Cette transversalité de la technique invite à la prudence ainsi qu’à une définition attentive de son projet de traitement.

Une fragmentation juridique à anticiper dans la construction d’un cadre expérimental en Europe

L’ouverture de ce débat intervient alors que les pouvoirs publics français ont exprimé leur souhait de développer plus largement ces techniques et de démultiplier leurs expérimentations.

Objet de nombreux commentaires, le dispositif ALICEM est le projet phare des instances régaliennes en la matière. Il s’agit d’une application pour smartphone développée par le Ministère de l’Intérieur et l’Agence nationale des titres sécurisés ayant recours à des techniques de reconnaissance faciale en cas d’exigence d’un niveau particulièrement élevé d’authentification digitale des personnes.

En outre, un test du dispositif de reconnaissance faciale appliqué à l’infrastructure de caméras de vidéoprotection a pu être effectué en conditions réelles sur la voie publique à des fins de filtrage des accès à la zone du Carnaval de Nice en janvier 2019. Si la Cnil a admis une telle expérimentation, elle a exprimé son regret quant à « l’urgence dans laquelle ses services ont été sollicités » précisant que de telles circonstances n’étaient pas « de nature à favoriser un travail d’analyse approfondie du dispositif projeté ».

Cette expérimentation temporaire a pu être autorisée en raison de sa finalité se bornant au « test du dispositif technique » dans un périmètre délimité de l’enceinte du carnaval et avec le consentement de 50 personnes volontaires pour y participer. La Cnil a néanmoins souligné que si de telles expérimentations revêtaient des fins de sécurité ou de prévention, le consentement des personnes ne pourrait en aucun cas constituer une base juridique pour le traitement des données à caractère personnel. Une telle finalité relèverait en effet de la Directive européenne Police Justice et nécessiterait, pour la mise en œuvre du dispositif, la publication d’un décret en Conseil d’Etat, voire d’une loi.

Dans ce contexte, le rapport précité permet à la Cnil de rappeler non seulement son rôle d’accompagnement des entités publiques comme privées, mais également son indépendance et ses pouvoirs de sanctions inhérents à ses attributions légales.

Toutefois, les enjeux démocratiques liés aux techniques biométriques, tant en France qu’à l’échelon européen, impliqueront nécessairement une période de doute et d’incertitudes juridiques quant à la définition précise des usages acceptables. En effet, si la France a souhaité se positionner de manière forte en faveur de l’expérimentation, cette position n’est pas toujours partagée, ni en Europe, ni à l’étranger.

L’autorité de contrôle suédoise a ainsi été la première à sanctionner l’usage de tels dispositifs, par une décision rendue en août 2019 visant des dispositifs permettant le contrôle de l’assiduité scolaire de lycéens.

Ainsi, le Contrôleur Européen de la Protection des Données interroge notamment l’utilité d’une telle technologie et le risque qu’il ne s’agisse finalement que « d’une solution [technique] à la recherche d’un problème » auquel répondre.

L’absence de consensus sur les aspects éthiques et démocratiques de ce débat, et la faculté offerte par l’article 9 alinéa 4 du RGPD d’introduire des conditions supplémentaires, y compris des limitations, s’agissant du traitement des données biométriques laisse planer le risque d’un régime juridique fragmenté en Europe.

Mathias Avocats ne manquera pas de vous informer de l’évolution de ces débats.