Alors que la reconnaissance faciale s'immisce dans la société, la CNIL n'entend pas laisser ce sujet lui échapper. En prévision du débat qui aura lieu, l'autorité détaille ses exigences. Si elle n'exclut pas d'emblée cette technologie, elle privilégie un encadrement strict et un usage minimal.

Petit à petit, la reconnaissance faciale se déploie dans la société. Pas de façon massive, mais par des expérimentations (comme à Nice lors du carnaval) ou des initiatives ponctuelles (installation de portiques spéciaux dans des lycées à Nice et Marseille). Souvent c’est le côté pratique qui est mis en avant, qu’il s’agisse de déverrouiller un smartphone en instant, fluidifier l’embarquement de passagers ou faciliter l’accès aux sites des services publics (Alicem).

Et rien n’indique que la tendance va cesser ou même décélérer. Mi-octobre, le secrétaire d’État au numérique, Cédric O, appelait à laisser se dérouler des expérimentations « pour que nos industriels progressent », jugeant qu’il y a « beaucoup d’usages qui, s’ils sont bordés juridiquement et techniquement, ne posent aucun problème et apportent de la simplification ». En somme, la perspective d’une société sans reconnaissance faciale ne semble pas envisagée. Ni envisageable.

C’est dans ce contexte que la Commission nationale de l’informatique et des libertés (CNIL) s’efforce d’exister, une tâche d’autant plus difficile qu’elle doit subir les assauts de plusieurs personnalités politiques. En octobre Christian Estrosi, Éric Ciotti et Renaud Muselier lui ont ainsi reproché son idéologie, qualifiée de « poussiéreuse », lorsqu’elle s’est opposée à la reconnaissance faciale à l’entrée des lycées, en lui opposant pour le coup un autre dogme : le tout sécuritaire.

Cédric O
Cédric O, en mai 2019. // Source : Pierre Metivier

Des exigences à respecter

Ce vendredi 15 novembre, l’autorité indépendante, qui a la responsabilité de la protection des données personnelles, et surtout de s’assurer que l’informatique ne porte pas atteinte aux libertés, aux droits de la personne et à la vie privée, publie donc un document au sein duquel elle propose de fixer le cadre du débat public qui est en train de s’ouvrir. Et, surtout, la CNIL en profite pour préciser ses exigences et tracer les lignes rouges à ne pas franchir.

L’implication plus active de la CNIL est d’autant plus nécessaire que la reconnaissance faciale n’est pas la seule technologie à poser question. Précédemment, le gendarme français des données personnelles s’était déjà alarmé de la montée en puissance de la vidéosurveillance et des perspectives de connexion entre les caméras et l’identification des personnes. Cela, alors que les algorithmes de reconnaissance faciale sont chaque jour un peu plus perfectionnés.

Essentiellement, la CNIL énonce trois impératifs.

Alicem
Porté par le gouvernement, Alicem est un dispositif d’identification par reconnaissance faciale qui permet de se connecter aux sites web du service public.

Le premier consiste à tracer les lignes rouges, auxquelles doivent aussi se soumettre les expérimentations. « Tout n’est pas et ne sera pas permis en matière de reconnaissance faciale », prévient l’autorité. En particulier, le cadre juridique actuel doit être respecté, à commencer par le Règlement général sur la protection des données. Ainsi, il convient d’évaluer la légitimité et la proportionnalité de chaque projet, sachant qu’il y a de toute façon des usages qui « sont interdits dans notre société ».

Par exemple, dans le cas de la reconnaissance faciale dans les lycées pour sécuriser et fluidifier les entrées, l’instance administrative a rappelé que ce double objectif peut très bien être atteint « par des moyens aussi efficaces et bien moins intrusifs », comme un contrôle par badge. En outre, elle a aussi mis en lumière que les mineurs ont droit à une protection toute particulière (cela, même si l’école, en tant qu’institution disciplinaire, est un terrain de jeu idéal pour les industriels).

Le deuxième impératif est le respect de la personne. Chacun doit pouvoir au préalable accepter ou refuser la reconnaissance faciale, qu’elle soit expérimentale ou non. Le consentement donné doit respecter le cadre juridique. Il faut aussi assurer le contrôle des données et la transparence quant au fonctionnement et aux finalités du dispositif. Évidemment, le degré de sécurité des données biométriques devra être au plus haut, car « toute compromission peut avoir des conséquences graves ».

Surtout, la CNIL met en garde sur les tentatives d’acclimatation à la reconnaissance faciale : « les expérimentations ne sauraient éthiquement avoir pour objet ou pour effet d’accoutumer les personnes à des techniques de surveillance intrusive, en ayant pour but plus ou moins explicite de préparer le terrain à un déploiement plus poussé », écrit-elle dans sa note. Gare donc aux dispositifs que l’on cherche à rendre acceptables, alors qu’ils nuisent aux personnes, aux droits et aux libertés.

Troisième et dernier impératif : que les expérimentations suivent une « véritable démarche expérimentale ». Cela implique une limitation dans le temps et dans l’espace de chacun des dispositifs mis à l’essai, une évaluation «  rigoureuse, contradictoire, pluridisciplinaire et menée dans des délais raisonnables », mais aussi une comparaison avec de alternatives techniques qui permettraient de répondre aux mêmes besoins, avec la même efficacité, mais sans constituer un risque sociétal.

En effet, «  il est impérieux de se prémunir de tout effet cliquet lié à la mise en œuvre de certains dispositifs », écrit le gendarme français de la vie privée, qui assure qu’il ne s’agit pas de « brider l’innovation technologique », mais de s’assurer que tel ou tel dispositif est bien respectueux du cadre juridique et intègre directement toutes les obligations qui en émanent, en particulier face aux enjeux sécuritaires, industriels et économiques qui vont immanquablement peser dans le débat public.

Partager sur les réseaux sociaux