Le 15 novembre 2019, la CNIL a publié une note présentant les éléments techniques, juridiques et éthiques qui doivent, selon elle, être pris en compte dans le cadre d’un débat sur les usages de la reconnaissance faciale.

Dans le cadre de cette note, la CNIL présente tout d’abord ce qu’est la reconnaissance faciale (1), puis expose les risques de ces technologies (2) et le cadre juridique qui encadre son expérimentation (3) pour enfin informer les pouvoirs publics sur son rôle dans le cadre de la régulation de cette technologie (4).

1. Sur la définition de la reconnaissance faciale

La CNIL précise que la reconnaissance faciale peut permettre de remplir deux fonctions distinctes :

• Elle peut servir à authentifier une personne, c’est-à-dire à vérifier que cette personne est bien celle qu’elle prétend être. Dans ce cas, le système compare le visage de la personne avec un gabarit biométrique préenregistré.
• Elle peut permettre d’identifier une personne au sein d’un groupe d’individu, dans un lieu, une image ou une base de données. Dans ce cas, le système teste chaque visage afin de vérifier s’il correspond à une personne connue. Il peut également être utilisé pour suivre une personne sans faire le lien avec son état civil.

Sur ces usages, la CNIL considère qu’une « gradation peut être envisagée, en fonction du degré de contrôle des personnes sur leurs données personnelles, de leur marge d’initiative dans le recours à cette technologie, des conséquences qui en découlent pour elles (en cas de reconnaissance ou de non-reconnaissance) et de l’ampleur des traitements mis en œuvre ».

Concernant ces différents usages, la commission estime que le raisonnement sur leur conformité au droit des données personnelles doit se faire « cas d’usage par cas d’usage » et ajoute que « s’il peut exister des cas légitimes et légaux d’usage de la reconnaissance faciale, ils ne doivent pas conduire à penser que tout serait souhaitable ou possible ».

2. Sur l’impact et les risques de la reconnaissance faciale

Tout d’abord, la CNIL rappelle que les données biométriques sont des données sensibles et ont comme particularité de « permettre à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s’affranchir ».

Ensuite, la CNIL indique que potentiellement les données de reconnaissance faciale sont disponibles partout. En outre, cette technologie « sans contact » peut permettre le traitement de données à distance et à l’insu de la personne.

Enfin, la CNIL mentionne les limites de ces technologies. En effet, la reconnaissance faciale comporte actuellement des biais importants qui peuvent avoir des conséquences sur les individus. La commission rappelle que le taux d’erreur commis par les algorithmes de reconnaissance faciale peut varier avec le sexe ou la couleur de peau. La commission a déjà mentionné l’existence de ces biais dans le cadre de son rapport sur l’éthique des algorithmes et de l’intelligence artificielle publié en décembre 2017.

Une autre limite à cette technologie selon la CNIL concerne son coût. Ainsi, la commission estime que ce coût « pèse le plus souvent sur les collectivités territoriales ou sur les pouvoirs publics, dans un contexte global de rationalisation de la dépense publique, sans que le retour sur investissement soit toujours mesuré avec précision et méthode ».

3. Sur le cadre juridique de l’expérimentation de la reconnaissance faciale

D’une part, la CNIL précise qu’elle a admis le recours à la reconnaissance faciale pour les dispositifs PARAFE ou ALICEM « en cas d’exigence d’un niveau particulièrement élevé d’authentification des personnes et sous réserve de leur maîtrise sur leurs données biométriques », ainsi que l’expérimentation de cette technologie sur un échantillon de volontaires et sans conséquence opérationnelle pour le filtrage des accès à la zone du carnaval de Nice.

Cependant, la commission rappelle qu’elle a interdit certains usages tels que l’utilisation de la reconnaissance faciale des enfants à des fins de contrôle d’accès à des établissements scolaires dès lors que cet objectif pouvait être atteint par un dispositif moins intrusif (voir notre brève consacrée à cet avis de la CNIL).

D’autre part, La CNIL considère que le droit à la protection des données et à la vie privée sont des droits fondamentaux. En conséquence, le consentement des personnes, en particulier dans le cadre d’expérimentation, devra être recueilli pour chaque dispositif le permettant et le contrôle des données sur des supports possédés par les individus devra être privilégié. De plus, les principes de transparence et de droit d’accès aux informations des personnes devront être garantis comme l’impose le RGPD. De surcroît, selon la commission, la sécurité des données biométrique devra constituer une « condition impérieuse de leur traitement ».

Enfin, la CNIL estime que « les expérimentations ne sauraient éthiquement avoir pour objet ou pour effet d’accoutumer les personnes à des techniques de surveillance intrusive, en ayant pour but plus ou moins explicite de préparer le terrain à un déploiement plus poussé ».

4. Le rôle de la CNIL dans la régulation de la reconnaissance faciale

D’une part, la CNIL énonce qu’elle devra être consultée pour tout projet de texte législatif ou réglementaire visant à permettre ou faciliter d’éventuelles expérimentations.

D’autre part, la commission informe les pouvoir publics qu’elle est en mesure de les conseiller en amont de tout cadre d’expérimentation. Dans le cadre de cet accompagnement, la commission précise qu’il est préférable qu’elle dispose des analyses d’impact élaborées avant la mise en œuvre de chaque traitement et qu’elle soit destinataire des bilans périodiques d’expérimentation, afin d’être en mesure de contribuer pleinement au dispositif envisagé. Enfin, la CNIL précise qu’elle pourra à tout moment contrôler le respect du cadre juridique et au besoin imposer les corrections nécessaires.