Reconnaissance faciale : Porter les valeurs de l’Europe

Ces dernières années, nous assistons à une multiplication des expérimentations et usages des technologies de reconnaissance faciale. Cette situation invite à s'interroger sur l'encadrement de ces dispositifs, intrusifs et susceptibles de restreindre les libertés publiques. Dans ce rapport, Renaissance Numérique plaide en faveur de la création d’un système de standardisation robuste à l’échelle de l’Union européenne. Au cœur de cet enjeu : la garantie des droits et libertés fondamentaux des citoyens européens, et la souveraineté numérique de l’Union européenne.

Auteurs

Valérie Fernandez Professeure, Telecom Paris
Jessica Galissaire Responsable des études, Renaissance Numérique
Léo Laugier Doctorant en informatique, Institut Polytechnique de Paris
Guillaume Morat Senior Associate, Pinsent Masons
Annabelle Richard Avocate associée au pôle Technologies, Pinsent Masons

La maturité technique des technologies de reconnaissance faciale ouvre la voie au déploiement de leurs usages

Malgré des avancées technologiques significatives, les technologies de reconnaissance faciale restent des dispositifs imparfaits et hautement sensibles. Le traitement de données biométriques est loin d’être anodin, et le risque de violation de nos droits et libertés fondamentaux mérite une attention particulière. Les systèmes sur lesquels ces technologies reposent peuvent en effet être sujets à des failles de sécurité importantes, voire induire des biais algorithmiques susceptibles de provoquer des discriminations racistes, sexistes ou âgistes. Au-delà de ces imperfections d’ordre technique, certaines failles peuvent résulter de l’intervention humaine dans l’interprétation des résultats de ces technologies qui sont probabilistes.

Toutefois, les technologies de reconnaissance faciale regroupent des usages extrêmement divers. Tous (public ou privé, consenti ou à l’insu des individus, en temps réel ou différé, etc.), ne comportent pas la même sensibilité et les mêmes facteurs de risque. Ces cas d’usages plus ou moins sensibles et les expérimentations se multiplient, et ce y compris dans plusieurs États membres de l’UE. Dès lors, il est nécessaire de se demander si le cadre juridique qui les entoure peut suffire à prévenir des usages des technologies de reconnaissance faciale qui risqueraient de mettre en péril nos droits fondamentaux.

Exemples de droits fondamentaux susceptibles d’être impactés par l’utilisation des technologies de reconnaissance faciale

Libertés ou droits fondamentaux	Impact des technologies de reconnaissance faciale
Dignité humaine	Les technologies de reconnaissance faciale, notamment lorsqu’elles sont utilisées en direct, peuvent être perçues comme des technologies de surveillance tellement intrusives sur la vie des personnes qu’elles affectent leur capacité à mener une vie digne.
Non-discrimination	Une discrimination peut survenir lors de la conception (consciemment ou non) de l’algorithme lui-même (par l’introduction notamment de biais) ou résulter de l’application par les personnes qui décident des mesures à prendre selon le résultat de l’algorithme.
Libertés d’expression, d’association et de réunion	L’utilisation des technologies de reconnaissance faciale à travers des caméras vidéo installées dans l’espace public peut retenir les personnes de s’exprimer librement, les encourager à modifier leur comportement ou revenir à les présenter comme faisant partie d’un groupe d’individus. Certaines personnes pourraient ainsi renoncer à se réunir dans l’espace public par crainte des technologies de reconnaissance faciale. Cela peut également aller à l’encontre de la liberté de préserver son anonymat.
Droit à un procès équitable	Ce droit repose tout d’abord sur l’information des personnes. Ainsi, toute absence de transparence pourrait être de nature à porter atteinte à ce droit. Par ailleurs, les autorités publiques doivent mettre en place des procédures pour permettre aux personnes concernées d’élever des contestations et de porter des réclamations. Par exemple, les personnes doivent pouvoir s’opposer à ce qu’elles figurent dans une base de données de comparaison ou réclamer la réparation d’un dommage dû à une erreur d’interprétation des résultats de technologies de reconnaissance faciale.
Droit à une bonne administration	Il renvoie à la notion d’explicabilité et repose sur un principe de transparence qui implique que les individus peuvent demander à connaître les raisons pour lesquelles une décision a été prise à leur encontre. En matière de technologies de reconnaissance faciale, il s’agirait pour l’administration ou la police de pouvoir expliquer à une personne les raisons pour lesquelles celle-ci a été arrêtée en fonction des résultats d’une technologie de reconnaissance faciale.
Droit à l’éducation	Un élève qui se verrait refuser l’accès à un établissement scolaire dans une région ayant rendu obligatoires les accès par le biais de technologies de reconnaissance faciale, et ne proposant aucune autre alternative d’accès pourrait invoquer son droit à l’éducation.
Source : Agence des droits fondamentaux de l’Union européenne (2019), “Facial recognition technology: fundamental rights considerations in the context of law enforcement”.

Un cadre juridique à l’application disparate et peu efficiente

À ce jour, aucune réglementation n’encadre de manière spécifique le déploiement des technologies de reconnaissance faciale au niveau européen. La Charte des droits fondamentaux, le Règlement général sur la protection des données (RGPD) et la Directive Police-Justice constituent toutefois des garde-fous destinés à garantir la protection des droits fondamentaux des citoyens. Conformément à ce cadre, le traitement des données biométriques est, sauf exceptions, interdit au sein de l‘Union européenne (UE). Des dispositions nationales, comme la Loi Informatique et Libertés en France ou la réglementation relative à la vidéoprotection, complètent ce cadre. Le déploiement des technologies de reconnaissance faciale ne se fait donc pas dans un vide juridique au sein de l’UE.

Ce cadre pâtit toutefois de faiblesses dans son application, qui le rendent peu efficient et qu’il est impératif de pallier. D’une part, les dispositions légales européennes ne sont pas appliquées de façon uniforme au sein des différents États membres. Les autorités de régulation nationales possèdent en outre des ressources humaines et financières disparates et insuffisantes pour bien le mettre en œuvre. D’autre part, le contrôle du respect des droits et libertés fondamentaux est un exercice complexe qui intervient généralement ex post, à travers la jurisprudence, c’est-à-dire en réaction à une expérimentation ou à un déploiement spécifique. De ce fait, la compatibilité des usages des technologies de reconnaissance faciale avec l’ensemble des libertés et droits fondamentaux n’est pas garantie ex ante.

Si l’objectif est de garantir un déploiement des technologies de reconnaissance faciale conforme aux valeurs européennes (principes de l’État de droit et de la démocratie), alors nous ne pouvons nous satisfaire de cette situation. À l’heure où de plus en plus de technologies de reconnaissance faciale sont déployées, il est urgent que l’UE se saisisse de ces enjeux, et que les États membres s’accordent pour se doter d’un système robuste permettant de garantir nos droits.

Vers un système de standardisation européen garant des droits et libertés fondamentaux

Pour l’heure, les standards appliqués au sein de l’UE en matière de technologies de reconnaissance faciale sont principalement ceux du National Institute of Standards and Technology (NIST), une agence gouvernementale américaine. Il y a donc là une opportunité pour l’Europe de s’émanciper de la prédominance américaine et de fixer ses propres règles, d’autant que ces standards ne tiennent compte que des performances techniques des technologies (sans considérer leurs éventuels impacts sur nos droits et libertés).

Pour asseoir sa souveraineté numérique et protéger les droits et libertés fondamentaux de ses citoyens, l’UE doit donc définir ses propres standards et y intégrer des dimensions juridiques. L’adoption de ces standards doit passer par leur imposition dans le cadre des marchés publics européens, nationaux et locaux, expérimentations incluses. Ceci permettrait d’une part d’encourager leur adoption, et d’autre part d’encadrer fortement la surveillance publique. Afin de porter ses standards, l’UE doit s’appuyer sur une instance de gouvernance multipartite, réunissant les expertises en matière de standardisation, de droits fondamentaux, dont la protection des données à caractère personnel, et plus globalement de défense des droits.