La reconnaissance faciale à l’épreuve des expérimentations, sous le regard inquiet de la CNIL

Selon la commission nationale informations et libertés, la reconnaissance faciale est une technique qui permet à partir des traits de visage d’authentifier une personne : à savoir, vérifier qu’une personne est bien celle qu’elle prétend être (dans le cadre d’un contrôle d’accès) ou d’identifier une personne : c’est-à-dire, de retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données. 

Et elle met en garde sans détour sur l’importance des enjeux de protection des données et les risques d’atteintes aux libertés individuelles — dont la liberté d’aller et venir anonymement — que de tels dispositifs sont susceptibles d’induire.

Pourtant, cette technologie commence à s’installer dans notre quotidien, certaines collectivités locales ne cachent pas leur volonté d’en faire un outil majeur de leur politique de sécurité publique. Dès lors, quelles sont les règles juridiques applicables, les marges de manœuvre des municipalités et les garanties pour les citoyens ?

Le sud de la France, terre d’expérimentation

Quatre organisations – La Quadrature du Net, la Ligue des droits de l’Homme, CGT Educ’Action des Alpes-Maritimes et la Fédération des Conseils de Parents d’Élèves des écoles publiques des Alpes-Maritimes — ont déposé le 14 février 2019 un recours devant le tribunal administratif de Marseille pour demander l’annulation de la délibération du conseil régional autorisant la mise en œuvre d’une expérimentation de reconnaissance faciale dans deux lycées de la région. Cette délibération, adoptée le 14 décembre 2018, énonçait que « l’innovation, véritable ADN du territoire, doit nous permettre de bâtir la smart région, une région plus intelligente, plus respectueuse de l’environnement, mais aussi plus sûre pour l’ensemble des Provençaux, Alpins et Azuréens ». Elle autorisait alors la mise en place d’une expérimentation « d’un dispositif de contrôle d’accès par comparaison faciale et de suivi de trajectoire » dans deux lycées du territoire.

La Quadrature du Net relève que « les arguments juridiques soulevés [par le recours des quatre organisations – NDLR] s’appuient essentiellement sur le règlement général sur la protection des données (RGPD) ». L’organisation ajoute que « la délibération, votée alors qu’aucune analyse d’impact n’avait été réalisée, permet en effet la mise en œuvre d’un traitement de données biométriques qui est manifestement disproportionné par rapport à l’objectif poursuivi […] et qui n’est fondée sur aucune règle juridique adaptée, claire et intelligible, contrairement à ce qu’impose la Convention européenne des droits de l’Homme en matière de droit à la vie privée. La délibération autorisant cette expérimentation est donc illégale et doit être annulée ». Le jugement du tribunal administratif sur ce recours est particulièrement attendu.

Cette même année, les carnavaliers se rendant à Nice pour les célèbres défilés étaient loin de se douter qu’ils pourraient participer à une des premières expérimentations de reconnaissance faciale à grande échelle. En effet, le 1er février 2019, la CNIL recevait un courriel l’informant de l’intention de la ville de Nice de mettre en œuvre, à titre expérimental, les 16, 19 et 20 février « un dispositif de reconnaissance faciale à l’occasion du carnaval de la ville ». Si depuis l’entrée en vigueur du RGPD, ces dispositifs ne sont plus soumis à autorisation préalable de la CNIL, plusieurs échanges ont tout de même eu lieu, dans une logique d’accompagnement à la conformité. Tout cela dans un calendrier très serré, comme l’a regretté la commission. De même qu’elle s’est élevée en faux lorsque Christian Estrosi, maire de la ville, s’est targué d’avoir reçu son autorisation pour cette expérimentation.

La CNIL s’est alors fendue d’un « Thread » sur Twitter pour contester avoir donné cette autorisation, rappeler le cadre juridique d’une telle expérimentation et son souhait d’obtenir un bilan détaillé de l’expérience. Ledit bilan a bien été produit par la ville de Nice, mais laisse la CNIL insatisfaite.

Si les relations entre l’autorité administrative et la mairie de Christian Estrosi étaient fraiches, ils s’accordent sur un point : le droit doit évoluer pour préciser les règles.

 Le cadre juridique doit s’adapter, dans l’intérêt des citoyens et des collectivités

Dès 2011, un rapport d’information de l’Assemblée nationale sur La mise en œuvre des conclusions de la mission d’information sur les fichiers de police, présenté par la députée Delphine Batho et le député Jacques Alain Bénisti, alertait sur la création d’un fichier autonome de reconnaissance faciale. Les auteurs rappelaient que « la reconnaissance automatisée par l’image, si elle est relativement développée au plan technique, connaît un taux d’erreur bien plus élevé que les fichiers d’identification actuels, qui ne laissent que très rarement place au doute. » Le rapport ajoutait que « la base de données ne pourra être composée que de l’image de personnes judiciairement mises en cause ». Nous sommes dès lors bien loin des procédés expérimentés.

Dans un communiqué du 19 septembre 2018, la CNIL constate que le cadre juridique actuel, précis sur certaines technologies (caméras, caméras-piétons…) et certaines finalités (visionnage simple d’images), ne comporte pas de règles adaptées aux dispositifs de reconnaissance faciale. Pourtant, ces dispositifs, qui s’articulent parfois avec des technologies de big data, soulèvent des enjeux importants pour les droits et libertés individuelles des citoyens, qui ne sauraient être sacrifiés sur l’autel de la sécurité. La CNIL conclut son communiqué en appelant « d’urgence à un débat démocratique sur cette problématique, et à ce que le législateur puis le pouvoir réglementaire se saisissent de ces questions afin que soient définis les encadrements appropriés, en recherchant le juste équilibre entre les impératifs de sécurisation, notamment des espaces publics, et la préservation des droits et libertés de chacun. »

Cet appel semble avoir été entendu par Cédric O, secrétaire d’État au numérique, qui déclare dans un entretien accordé au Monde : «  Comme souvent, la technologie est en avance sur la régulation. Aujourd’hui, la reconnaissance faciale entre dans nos vies sans que son cadre d’utilisation n’ait encore été clarifié ». Il propose dès lors de « créer en coordination avec la CNIL une instance spécifique, composée de membres issus de différentes administrations et régulateurs, sous la supervision de chercheurs et de citoyens. Cette instance superviserait et évaluerait les expérimentations. » Dans cet entretien, le secrétaire d’État admet être très partagé sur l’utilisation de mécanismes de reconnaissance faciale en temps réel sur les images de vidéosurveillance et souhaite s’en remettre à un débat associant les parlementaires et les élus locaux.

En somme, la décision de généraliser de tels dispositifs relève d’un enjeu de société dont les citoyens et les élus locaux  doivent se saisir. Ils seront les garants d’une régulation ancrée sur le respect des valeurs républicaines fondamentales dont la liberté est la clé de voute.