« Tout n’est pas et ne sera pas permis » en matière de reconnaissance faciale. Le rapport présenté par la CNIL aux pouvoirs publics ce 15 novembre donne le ton. Lignes rouges et lignes de force.
La CNIL s’est récemment illustrée en refusant la mise en place d’un dispositif de reconnaissance faciale aux entrées de deux lycées, à Nice et Marseille. Pour autant elle ne s’oppose pas aux expérimentations, mais pose le cadre dans un rapport adopté en collège ce 7 novembre qui vise à instaurer « un débat à la hauteur des enjeux »
4 objectifs …
La CNIL a un rôle de conseil auprès des pouvoirs publics. C’est dans cette démarche que s’inscrit ce rapport, à une époque où le recours à la reconnaissance faciale est de plus en plus d’actualité. Un rapport qui se propose d’atteindre 4 objectifs :
– Présenter les technologies de reconnaissance faciale afin qu’elles ne soient pas confondues avec d’autres technologies et expliquer à quoi elles peuvent servir, ce qu’elles peuvent apporter. La CNIL alerte sur le fait que cette technologie peut aller à l’encontre du principe d’anonymat de l’espace public, ce qui conduit l’institution à suggérer de raisonner au cas par cas.
– Mettre en lumière les risques car ces technologies exploitent les données biométriques des personnes, données qui sont considérées comme sensibles par le RGPD. La CNIL rappelle que la reconnaissance faciale « soulève des questions inédites touchant à des choix de société »
– Rappeler le cadre juridique à la fois national et européen. Un cadre qui demande un impératif particulier, et une autorisation d’une loi ou d’un décret. Un cadre qui exige aussi la proportionnalité des moyens mis en place et une protection particulière des enfants. Le « Tout n’est pas et ne sera pas permis » raisonne comme un avertissement.
– Préciser le rôle de la CNIL en la matière. C’est ainsi que la CNIL souligne que les pouvoirs de décision en matière de reconnaissance faciale appartiennent au Parlement et au Gouvernement, mais qu’elle entend, quant à elle, jouer ses rôles de conseil – ce rapport en apporte la démonstration – et de contrôle.
… et une triple exigence
Pour toute mise en place d’un dispositif de reconnaissance faciale, la CNIL pose une triple exigence :
- Tracer les lignes rouges avant tout usage expérimental. Des lignes rouges à ne pas franchir et qui permettront de garantir que le projet est conforme au RGPD et à la directive européenne « police justice ». « S’il peut exister des cas légitimes et légaux d’usage de la reconnaissance faciale, ils ne doivent pas conduire à penser que tout serait souhaitable ou possible »
- Placer le respect des personnes au cœur du dispositif, notamment en s’assurant du respect de la vie privée. Le consentement doit donc être demandé, l’usager doit pouvoir assurer le contrôle de ses données et exercer son éventuel droit de retrait. Le dispositif doit être mis en place en toute transparence vis à vis des usagers et les données biométriques utilisées doivent être sécurisées.
- Adopter une démarche « sincèrement expérimentale » en posant des limites dans le temps et l’espace, en assurant une identification exacte des objectifs poursuivis et en mettant en place des modalités d’évaluation. « Tester pour parfaire des solutions techniques respectueuses du cadre juridique »
La reconnaissance faciale est une technologie appelée à se développer, notamment en matière de sécurité. Le présent rapport a le mérite de poser un cadre aux expérimentations. Mais la reconnaissance faciale restera une technologie intrusive. A ce titre il convient de veiller à ce que son utilisation ne soit pas banalisée.
A découvrir également :
Smart City et libertés individuelles – 7 novembre 2019
