Reconnaissance faciale : les très attendues recommandations de la CNIL enfin publiées

La CNIL rappelle que l’implémentation de la reconnaissance faciale en France doit être abordée sous le prisme de la transformation numérique globale de la société actuelle. En effet, la puissance de cette technologie pose des questions juridiques mais aussi politiques, et doit dès maintenant s’inscrire dans un contexte de puissance nationale sur la scène européenne, et, plus largement, internationale.

La reconnaissance faciale est définie par la Commission comme « une technique informatique et probabiliste qui permet de reconnaître automatiquement une personne sur la base de son visage pour l’authentifier ou l’identifier ». Elle distingue l’authentification et l’identification. La première consiste à vérifier qu’une personne est bien celle qu’elle affirme être, alors que la seconde vise à retrouver une personne au sein d’un groupe d’individus.

La CNIL rappelle qu’une pluralité de situations sont prises en compte derrière l’expression, singulière de « reconnaissance faciale ». Cette multiplicité de champs d’usages renvoie à tout autant de types de traitement de données à caractère personnel, d’une ampleur plus ou moins grande.

Il est bien sûr indiqué que cette technologie utilise des données à caractère personnel biométriques, permettant l’identification d’une personne sur la base d’une réalité biologique, a priori permanente et définitive, et dont la protection a naturellement été renforcée par le RGPD. Notamment, la CNIL rappelle que la sécurisation des traitements de ces données « sensibles » doit être une priorité dans la conception même des projets mettant en œuvre un procédé de reconnaissance faciale.

L’autorité insiste sur le fait que le caractère spécifique de ces données biométriques a nécessité un encadrement juridique strict, aujourd’hui consacré par le RGPD, la loi Informatique et Libertés, et la directive Police-Justice. Il est notamment prévu que les traitements de données biométriques ne peuvent être mis en œuvre que pour certaines finalités, en cas de nécessité absolue, uniquement après avoir recueilli le consentement de la personne, dans le cas où l’opérateur n’est pas autorisé par la loi ou un décret.

Dans la présentation des risques liés à l’utilisation de la reconnaissance faciale, la CNIL précise que ce sont les systèmes technologiques les plus poussés qui présentent le plus de risques, concernant notamment l’anonymat dans l’espace public. Elle cible ainsi les systèmes d’identification. Lors de l’utilisation de la reconnaissance faciale à des fins d’authentification, la participation volontaire de l’individu contribue à réduire les risques que le traitement soit mis en œuvre à son insu, sans qu’il en soit conscient.

Pointant un aspect crucial lié la mise en œuvre de dispositifs de reconnaissance faciale, mais également à toutes les technologies impliquant de l’intelligence artificielle, la CNIL indique dans sa note qu’un cadre strict doit s’appliquer aux expérimentations. Ainsi, elle affirme que cette technologie doit s’inscrire dans le respect du cadre européen (RGPD et Directive Police-Justice). Cela implique, dès le stade de l’expérimentation, de d'ores et déjà chercher à évaluer la proportionnalité et la légitimité du traitement mis en œuvre. La CNIL précise surtout qu’il convient de placer le respect des personnes et de leurs droits au centre de l’expérimentation. Sans se limiter aux droits juridiquement reconnus (vie privée, protection des données), l’autorité souhaite qu’une réflexion éthique guide les expérimentations.

Dans l’exercice de sa mission de garante indépendante des libertés, de la vie privée et des données personnelles, la Commission affirme qu’elle conseillera les pouvoirs publics en amont sur les projets d’expérimentation, et qu’elle devrait être destinataire de bilans périodiques et d’évaluation des dispositifs. A tout moment la CNIL affirme qu’elle sera chargée de contrôler le respect effectif du cadre juridique et d’imposer des correctifs.