Des lignes directrices en matière de reconnaissance faciale
Publié le 02/03/2021 par Etienne Wery
Le Conseil de l’Europe adopte des lignes directrices en matière de reconnaissance faciale. Les Etats signataires de la Convention 108 doivent en tenir compte dans les textes qu’ils adoptent. Certaines utilisations sont proscrites. Le secteur privé n’est pas gâté.
La Convention 108 du Conseil de l’Europe
On l’oublie parfois, mais la directive de 1995 sur la protection des données personnelles n’est pas le texte fondateur de la matière.
Le Conseil de l’Europe (que l’on ne confondra pas avec l’Union européenne) avait en effet adopté, dès 1981, une Convention n° 108 pour la protection des données à caractère personnel (STE N°108). Ouverte à la signature le 28 janvier 1981, la Convention fut le premier instrument international juridique contraignant dans le domaine de la protection des données. Aux termes de cette Convention, les parties doivent prendre les mesures nécessaires en droit interne pour en appliquer les principes afin d’assurer, sur leur territoire, le respect des droits fondamentaux de la personne humaine au regard de l’application de la protection des données.
La Convention 108 a fait l’objet d’un lifting en 2018 grâce à l’adoption de la Convention 108+. Parmi les nouveautés : l’introduction d’un principe général de proportionnalité, une protection spécifique des données sensibles, un principe de sécurité des données, l’énonciation d’une exigence générale de transparence …les habitués du GDPR reconnaitront … (aperçu des nouveautés).
A l’occasion du vingtième anniversaire de ce texte fondateur, le Conseil de l’Europe a consacré une série de travaux à la problématique de la protection des données personnelles. On notera en particulier l’adoption, le 28 janvier 2021, de lignes directrices sur la reconnaissance faciale qui font l’objet de cette analyse.
Reconnaissance faciale et vidéosurveillance
La reconnaissance faciale implique forcément la captation ou la reprise d’une image (animée ou non), mais l’inverse n’est pas vrai : la vidéosurveillance n’implique pas nécessairement de reconnaissance faciale.
La caméra de surveillance d’un magasin qui enregistre le flux de visiteurs sans les identifier relève de la vidéosurveillance, mais pas de la reconnaissance faciale. La reconnaissance faciale est nettement plus intrusive parce qu’elle identifie ou authentifie une personne, et c’est ce qui justifie un cadre juridique plus strict.
Les lignes directrices expliquent que la reconnaissance faciale est une technologie de traitement automatique d’images numériques contenant les visages de personnes afin de les identifier ou de les authentifier au moyen de modèles de visages. « La sensibilité des informations de nature biométrique a été consacrée avec l’inclusion des données identifiant une personne de façon unique au titre des catégories particulières de données de l’Article 6 de la Convention modernisée pour la protection des personnes à l’égard du traitement des données à caractère personnel (ci-après « Convention 108+ »). Le contexte du traitement d’images est déterminant dans la qualification de la nature sensible des données. Le traitement d’images n’implique pas, en général, un traitement de données sensibles, les images n’étant couvertes par la définition des données biométriques que lorsqu’elles sont traitées par un moyen technique spécifique permettant l’identification ou l’authentification unique d’un individu. »
Les lignes directrices ont donc un périmètre ratione materiae bien précis : elles traitent de l’utilisation des technologies de reconnaissance faciale, y compris les technologies de reconnaissance faciale à la volée.
Un cadre juridique clair
On le sait, toute ingérence dans les libertés doit être prévue par la loi. Au-delà de l’aspect formel (l’existence d’un texte), cette exigence vise aussi le contenu matériel de la norme : il faut que le texte soit suffisamment précis pour que chacun puisse connaitre les conséquences du comportement qu’il adopte.
Les lignes directrices insistent : la précision du cadre juridique doit être à la hauteur de l’intrusion dans la vie privée. Transparence totale à tous les étages ! Qui ? Quoi ? Quand ? Comment ? Pourquoi ? Combien de temps ? Le Conseil de l’Europe exige un processus démocratique (comprenez : un texte débattu en assemblée) d’une qualité irréprochable permettant (1) à la population de savoir exactement ce qui est fait, et (2) aux juges ou aux autorités compétentes de contrôler que l’usage réel est bien celui prévu par la loi.
La fin ne justifie pas les moyens
Les lignes directrices s’opposent à certaines opérations et finalités. C’est ainsi que le recours à la reconnaissance faciale est notamment proscrit :
- dans le seul but de déterminer la couleur de la peau, les convictions religieuses ou autres convictions, le sexe, l’origine raciale ou ethnique, l’âge, l’état de santé, ou la condition sociale d’une personne (à moins que des garanties appropriées soient prévues par la loi afin de prévenir tout risque de discrimination);
- à des fins de reconnaissance des « affects » (détecter les traits de personnalité, les sentiments intérieurs, la santé mentale ou l’engagement des travailleurs à partir d’images des visages pour détecter les traits de personnalité, les sentiments intérieurs, la santé mentale ou l’engagement des salariés);
- pour la surveillance « à la volée » par les forces de l’ordre (sauf si c’est strictement nécessaire et proportionné pour empêcher des menaces imminentes et substantielles pesant sur la sécurité publique et qui sont documentées à l’avance). Cette exigence est, on le sait, au cœur d’un important débat portant sur l’utilisation des drones dans la lutte contre le covid (voir nos actus).
Et le privé ?
Le secteur privé est traité selon qu’il élabore et propose ces technologies, ou qu’il les utilise.
L’utilisateur privé de reconnaissance faciale n’est pas gâté par les lignes directrices qui se montrent largement réticentes. Sauf situation spécifique, les rédacteurs paraissent considérer que la proportionnalité de l’ingérence n’est pas souvent défendable et qu’il y a, la plupart du temp, une méthode alternative moins intrusive dont le résultat est substantiellement le même.
C’est ainsi que « les entités privées ne doivent pas déployer de technologies de reconnaissance faciale dans des environnements non contrôlés tels que des centres commerciaux, spécialement pour identifier des personnes présentant un intérêt, à des fins de marketing ou de sécurité privée. »
Il y a une ouverture toutefois pour le secteur privé moyennant le consentement dans des « environnements contrôlés à des fins de vérification, d’authentification ou de catégorisation ». Mais attention : ce consentement doit être libre, ce qui implique la possibilité d’alternatives simples (mot de passe ou badge d’identification p.e.) et exclut les relations trop asymétriques (contrat de travail p.e.).
Les lignes directrices estiment que le consentement n’est jamais le fondement juridique approprié « pour la reconnaissance faciale effectuée par les autorités publiques compte tenu du déséquilibre des pouvoirs entre les personnes concernées et ces autorités ».
Plus d’infos ?
En prenant connaissance des lignes directrices et autres documents d’informations disponibles en annexe.