Faut-il voir la reconnaissance faciale d'un mauvais œil ?
Au printemps 2018, deux lycées de la région Paca vont tester cette technologie à l’entrée des établissements pour éviter les intrusions. Un dispositif inédit en France qui suscite des interrogations sur l’utilisation des données biométriques.
Le traditionnel carnaval de Nice n'est pas tout à fait le même cette année. Pour l'édition 2019, qui s'achève le samedi 2 mars, la municipalité expérimente un dispositif inédit de reconnaissance faciale. Parmi les centaines de milliers de visiteurs, 1 000 volontaires ont donné leur accord pour être repérés, l'objectif du test étant que les caméras parviennent à en retrouver certains au milieu de la foule. Depuis 2015, le maire Christian Estrosi se déclare favorable à ce type d'installations avec un objectif sécuritaire, dans une ville lourdement frappée par le terrorisme. Une autre initiative devrait être lancée dans les tramways niçois dans le but de repérer, grâce à la reconnaissance faciale, des "comportements suspects".
La mise en place de tels dispositifs soulève néanmoins des questions éthiques et juridiques. Le recours à ces installations n'est, certes, pas nouveau en France. Les aéroports de Nice ou encore celui de Paris-Charles-de-Gaulle sont déjà équipés de sas de contrôle à reconnaissance faciale. Et 77% des aéroports envisagent d'investir dans ces technologies, selon une étude de la Société internationale de télécommunication aéronautique. Toujours pour des raisons sécuritaires, afin d'éviter les intrusions, la région Provence-Alpes-Côte d'Azur a également souhaité mettre en place la reconnaissance faciale à l'entrée de deux lycées, à Nice et à Marseille.
La reconnaissance faciale a aussi déjà investi notre quotidien à travers les objets connectés. Certaines marques comme Apple, pionnière en reconnaissance faciale sur ses téléphones, travaille aujourd'hui sur le déverrouillage d'une voiture avec son visage. Au-delà des développements gadgets ou sécuritaires, la reconnaissance faciale pourrait devenir un véritable allié dans d'autres domaines comme la santé. Les concepteurs américains du programme DeepGestalt travaillent ainsi à le rendre capable de détecter une maladie génétique chez un patient, en analysant son visage, comme le détaille le site The Verge (en anglais).
Une technologie avec encore quelques bugs
Si le futur de la discipline s'annonce prometteur, sa fiabilité n'est pas encore garantie. Le dispositif de reconnaissance faciale expérimenté en 2017 lors de la finale de Ligue des champions à Cardiff par la police britannique a fait 92% d'erreurs, d'après le Guardian (en anglais). Plus de 2 000 personnes ont ainsi été identifiées à tort comme de potentiels criminels.
Autre souci soulevé par une étude du prestigieux Massachusetts Institute of Technology, la reconnaissance faciale déterminerait différemment l'identité des personnes en fonction de la couleur de leur peau. Basées sur les tests des systèmes développées par trois grandes entreprises – IBM, Face++ et Microsoft – exposent des erreurs problématiques : quand le visage est clair, l'ordinateur arrive à distinguer le sexe des personnes avec un taux de réussite de 94%. Mais plus le visage est foncé, plus il confond un homme avec une femme. La raison ? Les visages utilisés comme échantillon sont en majorité ceux d'hommes, aux visages clairs.
La machine apprend en fait à reconnaître les visages grâce à une base de données limitée et biaisée, car elle est fournie par l'homme lui-même. L'étude du MIT mentionne que "les systèmes automatisés ne sont pas intrinsèquement neutres. Ils reflètent les priorités, les préférences et les préjugés de ceux qui ont le pouvoir de modeler l'intelligence artificielle". Plus loufoque, des chercheurs ont aussi démontré qu'il était possible d'éviter d'être reconnu en portant des lunettes colorées à motifs psychédéliques.
En Chine, de nombreuses caméras surveillent les passages piétons pour dénoncer ceux qui ne respectent pas le Code de la route. Et, en novembre 2018, elles ont détecté le visage, non pas d'un piéton, mais celui d'une femme qui se trouvait sur l'affiche d'un bus qui passait sur la route, comme le raconte du site spécialisé Siècle Digital. Son visage a été affiché sur un écran géant dans la rue dans le but de l'accabler. Or, il s'agissait de l'une des femmes d'affaires les plus puissantes du pays.
L'année 2024 ressemblera-t-elle à "1984" ?
Les autorités chinoises ont dû s'excuser après cette erreur, mais celle-ci n'a pas remis en cause l'investissement du pays dans le domaine de la reconnaissance faciale, dans laquelle Pékin fait office de leader mondial. Depuis 2018, dans 16 provinces chinoises, la police est équipée de lunettes à reconnaissance faciale qui permettent d'identifier les personnes de plus de 16 ans en moins d'une seconde ; dans certaines universités, les élèves sont reconnus par des caméras à l'entrée des cours. La technologie est poussée jusqu'à reconnaître ceux qui abusent de l'utilisation de papier dans les toilettes publiques.
Forte de 200 millions de caméras, la Chine envisage d'en installer 400 millions de plus d'ici à 2020. De quoi renforcer le projet de "crédit social", un système de notation des individus basé sur la surveillance, que Pékin veut généraliser d'ici l'an prochain. Plus aucun Chinois ne pourra alors, théoriquement, se promener dans le pays sans que l'Etat ne puisse tout connaître de son parcours. Au-delà du problème de la surveillance de masse, se pose aussi la question de la protection de ces données personnelles. Un hacker néerlandais a réussi à mettre la main sur les données de plus de 2,5 millions d'habitants du Xinjiang en Chine.
Dans ce contexte de contrôle extrême des individus, 80 ONG ont appelé Google, Amazon et Microsoft à s'engager à ne pas "mettre à disposition des Etats leur technologie de reconnaissance faciale", pointant une possible dérive de l'utilisation de ces outils. Brad Smith, le patron de Microsoft, s'est lui-même inquiété de l'usage de cette technologie. En décembre 2018, il a appelé à agir et à réglementer le secteur "avant de nous réveiller et de constater que l'année 2024 ressemble à '1984'", en référence au roman de George Orwell, dans lequel un régime dictatorial épie les moindres faits et gestes des citoyens, leur rappelant constamment : "Big Brother vous regarde". Le groupe créé par Bill Gates a incité les géants du web à mettre en place des principes d'utilisations transparents. Apple, de son côté, assure que les données de son système Face ID ne sont stockées que sur les appareils des utilisateurs, pas sur des serveurs situés à distance.
De la question des données personnelles
En France, la loi permet-elle aux citoyens de se prémunir contre les dérives inhérentes à la reconnaissance faciale ? Sur Twitter, Christian Estrosi, a cherché à calmer les inquiétudes en affirmant avoir reçu "l'autorisation" de mener son expérience pendant le carnaval de Nice, remerciant ensuite la Commission nationale de l'informatique et des libertés (Cnil). Mais tous les acteurs du secteur s'accordent à souligner le flou juridique qui règne autour de ces questions. La Cnil en premier lieu.
Cette dernière a ainsi tenu à faire une mise au point après les déclarations de Christian Estrosi, affirmant qu'elle a seulement assuré un rôle d'accompagnement de l'initiative niçoise. Et qu'il n'est plus nécessaire d'avoir son autorisation pour mettre en place des dispositifs biométriques depuis l'instauration du règlement général sur la protection des données, le fameux RGPD, au niveau européen.
#Nice06 #ReconnaissanceFaciale
— CNIL (@CNIL) 19 février 2019
Depuis l'entrée en application du #RGPD, les dispositifs biométriques ne sont plus soumis à autorisation préalable de la @CNIL. Rappel des faits dans ce #Thread https://t.co/2BJCwHDlLe
Le RGPD, mis en place en mai 2018, régit en effet la réglementation sur l'utilisation des données dans le cadre des dispositifs de reconnaissance faciale. Gérard Haas, avocat spécialisé en nouvelles technologies, y voit "une grande avancée" : "Grâce à ce règlement, les données biométriques [telles que les données liées à la reconnaissance faciale] sont entrées dans la catégorie 'données sensibles'." Or l'article 9 du RGPD interdit la collecte et le traitement de ce type de données, sauf si les personnes concernées y ont consenti. C'est le cas dans les aéroports équipés de ces dispositifs : la machine vérifie simplement que votre visage correspond aux données contenues dans votre passeport (et non pas dans un serveur à distance), document biométrique édité avec votre accord. Dans le cas du carnaval de Nice, 1 000 personnes se sont portées volontaires pour être repérées, le RGPD a donc été respecté.
Un vide juridique qu'il faudra combler
Mais l'objectif des caméras niçoises était officiellement permettre de "retrouver les enfants perdus", et non pas de sécuriser la manifestation. Car tout change à partir du moment où on a recours au traitement des données liées à un dispositif de reconnaissance faciale dans un but sécuritaire, à l'image de ce que pratique l'Etat chinois. Sur Twitter, la C a ainsi souligné que si les dispositifs utilisés "à des fins de sécurité" dépassaient l'étape du simple test pour devenir permanents, ce ne serait plus le RGDP mais la directive police/justice qui devrait être appliquée.
L'article 10 de ce texte européen précise que "le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique (...) est autorisé uniquement en cas de nécessité absolue". Cette fois, le consentement de la personne ne suffit plus, il faut prouver qu'il y a "une nécessité absolue" à traiter ces données pour "protéger les intérêts vitaux" d'un individu.
Or en la matière, contrairement à ce qui existe pour les caméras de vidéosurveillance, la loi française ne prévoit pour l'heure aucune mesure d'application concrète sur la reconnaissance faciale. Dès lors, "si l'on veut mettre en place de manière permanente ce genre de dispositif, il faut un décret du Conseil d'Etat ou une nouvelle loi", expose Zoé Vilain, avocate spécialiste des nouvelles technologies et de la protection des données personnelles. Dans son message sur Twitter, la Cnil a ainsi pointé du doigt ce vide juridique.
9⃣Enfin, la @CNIL a déjà publiquement indiqué en 2018 que le cadre juridique actuel, précis sur certaines technologies (caméras, caméras-piétons,...) et certaines finalités (visionnage simple d'images), ne comporte pas de règles adaptées aux dispositifs de reconnaissance faciale
— CNIL (@CNIL) 19 février 2019
Un angle mort déjà exposé par le député LREM Didier Baichère, dans une question officiellement adressée le 9 octobre 2018, à Mounir Mahjoubi, secrétaire d'Etat chargé du Numérique. Le parlementaire souhaitait "savoir si [le gouvernement] envisage prochainement de réfléchir à comment prévenir l'utilisation de ces technologies à des fins malhonnêtes".
Sa question était restée sans réponse. "En tant que parlementaire, je suis gêné que des expérimentations démarrent, regrette le député interrogé par franceinfo. Il faudrait d'abord commencer par saisir des instances comme l'office parlementaire d'évaluation des choix scientifiques et technologiques." Martin Drago, membre de la Quadrature du net interrogé par franceinfo, considère ces expérimentations comme "un nouvel exemple de la banalisation des technologies de surveillance en France. La reconnaissance faciale est une technologie particulièrement intrusive pour notre vie privée et devrait être, au minimum, comme le recommande l'article 8 de la CEDH, basée sur une loi adaptée, claire, intelligible avec les garde-fous nécessaires", préconise-t-il.
Les expériences conduites à Nice et à Marseille feront l'objet de rapport qui pourraient guider une future réglementation. Contacté, Mounir Mahjoubi n'a pas répondu aux sollicitations de franceinfo. Mais si les expérimentations en cours se transforment bientôt en installations pérennes, le gouvernement devrait rapidement avoir à fournir des réponses.
Commentaires
Connectez-vous à votre compte franceinfo pour participer à la conversation.