La reconnaissance faciale, bilan 2020 : entre risques et opportunités

Article co-écrit avec Delphine Zberro, directrice Cyber Risk.

Le 9 octobre 2020, la CNIL a publié un article sur les bonnes pratiques à respecter lors du déploiement de solutions de reconnaissance faciale dans les aéroports[i]. En effet, malgré l’épidémie de COVID-19 qui occupe toujours le devant de la scène, le sujet de la reconnaissance faciale connaît une actualité très chargée qui apporte des éléments de réflexion sur la mise en œuvre de cette technologie et son encadrement tant dans l’espace public que dans les entreprises.

Parmi les nouveaux projets de reconnaissance faciale mis en œuvre, certains sont liés à des utilisations habituelles par les forces de l’ordre[ii] et d’autres constituent une réponse à la situation pandémique. Par exemple, l’aéroport d’Atlanta a fait développer une solution permettant de contrôler les passagers en comparant leur image avec la base de données des passeports[iii]. Un projet similaire, intitulé Mona, a été lancé à l’aéroport de Lyon début octobre[iv]. Autre exemple : un projet destiné à l’usage du public français dénommé « Authentification en ligne certifiée sur mobile » (ALICEM) de l’Etat Français verra le jour, à la suite de sa validation par le conseil d’Etat le 4 novembre 2020.

Quels changements récents de l’actualité (en 2020) et quelles bonnes pratiques sont donc à considérer, en particulier pour les Délégués à la Protection des Données ?

Développement de la reconnaissance faciale dans le monde

Il est à noter que les dernières initiatives législatives en la matière marquent une volonté d’encadrement plus forte de la part des autorités à l’international. Aux Etats-Unis, la Californie a voté une loi[v] encadrant le recours à la reconnaissance faciale et imposant un moratoire de trois ans pour son usage par les forces de police. Deux projets de loi ont également été déposés devant le Sénat américain afin d’en restreindre l’usage par les organismes fédéraux[vi].

Les tribunaux sont également saisis de cette question. La cour d’appel de Londres a considéré le 8 août 2020 que le système de vidéosurveillance mis en place par la police de Cardiff violait les droits de l’Homme et devait être plus encadré[vii]. En France, l’association la Quadrature du Net a déposé au début du mois d’août 2020, un recours devant le Conseil d’Etat mettant en cause le fichier Traitement des Antécédents Judiciaires (Deloitte Société d’Avocats) qui comprend entre autres 8 millions de photos dont celles de personnes innocentées[viii]. Ce fichier permet le recours massif à la reconnaissance faciale dans l’espace public.

Du côté des entreprises, les usages de la reconnaissance faciale se diversifient et visent à devenir un véritable accélérateur de performance. On retrouve par exemple la possibilité de détecter les émotions d’un candidat lors d’un entretien de recrutement, ou encore la possibilité pour un chatbot d’ajuster ses réponses en fonction du contexte émotionnel de la personne, permettant aux entreprises de mieux connaître leurs clients et prospects et de leur proposer des services adaptés au meilleur moment. On retrouve également l’utilisation de la reconnaissance faciale dans le secteur de la restauration rapide avec la mise en place de kiosques de commande en libre-service qui permettent de payer sa commande avec un simple clin d‘œil. Enfin, la reconnaissance faciale émerge même dans le secteur des jouets connectés, qui utilise la mémorisation des captures faciales pour proposer des interactions personnalisées en temps réel selon le comportement de l’utilisateur.

Rappel des attentes des différentes parties prenantes pour des initiatives incluant de la reconnaissance faciale

Les différents acteurs généralement impliqués sur la mise en œuvre d’une telle technologie, expriment des attentes différentes :

• Les individus et les associations ont toujours autant d’exigences élevées en ce qui concerne les bénéfices de cette nouvelle technologie, le respect des finalités annoncées, les durées de conservation des données à caractère personnel, ou encore sur la fiabilité de l’algorithme et son niveau d’intervention humaine.
• Les entreprises et les organismes s’interrogent quant à eux davantage sur les bénéfices de ces usages et les services à valeur ajoutée à proposer aux utilisateurs mais aussi sur l’existence de règlementations susceptibles de limiter les solutions voire d’interdire le produit.
• Enfin, les autorités partagent depuis de nombreuses années des craintes sur la montée en puissance de cette technologie qui n’est toujours pas suffisamment encadrée juridiquement, et in fine, sur les usages disproportionnés et les possibles dérives que peut générer la reconnaissance faciale.

Quelques limites majeures de la technologie

Il convient de rappeler que la technologie de reconnaissance faciale présente un risque très élevé eu égard au respect des droits et libertés et ce, en raison de la multiplicité des usages qui peuvent être faits des données capturées – authentification auprès de certains services, identification de caractéristiques d’un individu ou dans un contexte de foules… Les bases utilisées (« gabarits ») reposant sur des modèles en 2D ou 3D des visages résultant du choix et de la rigueur de l’apprentissage, sont l’une des faiblesses soulignées, car elles peuvent favoriser la présence de biais, en particulier raciaux, dans la solution.

Nous constatons cependant une évolution récente des positionnements des éditeurs qui proposent ces solutions, en particulier à la suite des émeutes américaines de l’été 2020 et à l’usage qui en est fait par les forces de l’ordre. Par exemple, si une entreprise comme Clearview AI propose toujours un service utilisé par plus de 2000 services de police aux Etats Unis[ix] , a contrario, Amazon et Microsoft ont renoncé officiellement et temporairement à fournir leurs services aux polices américaines[x].

Notre top 7 en matière de recommandations à l’usage des DPOs, en cas de mise en œuvre d’une solution de reconnaissance faciale en entreprise

1. Tout d’abord, il convient de s’assurer que le traitement de données qui sera soumis à l’avis du DPO entre bien dans le champ de la « reconnaissance faciale » – le point de départ étant la finalité du traitement.
2. Il convient de prendre en compte les principaux points d’attention de conformité (minimisation des données collectées, information des personnes concernées, fondement juridique, mesures de sécurité techniques et organisationnelles adaptées au risque, etc.) pour éviter tous détournements de finalité ou d’usage de la plateforme de reconnaissance faciale.
3. Il sera nécessaire de prêter une attention particulière aux droits des personnes concernées par le projet de reconnaissance faciale. La fourniture des informations demandées par le RGPD sera déterminante dans la bonne acceptation de la solution. Le choix de recourir au consentement comme fondement légal du traitement de préférence aux autre possibilités, sous réserve d’une conformité aux exigences du RGPD, contribuera à renforcer la confiance dans la solution et donc dans son acceptation.
4. Eu égard au périmètre possible d’application du traitement, il est nécessaire de vérifier s’il existe des exigences règlementaires locales En effet, il s’agit d’un sujet en pleine évolution, et dont la règlementation est en cours de création.
5. Il faut impérativement encadrer et justifier strictement l’intérêt d’un traitement de reconnaissance faciale puisque le risque d’erreur ou de dérive(s) est jugé encore très élevé. En ce sens, la conduite d’une Analyse d’Impact relative à la Protection des Données (AIPD), associée à une analyse des risques de sécurité et à la consultation des individus, apparaissent incontournables.
6. Nous notons l’émergence de certaines techniques visant à tromper ces systèmes de reconnaissance. C’est le cas par exemple de Fawkes qui est un logiciel visant à fausser les outils de reconnaissance faciale en modifiant les photos afin de ne plus pouvoir établir de lien avec la personne[xi]. D’autres pistes existent comme le port de masque 3D[xii] ou l’utilisation d’un maquillage graphique[xiii]. Or du fait du couplage de la reconnaissance faciale avec des solutions d’intelligence artificielle, il n’est pas certain que des parades efficaces puissent être trouvées sans contrôle en amont de la phase d’apprentissage et la mise en place de différents contrôles techniques et humains comme l’illustre les exemples précédents. Donc, au-delà des points de contrôle de conformité « classiques », cette technologie emporte un véritable enjeu d’évaluation technique et de mise en œuvre de lignes de défense (algorithme, traitement d’image, algèbre linéaire, architecture, programmation, sécurité, etc.).
7. L’ensemble des points d’attention évoqués seront évidemment à documenter de façon exhaustive dans le cadre de l’Accountability imposée par le RGPD. L’attention portée à ce point permettra de sécuriser la solution de reconnaissance faciale et lui permettre de répondre aux questions et contrôles des autorités. Pour s’aider sur ce sujet, il est possible de s’appuyer sur la résolution de la 42^ème session de la Global Privacy Assembly d’octobre 2020 qui liste un certain nombre d’action en matière d’Accountability dans le cadre d’algorithme d’intelligence artificielle[xiv].

Note :  cet article fait référence aux dernières actualités à fin novembre. Les derniers avertissements de la CNIL de février et communications des autorités notamment sur l’audit interne sur ce sujet feront l’objet d’une actualisation.