Reconnaissance faciale : enjeux et approches de solution proposées dans l'UE
La reconnaissance faciale est le processus qui consiste à identifier ou à vérifier l'identité d'une personne en utilisant son visage. Elle permet de saisir, d'analyser et de comparer des modèles basés sur les détails du visage de la personne. Elle se déroule en trois étapes. Le processus de détection du visage, qui est une étape essentielle, car il permet de détecter et de localiser les visages humains dans les images et les vidéos. Le processus de capture du visage transforme les informations analogiques (un visage) en un ensemble d'informations numériques (données) basées sur les caractéristiques faciales de la personne.
Enfin, le processus de correspondance des visages vérifie si deux visages appartiennent à la même personne. Cela dit, même si ses multiples possibilités d'utilisation à des fins de sécurité en font un sujet d'intérêt majeur, cette technologie est décriée en raison des enjeux sociologiques et juridiques qu'elle soulève. Pour cela, et afin d'éviter toute forme de discrimination, le Conseil de l'Europe demande une réglementation stricte des technologies de reconnaissance faciale, ainsi que l'interdiction de certaines applications, afin de prévenir les risques pour la vie privée et la protection des données.
Le Conseil a publié un ensemble de lignes directrices à l'intention des gouvernements, des développeurs, des entreprises, etc. « Au mieux, la reconnaissance faciale peut être pratique et nous aider à surmonter les obstacles de notre vie quotidienne. Dans le pire des cas, elle menace nos droits humains essentiels, dont le respect de la vie privée, l'égalité de traitement et la non-discrimination, en donnant aux autorités publiques et autres le pouvoir de surveiller et de contrôler des aspects importants de notre vie, souvent à notre insu ou sans notre consentement », a déclaré Marija Pejčinović Burić, secrétaire générale du Conseil de l'Europe.
« Mais cela peut être arrêté. Ces lignes directrices garantissent la protection de la dignité personnelle, des droits de l'homme et des libertés fondamentales des personnes, y compris la sécurité de leurs données personnelles », a-t-il ajouté. Par ailleurs, cette interdiction devrait également être appliquée aux technologies de "reconnaissance d'affects", qui peuvent identifier les émotions et être utilisées pour détecter les traits de personnalité, les sentiments intérieurs, l'état de santé mentale ou le niveau d'engagement des travailleurs.
En fait, le Conseil estime que la reconnaissance faciale présente des risques importants dans des domaines tels que l'emploi, l'accès à l'assurance et l'éducation. Les lignes directrices ont été élaborées par le Comité consultatif de la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Voici un aperçu de ce dont il s'agit.
Législateurs et décideurs : interdiction stricte de certains usages par la loi
Les plans élaborés par un comité d'experts composé de représentants des États membres du Conseil sont non contraignants, mais constituent également les propositions les plus complètes en Europe pour une législation sur la reconnaissance faciale. Le Conseil de l'Europe est le gardien des droits de l'homme dans la région et comprend tous les pays, à l'exception de la Biélorussie, ainsi que le Royaume-Uni, la Russie et la Turquie. « Il y a quarante ans, le Conseil de l'Europe a introduit les premières normes juridiques internationales contraignantes pour la protection des données », a déclaré Marija Pejčinović Burić.
« Aujourd'hui, nous sommes chargés de veiller à ce que la technologie de reconnaissance faciale respecte également les droits auxquels nous avons tous droit en vertu de la loi », a-t-il ajouté. Selon le Comité, le niveau d'intrusion de la reconnaissance faciale et l'atteinte aux droits à la vie privée et à la protection des données qui en découle varieront en fonction de la situation particulière de leur utilisation et il y aura des cas où la législation nationale la limitera strictement, voire l'interdira complètement.
Ainsi, il déclare que l'utilisation de la reconnaissance faciale dans le seul but de déterminer la couleur de la peau, les croyances religieuses ou autres, le sexe, l'origine raciale ou ethnique, l'âge, l'état de santé ou la condition sociale d'une personne devrait être interdite. Elle devrait être utilisée si et seulement si des garanties appropriées sont prévues par la loi pour éviter tout risque de discrimination.
De même, la reconnaissance des affects peut également être effectuée à l'aide de technologies de reconnaissance faciale pour détecter, sans doute, des traits de personnalité, des sentiments intérieurs, la santé mentale ou l'engagement des travailleurs à partir d'images de visages.
Utilisation des technologies de reconnaissance faciale dans le secteur public
Le Comité a souligné que le consentement ne devrait pas, en règle générale, être le fondement juridique utilisé pour la reconnaissance faciale effectuée par les autorités publiques, compte tenu du déséquilibre des pouvoirs entre les personnes concernées et les autorités publiques. Pour la même raison, il (le consentement, NDLR) ne devrait pas, en règle générale, être la base juridique utilisée pour la reconnaissance faciale effectuée par des entités privées autorisées à effectuer des tâches similaires à celles des autorités publiques.
La licéité de l'utilisation des technologies de reconnaissance faciale doit être fondée sur les finalités du traitement biométrique prévu par la loi et les garanties nécessaires complétant la Convention 108+. Les législateurs et les décideurs doivent fixer des règles spécifiques pour le traitement biométrique les technologies de reconnaissance faciale à des fins répressives. Ces lois garantiront que ces utilisations doivent être strictement nécessaires et proportionnées à ces fins et prescrivent les garanties nécessaires à fournir.
La Commission européenne élabore séparément de nouvelles règles visant à réglementer l'intelligence artificielle (IA), et une proposition de législation est attendue au cours du premier trimestre de cette année. À Bruxelles, les régulateurs s'inquiètent des éventuelles atteintes aux droits fondamentaux des citoyens, notamment l'atteinte à la vie privée, ainsi que la discrimination fondée sur le sexe ou l'idéologie politique. La législation vise à lutter contre l'opacité du fonctionnement des algorithmes, afin d'éviter les biais.
En fait, les fonctionnaires européens avaient initialement envisagé une interdiction générale de la reconnaissance faciale dans les espaces publics pendant cinq ans. Cependant, ils ont laissé aux États membres le soin d'imposer cette interdiction après la forte opposition des nations du bloc. Les propositions sont toujours en cours d'examen au Parlement européen, qui adoptera finalement les nouvelles lois. Certains membres du Parlement continuent à faire pression pour l'interdiction de la reconnaissance faciale dans l'Union.
Un amendement déposé par Emmanuel Maurel, du Parti socialiste français, et Manon Aubry, députée européenne française de gauche, a demandé à la Commission européenne d'envisager une interdiction totale de l'utilisation de cette technologie par les agents de la force publique. Il demandait également l'interdiction "de l'utilisation de la reconnaissance automatisée, dans les espaces publics, d'autres caractéristiques humaines telles que la démarche, les empreintes digitales, l'ADN, la voix et d'autres signaux biométriques et comportementaux".
Entreprises : la reconnaissance faciale ne doit pas servir à juger le personnel
D'après le Comité, l'utilisation des technologies de reconnaissance faciale par des entités privées, à l'exception des entités privées autorisées à accomplir des tâches similaires à celles des autorités publiques, requiert le consentement explicite, spécifique, libre et informé des personnes concernées dont les données biométriques sont traitées. Compte tenu de l'exigence d'un tel consentement des personnes concernées, l'utilisation des technologies de reconnaissance faciale ne peut avoir lieu que dans des environnements contrôlés à des fins de vérification ou d'authentification ou à des fins de catégorisation.
En fonction de la finalité, une attention particulière doit être accordée à la qualité du consentement explicite lorsqu'il constitue la base juridique du traitement. Le Comité a déclaré que, afin de garantir que le consentement soit donné librement, il convient de proposer aux personnes concernées des solutions alternatives à l'utilisation des technologies de reconnaissance faciale (par exemple, l'utilisation d'un mot de passe ou d'un badge d'identification) qui soient faciles à utiliser, car, si cela semblait trop long ou compliqué par rapport à la technologie de reconnaissance faciale, le choix ne serait pas authentique.
Si le consentement est donné pour une finalité spécifique, les données à caractère personnel ne doivent pas être traitées d'une manière incompatible avec cette finalité. De même, en cas de divulgation de données à un tiers, cette divulgation devrait également être soumise à un consentement spécifique. Les entités privées ne doivent pas déployer de technologies de reconnaissance faciale dans des environnements non contrôlés tels que les centres commerciaux, en particulier pour identifier des personnes d'intérêt, à des fins de marketing ou à des fins de sécurité privée.
En gros, selon les lignes directrices du Conseil de l'Europe, l'utilisation de la technologie pour embaucher et licencier des personnes en fonction de leur humeur et de leur personnalité devrait être interdite. Par ailleurs, le Comité ajoute également que lier la reconnaissance d'affects, par exemple, à l'embauche de personnel, à l'accès à l'assurance, à l'éducation peut présenter des risques très préoccupants, tant sur le plan individuel que sur le plan sociétal, et devrait être interdit.
Lignes directrices pour les développeurs, fabricants et fournisseurs de services
Le Comité explique que, comme d'autres instruments juridiques applicables, la Convention 108+ prévoit, dans son article 5, une obligation d'exactitude des données. Par conséquent, les concepteurs ou les fabricants de technologies de reconnaissance faciale, ainsi que les entités utilisant ces technologies, devront prendre des mesures pour garantir l'exactitude des données de reconnaissance faciale. En particulier, ils devront éviter les erreurs d'étiquetage, ce qui permettra de tester suffisamment leurs systèmes et d'identifier et d'éliminer les disparités de précision, et donc d'éviter les discriminations involontaires.
En outre, afin de garantir à la fois la qualité des données et l'efficacité des algorithmes, les algorithmes devront être développés à partir d'ensembles de données synthétiques basés sur des photos suffisamment diverses d'hommes et de femmes, de différentes couleurs de peau, de différentes morphologies, de tous âges et sous différents angles de caméra. Des procédures de sauvegarde doivent être prévues en cas de défaillance du système si les caractéristiques physiques ne correspondent pas aux normes techniques.
Toujours dans ces recommandations, le Comité ajoute qu'un système de reconnaissance faciale nécessite un renouvellement périodique des données (les photos des visages à reconnaître) afin de former et d'améliorer l'algorithme utilisé. Cela en raison du fait que chaque algorithme a un pourcentage de fiabilité de reconnaissance, tant lors de son développement que de son utilisation. Il semble donc important de dater et d'enregistrer ce pourcentage pour suivre son évolution. Si sa fiabilité se détériore, il sera nécessaire de renouveler les photos de formation et donc de demander des photos plus récentes.
« Cela permettra également de se prémunir des conséquences des changements de forme des visages (dus au vieillissement, aux accessoires de perçage ou autres, ou à d'autres modifications). Ces relevés de pourcentage de fiabilité pourraient être facilement mis à la disposition des particuliers ou des personnes intéressées clients ou entités utilisant les technologies de reconnaissance faciale sous la forme d'un tableau de bord pour, par exemple, faciliter leur choix d'acquisition et de déploiement d'une technologie spécifique », a écrit le Comité dans ses recommandations.
Source : Lignes directrices du Conseil de l'Europe sur l'utilisation de la reconnaissance faciale (PDF)
Et vous ?
Selon vous, la reconnaissance faciale doit-elle être autorisée ou interdite ?
Que pensez-vous des lignes directrices du Conseil de l'Europe sur l'utilisation de la reconnaissance faciale ?
Pensez-vous que les entités concernées respecteront ces lignes directrices liées à l'utilisation de la reconnaissance faciale ?
Voir aussi
L'Inde envisage un énorme programme de reconnaissance faciale comparable à celui de la Chine, opportunité lucrative pour les sociétés de surveillance ou cauchemar pour les défenseurs de la vie privée
Sécurité : le Conseil de l'UE s'apprête à adopter une résolution visant à forcer l'introduction de portes dérobées au sein des applications de messagerie chiffrées pour lutter contre la pédophilie
Les caméras de reconnaissance faciale : outils de sécurité ou d'espionnage de masse ? La Chine et d'autres pays adoptent de plus en plus ces outils
L'Europe est le terrain d'une guerre entre les entreprises technologiques qui veulent pister les utilisateurs en quarantaine et les défenseurs de la vie privée
Très critiquée, la loi « anti-Huawei » pour sécuriser la 5G est désormais une réalité, mais elle ne discrimine pas un équipementier en particulier