Une cartographie de l'utilisation de la reconnaissance faciale dans les espaces publics en Europe – Next INpact

La Chaire sur les implications juridiques et réglementaires de l’intelligence artificielle, au sein de l’Institut multidisciplinaire en intelligence artificielle (MIAI) à l’Université Grenoble Alpes, vient de publier les premiers rapports du projet de recherche relatif à « La cartographie de l’utilisation de la reconnaissance faciale dans les espaces publics en Europe » (MAPFRE en anglais). Décortiquons le projet et son premier rapport publié. 
L’étude indépendante vise principalement à rendre lisible le débat national et européen sur l’utilisation de la reconnaissance faciale (RF) dans les espaces publics notamment en apportant des éléments de clarification et d’explication.  
Le projet MAPFRE, fruit d’un travail monumental, est composé de six rapports destinés à détailler les tenants et aboutissants de cette technologie qui a déjà fait son entrée dans nos vies, sans qu’on puisse exprimer notre avis.  
Le premier rapport nommé « Une quête de clarté : décrypter le terme “fourre-tout »  que nous expliquons ici, permet avant tout de poser le contexte du débat sur l’utilisation de la reconnaissance faciale et met sous la projection des experts les notions essentielles souvent mal connues par le grand public.
Un deuxième rapport établit un tableau de la reconnaissance/analyse faciale afin de démontrer que cette technologie a des fonctionnalités différentes et donc des utilisations à des fins diverses et variées. Chaque utilisation et fonctionnalité met en cause différents intérêts. Par conséquent, elles nécessitent davantage d’explications et ne peuvent être considérées toutes de la même manière ni régies par le même régime juridique.
Le troisième rapport détaille l’utilisation de la reconnaissance faciale à des fins d’autorisation, autrement dit d’accès à un espace déterminé. Il formule plusieurs recommandations aux autorités nationales et européennes. Un sujet d’intérêt crucial puisque c’est surtout cet usage qui va potentiellement concerner le plus de monde.
Avec le quatrième rapport, à paraître, les chercheurs se plongent sur l’utilisation de la RF dans les enquêtes criminelles afin de faire le point sur les avantages et des risques sur la protection des données et les droits de l’homme. 
Pour sa part, le cinquième rapport se concentrera sur l’identification faciale à grande échelle, appelée « identification biométrique à distance en temps réel » dans la proposition de la Commission européenne sur la réglementation de l’intelligence artificielle. Ici encore, les enjeux sont majeurs puisque c’est fondamentalement cette utilisation qui risque de dériver vers ce qu’on qualifie de « surveillance de masse ». 
Enfin, le dernier rapport reviendra sur l’analyse faciale, bien que peu répandue en Europe, mais considérée comme susceptible de se développer par les chercheurs qui soumettent des recommandations générales fondées sur les résultats du projet de recherche. 
L’étude menée sous la direction du professeur de droit Théodore Christakis (@TC_IntLaw), part du constat qu’il y a une urgence à mener un débat national et européen.
Un débat sur l’utilisation de la reconnaissance faciale afin de garantir la sécurité juridique, par une législation solide, pour les entreprises d’innovation ainsi que pour protéger les droits et libertés des Européens.  Or, les éléments d’un tel débat ne semblent pas être au rendez-vous déjà en raison d’un manque de clarté sur les termes utilisés et la technologie elle-même. 
Ainsi, « le débat sur ces questions fondamentales se déroule en l’absence d’une évaluation approfondie de la manière dont le droit européen existant est appliqué à ces questions. En outre, le débat sur ces questions en Europe se caractérise également par un haut niveau d’imprécision », relève le groupe d’experts, composés notamment de la professeur de droit Karine Bannelier, de Claude Castellucia, chercheur à l’INRIA et membre fondateur de Privatics, qui étudie depuis sa création en 2014 au respect de la vie privée dans le monde numérique) et de Daniel Métayer, issu lui aussi de Privatics.
L’équipe a décortiqué les avis de différents acteurs décisifs afin de dessiner un paysage politique des « pour » et « contre » l’utilisation de la RF. Difficile de catégoriser davantage, puisqu’il est possible de trouver des universitaires comme des acteurs politiques, entre autres, dans les deux camps. 
Néanmoins, on constate une certaine homogénéité dans les positions des autorités européennes de protection des données pour lesquelles une interdiction générale doit s’imposer à « toute utilisation de l’IA pour la reconnaissance automatisée de caractéristiques humaines dans des espaces accessibles au public – telles que les visages, mais aussi la démarche, les empreintes digitales, l’ADN, les frappes vocales et autres signaux biométriques ou comportementaux – dans n’importe quel contexte ».
Cette position est exprimée par exemple dans l’avis conjoint du 18 juin du Comité européen de la protection des données (EDPB en anglais) et du Contrôleur européen de la protection des données (EDPS en anglais) concernant la proposition de la Commission européenne sur la régulation de l’Intelligence artificielle (IA). 
Bien que les termes « interdiction générale » et « n’importe quel contexte », soient employés, le rapport relève que les autorités de protection des données visaient principalement « l’identification biométrique à distance en temps réel dans les espaces accessibles au public aux fins de l’application de la loi ». Difficile de savoir en conséquence si l’EDPB comme l’EDPS souhaitent vraiment une telle interdiction générale dans l’espace public et dans n’importe quel contexte.
En France, les avis de la CNIL ont parfois du mal à convaincre les responsables politiques désireux de déployer une telle technologie. C’est notamment le cas de Christian Estrosi, le maire de Nice, président délégué de la Région PACA pour qui « la CNIL est bloquée au 20e siècle » .  
Le rapport revient sur cette affaire qui avait concerné l’invalidation de la mise en place de la reconnaissance faciale dans deux lycées en PACA.
Au niveau des institutions européennes, où un règlement sur l’IA est en cours d’élaboration, le rapport relève que certains États membres, dont la France, estiment que « l’utilisation de systèmes d’identification biométrique à distance dans les espaces publics pourrait être justifiée pour des raisons importantes de sécurité publique, sous des conditions et des garanties juridiques strictes » (page 14). 
En revanche, au Parlement européen où plusieurs commissions sont en train de travailler sur le sujet, c’est toujours l’incertitude et la divergence qui dominent. Dans ce sens le rapport mentionne des avis contradictoires des rapporteurs chargés du dossier législatif. 
Le rapport détaille la problématique liée à certaines notions telles que « reconnaissance faciale », « données biométriques », « données basées sur la biométrie ».  En effet,  les définitions actuelles « ne sont pas satisfaisantes », et l’introduction des nouveaux termes et des nouvelles catégories pourrait « accentuer la confusion terminologique ».
En particulier, Les auteurs attirent l’attention sur l’absence de définition de « la reconnaissance faciale » dans le droit européen, que ce soit dans le RGPD, ou la directive Police-Justice. La proposition législative sur IA ne se concentre pour sa part que sur l’« identification biométrique à distance ». Or, ce terme est jugé à la fois « plus étroit » et « plus large » que celui de RF, selon les auteurs. 
En outre, « les seules définitions que l’on puisse trouver proviennent d’autorités de protection des données, comme la CNIL française, qui associent étroitement le concept de reconnaissance faciale au concept de données biométriques ».
La CNIL, dans son avis du 15 novembre 2019 explique que « la reconnaissance faciale appartient à la catégorie plus large des techniques biométriques ».
Pour l’autorité, « la biométrie regroupe l’ensemble des procédés automatisés permettant de reconnaître un individu à partir de la quantification de ses caractéristiques physiques, physiologiques ou comportementales (empreintes digitales, réseau veineux, iris, etc.). Ces caractéristiques sont qualifiées de “données biométriques” par le RGPD, parce qu’elles permettent ou confirment l’identification unique de cette personne ».  
Afin d’approfondir l’analyse, l’équipe d’experts s’est livrée à la quête d’une définition de l’expression « données biométriques » puisqu’elle est « étroitement liée à la définition de la RF ». 
Ces « données biométriques » sont définies « exactement » de la même manière dans les différents textes européens de protection des données. Ainsi, les données biométriques sont « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (article 4 du RGPD).
Pour le rapport, les choses se compliquent puisqu’une photo de visage est une donnée biométrique uniquement si elle fait l’objet d’un traitement technique spécifique et permet alors d’identifier ou de confirmer une personne physique. Or, le droit européen ne définit pas ces critères cumulatifs de la définition de données biométriques.
Néanmoins, le rapport s’inspire de l’interprétation des autorités de protection des données telle que la CNIL pour estimer que « le traitement technique spécifique en question implique la création de gabarits biométriques qui pourraient être utilisés pour le visage afin d’identifier une personne » (page 18).
Pour autant, trois raisons rendent la définition de données biométriques « problématique » et « confuse ». Tout d’abord, les auteurs s’interrogent sur les termes « telles que les images faciales » à la fin de la définition de données biométriques. Si toute image faciale n’est pas nécessairement une donnée biométrique, le raisonnement suivi dans la définition semble « difficile à comprendre ». 
De plus, il est jugé « bizarre » de ne pas considérer la photo brute d’un visage comme une donnée biométrique alors qu’elle contient beaucoup plus d’informations que le modèle biométrique qui en dérive. L’impact d’une telle qualification serait ainsi d’assurer au traitement d’une photo le bénéfice de la protection réservée aux données biométriques. 
Enfin, nouvelle incompréhension et confusion découlant de cette définition, le traitement des données qualifiées de biométriques ne bénéficierait du régime spécifique de protection prévu aux articles 9 du RGPD et 10 de la directive Police-Justice, que s’il est utilisé aux « fins d’identifier de manière unique une personne physique », explique l’équipe des experts. 
Autrement dit, les données biométriques qui ne feraient pas l’objet d’un tel traitement seraient tout simplement soumises au régime de protection des données à caractère personnel. Dans ce cas, c’est la pertinence de la qualification des données biométriques qui semble mise en cause. 
D’ailleurs, il est noté que le critère de « traitement technique spécifique » est le fruit d’un compromis voulu par les États membres du Conseil pour exclure les bases de données des fichiers policiers du régime spécifique de l’article 9 du RGPD et l’article 10 de la directive Police-Justice.
En France, dans l’affaire Datakalab, la CNIL avait conclu que le système de détection des masques ne traite pas des données biométriques, mais des données personnelles. Le traitement est donc assujetti à l’article 6 du RGPD, et non l’article 9 traitant des données biométriques : selon le garant de la protection des données, « les systèmes d'”analyse faciale” qui permettent le traitement des visages (par exemple à des fins statistiques), mais n’impliquent pas de traitement biométrique ni de comparaison des visages, ne doivent pas être considérés comme des systèmes qui traitent des “données biométriques” ou effectuent une “reconnaissance faciale” » (page 20).
En outre, le rapport indique que lors des « discussions menées au sein de la présidence française du Conseil européen sur la proposition de règlement sur l’IA, des amendements ont été proposés afin de modifier la définition traditionnelle des données biométriques dans la législation européenne sur la protection des données ». 
Toujours selon le rapport, la France a proposé de supprimer le critère de l’identification unique dans la définition de données biométriques (page 23). En revanche, poursuit-il, le Parlement européen tente d’introduire une nouvelle catégorie relative aux « données basées sur la biométrie ».  
« Les données fondées sur la biométrie sont des données supplémentaires résultant d’un traitement technique spécifique relatif à des signaux physiques, physiologiques ou comportementaux d’une personne physique » définit le projet de rapport de la Commission du marché intérieur et de la protection des consommateurs (IMCO) et de la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) portant sur la législation de l’intelligence artificielle. 
« Si l’on compare la définition traditionnelle des “données biométriques” avec la définition des “données basées sur la biométrie”, cette dernière choisit le mot “signaux” au lieu de “caractéristiques” lorsqu’il s’agit d’une personne physique, et le fait suivre d’exemples de signaux (tels que les expressions faciales, les mouvements, la voix, etc.) Mais surtout, le critère d'”identification” a été supprimé de la définition.
Bien que les intentions soient compréhensibles, la création d’une nouvelle catégorie si similaire à la catégorie initiale pourrait créer davantage de confusion dans ce domaine. Els Kindt avait noté que, si on lit attentivement le RGPD et les autres instruments européens de protection des données existants, on peut arriver à la conclusion qu’il existe déjà quatre catégories et régimes juridiques différents pour les données qui concernent les caractéristiques physiques/biométriques. 
L’ajout d’une cinquième catégorie nous rapprocherait-il de la clarté ? Il faut également s’attendre à ce que cet ajout soulève à l’avenir des questions sur les limites exactes entre “données biométriques” et “données basées sur la biométrie”, sur la base des appels de la société civile à appliquer le même type de protections (y compris, par exemple, celles appliquées par le RGPD aux “données biométriques”) aux deux catégories. 
À long terme, cela pourrait conduire à une reconsidération de la pertinence de la définition des “données biométriques” dans le RGPD, et à son remplacement par la notion plus large et plus protectrice de “données basées sur la biométrie” » 
Suite à cette analyse des problématiques posées par les différentes définitions et les tentatives de modification du terme donnée biométrique, ou d’introduction d’une nouvelle catégorie, le rapport décrit la portée de l’étude cartographiant l’utilisation de la reconnaissance faciale.
Elle « couvre toutes les utilisations de systèmes de traitement du visage dans les espaces publics en Europe, que les données concernées soient des “données biométriques” ou, pour utiliser le nouveau terme, des “données basées sur la biométrie” ».
Par contre, elle « ne concerne pas les situations où il n’y a ni “reconnaissance du visage” ni “analyse du visage”, comme la vidéosurveillance générale ou le traitement de “données biométriques” autres que le traitement du visage (comme la reconnaissance de la voix, de la démarche ou du comportement non facial) ». Cette étendue matérielle de l’étude est l’objet du rapport n°2. 
Les auteurs détaillent ce qu’ils entendent par « espaces publics ». La longue définition donnée par la proposition de la Commission européenne sur l’IA (point 9) est le point de départ. Le rapport distingue pour sa part trois types d’espaces publics :
Les auteurs ont par ailleurs pris en compte plusieurs cas d’utilisations de la RF au Royaume-Uni. Un élargissement qui « permet de disposer d’un éventail beaucoup plus large de cas d’utilisations et de faire des comparaisons utiles en ce qui concerne un certain nombre de questions, notamment l’attitude apparemment “souple” de l’autorité britannique chargée de la protection des données, l’Information Commissioner’s Office (ICO), en ce qui concerne l’utilisation de la reconnaissance faciale, par rapport à l’approche de ses homologues de l’UE ». 
En plus du tableau de classification des utilisations de la RF, les chercheurs ont analysé en détail 25 de ces cas. L’analyse de chaque cas se fonde sur un modèle annexé au premier rapport. Il se concentre sur trois points, à savoir les détails techniques, les questions liées au cadre juridique et enfin l’existence ou non des garanties supplémentaires fournis par le responsable de traitement, « en se concentrant sur des questions telles que la responsabilité et la transparence, la réalisation d’une analyse d’impact sur la protection des données », etc.
Enfin, ce premier rapport expose les différents critères pris en compte dans la sélection des 25 cas étudiés tels que « la disponibilité des informations » ou « l’existence de décisions de justice, de rapports d’évaluation et d’autres documents intéressants ». Il faudra néanmoins attendre la publication du sixième rapport pour découvrir cette analyse détaillée. 
Il a été produit grâce au soutien de nos abonnés, l’abonnement finance le travail de notre équipe de journalistes
2000 – 2022 INpact MediaGroup – SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.
Marque déposée. Tous droits réservés. Mentions légales et contact
Vous n’avez pas encore de notification
Vous n’êtes pas encore INpactien ?
ABONNÉS
7929

source

A propos de l'auteur

Avatar of Backlink pro
Backlink pro

Ajouter un commentaire

Backlink pro

Avatar of Backlink pro

Prenez contact avec nous

Les backlinks sont des liens d'autres sites web vers votre site web. Ils aident les internautes à trouver votre site et leur permettent de trouver plus facilement les informations qu'ils recherchent. Plus votre site Web possède de liens retour, plus les internautes sont susceptibles de le visiter.

Contact

Map for 12 rue lakanal 75015 PARIS FRANCE