Réalité augmentée et reconnaissance faciale : un nouveau défi juridique ?

Couplée à un dispositif de reconnaissance faciale, la réalité augmentée pourrait engendrer des usages inédits et soulever certaines problématiques juridiques. Coup d’œil.


La réalité augmentée, ou le monde réel amélioré

« Réalité connectée », « réalité virtuelle » ou encore « réalité augmentée » : ces expressions font désormais partie intégrante des sujets d’actualité consacrés aux innovations de ces derniers mois. Pourtant, si ces termes accrocheurs semblent annoncer une nette amélioration de notre vie quotidienne, les technologies qu’ils désignent ne sont pas nécessairement comparables.

En effet, la réalité augmentée permet d'afficher en temps réel sur un smartphone, une tablette et bientôt des lunettes, des informations, images ou textes relatifs à l'environnement de l'utilisateur, à ses déplacements ou ses endroits favoris. Une technologie à ne pas confondre avec la réalité virtuelle, qui offre aux utilisateurs une immersion complète dans un monde virtuel, leur permettant d’interagir grâce à un système de capture de leurs mouvements. La réalité connectée pourrait quant à elle être comprise comme un terme plus général relatif à l’amélioration du quotidien grâce aux objets connectés.

Sur le plan technique, la réalité augmentée est capable d’afficher des informations sur notre vision lorsque le monde réel est filmé par l’utilisateur, grâce à des marqueurs préalablement enregistrés qui déclenchent l'affichage des éléments visuels. Couplée à un dispositif de reconnaissance faciale, une telle technologie pourrait ainsi fournir immédiatement des informations sur les individus : les smartphones et lunettes connectés qui accueillent la réalité augmentée sont en effet capables de filmer ou photographier discrètement les personnes croisées par leur utilisateur et de coupler ces images à leurs données personnelles via une connexion internet. Ces informations seraient alors superposées sur la personne concernée, affichant ainsi directement ses noms, ses coordonnées, sa religion ou encore ses préférences amoureuses.

L’encadrement juridique de la « reconnaissance faciale augmentée »

La reconnaissance faciale est une technique d’identification biométrique fondée sur un traitement automatique d’images numériques d’un individu et permettant de l’identifier à partir des caractéristiques de son visage. Au niveau européen, la directive 95/46/CE du 24 octobre 1995 est le socle juridique applicable aux traitements et à la protection des données personnelles. En France, selon l’article 25 de la loi n°78-17 du 6 janvier 1978, modifiée en 2004, et dite « Loi informatique et libertés », « sont mis en oeuvre après autorisation de la Commission nationale de l'informatique et des libertés les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». La reconnaissance faciale est donc strictement encadrée par cette disposition qui interdit une utilisation libre de cette technologie.

Le Groupe de travail « Article 29 », ou « G29 », qui réunit les CNIL européennes, a pour sa part émis un avis en date du 22 mars 2012 sur la reconnaissance faciale, rappelant qu'une image numérique contenant le visage clairement visible d'une personne qui peut ainsi être identifiée, est susceptible de constituer des données à caractère personnel. Le G29 a ainsi estimé que le consentement informé de la personne était requis avant le commencement du traitement des images numériques à des fins de reconnaissance faciale.

Suite au développement des techniques de reconnaissance faciale, la CNIL a rappelé en octobre 2012 l’obligation de formuler une demande d’autorisation pour réaliser des traitements utilisant un système de reconnaissance faciale dans le cadre de contrôles d’accès des salariés ou visiteurs sur le lieu de travail, d’accès à des ordinateurs portables professionnels, à des cantines scolaires, ou pour toute autre finalité. Notons également que lorsque l’Etat envisage de mettre en œuvre un système de reconnaissance faciale, l’article 27 de la Loi informatique et libertés subordonne l’autorisation du traitement à la publication d’un décret en Conseil d’État, pris après avis motivé et publié de la CNIL.

Or, pour autoriser un tel traitement des caractéristiques du visage, la CNIL doit au préalable analyser la finalité du traitement, la proportionnalité entre la finalité et les risques en matière de protection des données et de la vie privée, la sécurité et l’information des personnes concernées. Dans ces conditions, on s’interrogera légitimement sur les moyens offerts à une personne qui ne se sera pas rendue compte de l'affichage d'informations la concernant sur l'écran ou les lunettes connectées d'un passant…

Un droit à l’image malmené ?

Si ces verres intelligents sont susceptibles d’assister leur propriétaire dans son quotidien, ou encore aider des personnes malvoyantes, une utilisation détournée au moyen de systèmes de reconnaissance faciale pourrait générer un risque important de violation de nos droits. Dès lors que la reconnaissance faciale permet d’associer le nom d’une personne à son image, en analysant l’emplacement de ses traits, la forme et la distance de ses yeux et en les reliant à une base de données contenant son identité, le droit au respect de la vie privée comme le droit à l’image des personnes, protégés sur le fondement de l'article 9 du Code civil, pourraient subir d’inquiétantes atteintes.

En effet, des applications de reconnaissance faciale ou vocale utilisant la réalité augmentée ont déjà été créées. Depuis l’an dernier, l'application NameTag permet par exemple de « scanner » une personne croisée dans la rue et de retrouver l’ensemble de ses profils sur les réseaux sociaux. Aux États-Unis, le fichier américain des délinquants sexuels étant librement accessible sur internet, NameTag est même capable de reconnaître les personnes condamnées pour agression sexuelle.

Les autorités européennes de protection des données personnelles n’ont pas manqué de manifester leurs inquiétudes. En juin 2013, à l’époque du projet « Google Glass », les CNIL du G29, mais également du Canada, de la Nouvelle-Zélande et du Mexique ont sollicité du dirigeant de Google des explications sur le fonctionnement des Google Glass et sur leur conformité avec les lois de protection des données personnelles. En réponse, Google a édité un code de bonne conduite pour l'utilisation de ses lunettes, invitant notamment les utilisateurs à demander la permission de prendre des photos ou des vidéos et de respecter la vie privée des personnes. Autant dire que face aux possibilités incroyables annoncées par le duo réalité augmentée – reconnaissance faciale, il sera indispensable d’ouvrir l’œil, et le bon…

Crédits photo : 123rf

Juridique / Etats-Unis