Les lignes directrices de l'Europe relatives à la reconnaissance faciale : une prudence justifiée ?

Les nouvelles lignes directrices publiées par l'European Data Protection Board le 16 mai 2022 sur l'utilisation de la reconnaissance faciale réitèrent une position jugée mesurée dont la prudence semble aujourd'hui confirmée.

Le 16 mai 2022, l’European Data Protection Board  (EDPB) a adopté des lignes directrices portant sur l’utilisation des technologies de reconnaissance faciale par les autorités répressives et judiciaires (prévention, investigation, preuves, application des sanctions…). Le texte intégral peut être trouvé ici, et sera prochainement soumis à une consultation publique d'une durée de 6 semaines. Restez à l’écoute car ces consultations publiques analysent l’ensemble des contributions incluant les acteurs concernés mais ouvertes à tous.

Pour rappel, l'appellation française de cet organe européen indépendant, l’EDPD, dont les objectifs sont de garantir l’application cohérente du RGPD et de promouvoir la coopération entre les autorités de protection des données de l'Union européenne est le CEPD (le Comité européen de la protection des données).

La position de l’EDPB sur la question de la reconnaissance faciale est restée stable et cohérente depuis le début des débats qui ont inévitablement accompagné la multiplication des usages autour de cette technologie. L’EDPD préconise d’adopter une approche prudente de la diffusion de la reconnaissance faciale, en particulier dans des domaines aussi sensibles que ceux d’une utilisation par les autorités répressives et judiciaires.

Dans ce contexte, l’avis conjoint publié le 18 juin 2021 par l’EDPB et l’EDPS (European Data Protection Supervisor) portant sur  la proposition de règlement sur l'intelligence artificielle préconisait déjà l’interdiction de principe de l’utilisation des technologies de reconnaissance faciale dans certains domaines (nous verrons lesquels ci-dessous) et une volonté d’interdiction de principe ciblée que l’EDPB réitère dans les lignes directrices publiées ce 16 mai dernier. S’agissant des autres domaines qui ne seraient pas soumis à une telle interdiction de principe, l’EDPB introduit des exigences précises reposant néanmoins sur les législations existantes en matière de protection des données afin de prévenir toute dérive.

Une position prudente compréhensible compte tenu des implications sérieuses que la reconnaissance faciale peut avoir sur les droits fondamentaux des citoyens européens, qu’il s’agisse du droit à la protection de la vie privée, mais aussi plus largement à celui de la protection de la dignité humaine, de la liberté de pensée, de conscience et de religion.  Le récent scandale entourant les pratiques de la société Clearview AI, poursuivie dans de multiples juridiction et condamnée le 23 mai par l’autorité britannique de protection des données à une amende à une amende de 7,5 millions de livres sterling (8,85 millions d'euros)ainsi que l'obligation de supprimer les données personnelles des résidents britanniques en est une illustration. L'entreprise proposerait à ses clients, incluant des autorités policières et judiciaires, un service permettant de retrouver les images en ligne d'une personne après avoir renseigné une photo. "Non seulement l'entreprise permet l'identification" des gens dont elle a collecté la photo, "mais surveille leur comportement et le propose comme un service commercial", a dénoncé John Edwards, le Commissaire britannique de l'Information. On reprocherait à la société Clearview AI d'avoir en sa possession plus de 20 milliards d'images glanées aux quatre coins du globe / web sans avoir noué le moindre partenariat avec les éditeurs de sites ou services, apps (etc.) en question et donc sans avoir recueilli le consentement des personnes concernées. 

Les interdictions de principe

L’EDPB réitère dans ses lignes directrices l’appel à une interdiction totale de l’utilisation des technologies de reconnaissance faciale dans certains domaines où le risque de dérive est considéré comme trop important. L’EDPB en dénote quatre, qui sont les suivants :

  1. L’utilisation de la reconnaissance à des fins d’identification à distance des individus dans des espaces publics,
  2. L’utilisation de la reconnaissance faciale afin de déduire des données biométriques des individus leur ethnie, sexe, orientation politique ou sexuelle, ou toute autre information qui pourrait constituer un motif de discrimination,
  3. L’utilisation de la reconnaissance faciale permettant de déduire les émotions d’une personne physique,
  4. L’utilisation de la reconnaissance faciale dans un contexte répressif, s’appuyant sur une base de données alimentée par la collecte de données personnelles à grande échelle et de manière indiscriminée comme en collectant des photographies ou images faciales sur internet.

Dans ces différents cas de figure, l’EDPB considère ainsi qu’une identification par reconnaissance faciale aurait un potentiel de violation des droits fondamentaux des citoyens européens bien trop important pour qu’un intérêt contraire (privé comme public) ne puisse le justifier.

Les domaines encadrés

Dans d’autres cas de figure cependant, l’utilisation de la reconnaissance faciale peut être autorisée, à condition de respecter un certain nombre d’exigences et de garanties visant à l’encadrer de manière précise. Dans les lignes directrices publiées le 16 mai, l’EDPB se concentre sur les conditions d’utilisation de la reconnaissance faciale par les autorités répressives et judiciaires.

L’EDPB s’appuie dans sa démarche sur les nombreux outils réglementaires existants. Ainsi, l’organisme européen de protection des données souligne que l’utilisation de la reconnaissance faciale par les autorités étatiques doit respecter les différentes obligations provenant de la directive Law Enforcement, qui définit le cadre européen de protection des données dans leur traitement à des fins répressives et judiciaires.

Rappelons ici, pour éviter toute confusion, l’articulation entre la directive Law Enforcement (LED) et le RGPD. Ces deux textes font tout deux partie du corpus juridique européen de protection des données : ils ont cependant des champs d’application distincts et complémentaires. En effet, le RGPD s’applique uniquement aux traitements de données effectués dans le cadre d’activités qui relèvent du champ d'application du droit de l'Union européenne, ce qui n’est pas le cas des secteurs de la sécurité étatique ou de la défense nationale. C’est pourquoi le cadre de protection des données s’agissant de ces secteurs particuliers dépend d’une directive distincte, la LED. C’est également pourquoi une vaste majorité des principes de protection des données posés par la LED sont strictement identiques à ceux décrits par le RGPD, bien que quelques obligations spécifiquement liées aux enjeux de la sécurité étatique et de la défense nationale y aient été intégrés.

Quoi qu’il en soit, le respect de la LED dans l’utilisation de la reconnaissance faciale implique, selon l’EDPB, la mise en place des garanties suivantes :

  • Une base légale reposant sur une mesure législative suffisamment claire dans ses termes pour donner aux citoyens une indication adéquate des conditions et circonstances dans lesquelles les autorités sont habilitées à recourir à toute mesure de reconnaissance faciale.
  • La formulation de cette base légale doit être soumise à l’approbation de l’autorité de protection des données compétente.
  • Les mesures de reconnaissance faciale autorisées par la base légale doivent être strictement appropriées afin d’atteindre les objectifs affichés par le texte. Dans ce cadre, un simple objectif d’intérêt général n’est pas suffisant pour automatiquement justifier le recours à la reconnaissance faciale : les mesures doivent être ciblées et limitées à la lutte contre certaines formes graves de criminalité comme un acte  terroriste, et non générales ou indifférenciées.
  • Les critères de nécessité et de proportionnalité des mesures de reconnaissance faciale doivent être respectés ; typiquement, ceux-ci ne le seront probablement pas si les données sont traitées de manière systématique par les autorités répressives et judiciaires, et à l’insu des personnes concernées.
  • Le fait qu’un individu ait publié une photographie en la rendant ainsi manifestement publique n’implique pas le droit pour les autorités répressives et judiciaires d’utiliser les données biométriques associées dans le cadre de mesures de reconnaissance faciale.
  • Une attention particulière doit être portée aux droits des personnes concernées s’agissant de leurs données à caractère personnel traitées par un système de reconnaissance faciale. Les autorités doivent ainsi tout particulièrement veiller au respect du droit à l’information des personnes concernées, ainsi qu’au droit d’accès à leurs données, ou au droit de rectification dans le cas où des données inexactes seraient stockées dans une base de données.
  • Une étude d’impact relative à la protection des données doit systématiquement être conduite avant la mise en place de tout système de reconnaissance faciale.

En conclusion 

La position de l’EDPB peut sembler stricte dans ses lignes directrices, par la préconisation d’une interdiction totale pour certains secteurs, et un encadrement ferme pour les autres. Une telle prudence peut malgré tout sembler justifiée, au vu des implications majeures que pourrait avoir la diffusion incontrôlée d’une telle technologie dans les différentes sphères économiques, politiques et sociales de notre communauté européenne. Comme nous le remarquions déjà en 2020 dans notre dossier de fond consacré à la reconnaissance faciale, les opportunités offertes par cette technologie sont réelles, tout comme les risques qu’elle comporte par rapport au respect des droits fondamentaux des citoyens européens. C’est pourquoi une approche prudente semble toute indiquée afin d’exploiter le potentiel de la reconnaissance faciale, sans qu’elle ne nous entraîne vers des environnements sociaux dystopiques vers lesquels des pays moins scrupuleux comme la Chine semblent se diriger.

Petite conclusion plus  personnelle

Dans le cadre de notre engagement pour la promotion d’une innovation responsable, nous sommes opposés à ce que l’innovation soit freinée par une vision réglementaire utopiste.

Les retours sur la consultation publique ainsi que la pratique à commencer par l'implémentation des nouvelles obligations apporteront nécessairement quelques nuances à ces lignes directrices.