Les services de la Cnil jugent l'expérimentation de la reconnaissance faciale sur l'espace public prématurée
Devant la commission des lois du Sénat, les services de la Cnil ont rappelé les réticences de l'autorité sur l’usage de la reconnaissance faciale dans l’espace public, objet d’une proposition de loi. Le périmètre de l'expérimentation souhaitée par les sénateurs est notamment jugé inapproprié.
"Je n’exprime ici que la position des services de la Cnil, le collège ne s'étant pas officiellement prononcé", a rappelé à titre liminaire le secrétaire général de la Cnil, Louis Dutheillet de Lamothe, devant la commission des lois du Sénat le 23 mai 2023. L'autorité indépendante y était auditionnée pour présenter son rapport annuel mais aussi pour donner sa position sur la proposition de loi relative à la reconnaissance biométrique dans l'espace public déposée par les sénateurs Marc-Philippe Daubresse et Arnaud de Belenet, dans la lignée de leur rapport (voir notre article du 12 mai 2022).
Le mérite d'un débat
Le secrétaire général de la Cnil s’est tout d'abord félicité des initiatives parlementaires – missions, rapports et propositions de lois – sur ce sujet : "Dès 2019, la Cnil a établi une position de principe sur la reconnaissance faciale et nous avons insisté sur la nécessité d'un débat public compte tenu de la spécificité de ces dispositifs : nous y sommes !" Le haut fonctionnaire a aussi rappelé que la commission n’avait pas d'hostilité de principe sur l'innovation technologique, soulignant qu'elle ne s’opposait pas, par exemple, à la reconnaissance biométrique utilisé par les ordinateurs et smartphones. Des services qui sont mis en place "avec l’accord de l’utilisateur et qui reposent sur un stockage des données biométriques en local", a insisté Louis Dutheillet de Lamothe.
Risque de discrimination et d'erreurs
La ligne rouge pour la commission est la constitution d'une base de données biométriques centralisée, qui ferait peser de lourds risques sur la protection des données et pourrait avoir des conséquences dramatiques sur les libertés si elle venait à être piratée. Autre grief à l'égard de la reconnaissance faciale dans l'espace public : les risques de discrimination et d'erreur. Le premier tient aux bases de données utilisées pour le calibrage des algorithmes : les femmes, les gens de couleurs, les personnes différentes… sont moins bien identifiées par les intelligences artificielles, faisant peser le risque de leur occasionner plus de contrôles, moins de libertés. Le second tient aux conséquences d'une identification de personne à tort par une intelligence artificielle. Une crainte hélas vérifiée, la Cnil citant l’exemple d’un individu identifié à tort en Grande-Bretagne comme étant le meurtrier Xavier Dupont de Ligonnès.
Un spectre trop large pour l'expérimentation
Si l'intention des sénateurs est justement d'expérimenter des dispositifs pour les améliorer, la Cnil estime en l'état que le texte est "trop large" et fait peser un risque sur les libertés publiques. Cette proposition de loi déposée le 5 avril 2023 propose trois aménagements :
- l'usage de technologies automatisées de reconnaissance faciale dans des bases de données d’images ;
- la mobilisation de ces algorithmes pour effectuer, a posteriori, des recherches d'individus dans des vidéos ,
- et, enfin, le plus problématique aux yeux de la Cnil, une expérimentation de la reconnaissance faciale sur l'espace public "en temps réel" à l’occasion de grands événements.
Premier grief de la commission, le champ d'application (notamment la recherche de personnes ayant commis des crimes passibles de peines de trois ans ou plus) qui pourrait conduire à rechercher des dizaines de milliers de personnes, induisant la constitution d’une gigantesque base de données. La Cnil invite les parlementaires à définir des cas d'usage plus précis et à justifier que l'usage de la reconnaissance faciale serait plus efficace que les modes d'investigations actuels.
Un cadre européen en projet
Second grief : le lancement d'une expérimentation alors même que celle de la vidéoprotection intelligente lors des jeux olympiques – qui doit à tester des algorithmes de reconnaissance d’objets ou de mouvements et qui exclut explicitement la reconnaissance faciale – n'a pas encore débutée. Enfin, dernier point, ce texte intervient alors même que l'Europe est en train d'élaborer (non sans difficultés) une réglementation sur l'IA, à la base de toute technologie de reconnaissance faciale. Or la dernière version du texte va dans le sens du renforcement des interdictions pesant sur l'usage de la biométrie (voir notre article du 12 mai 2023).
L'activité 2022 de la Cnil reste sous le signe du RGPD comme en témoignent les chiffres de son dernier rapport annuel. La Commission a ainsi reçu 126.000 appels téléphoniques, 1.500 demandes de conseils, son site ayant accueilli plus 11 millions de visiteurs en recherche de guides, conseils et Mooc (cours en ligne). L'un de ces derniers est du reste dédié aux collectivités territoriales. La Cnil se satisfait aussi d'avoir résolu 13.000 dossiers de plaintes, chiffre supérieur aux 12.000 plaintes reçues, confirmant que les services en ligne qu'elle a mis en place pour les gérer sont efficaces. Côté gendarme, la Commission a mené 345 contrôles dont près de la moitié sur place, a réalisé 147 mises en demeure et prononcé 21 sanctions dont 19 amendes pour un total de plus de 100 millions d’euros. On notera que parmi ses procédures, la Cnil a mis en demeure 22 communes de plus de 20.000 habitants pour ne pas avoir désigné de délégué à la protection des données (DPO). Et si 21 d'entre elles se sont mises en conformité depuis, une commune manque à l'appel. En conséquence, "la présidente de la Cnil a décidé de désigner un rapporteur et de saisir le président de la formation restreinte afin que soit prononcée une amende selon la procédure de sanction simplifiée" note le rapport. Ce sera une première pour une collectivité. |