La reconnaissance faciale constitue une technique informatique qui a pour objectif de reconnaître automatiquement les personnes en se basant sur les traits de visage. Elle permet de vérifier l’identité de la personne et/ou de la retrouver au sein d’un groupe d’individus, dans une base de données ou encore dans une image. Au vu des avantages de rapidité et d’efficacité qu’elle représente, cette technique est de plus en plus utilisée, notamment par les applications mobiles, les sites en ligne et les aéroports. Elle n’est toutefois pas sans risques pour les individus et son utilisation doit se faire dans le respect de leurs droits et libertés.
Des risques à ne pas négliger
La reconnaissance faciale implique le traitement automatisé d’un grand nombre de données personnelles. La plupart des données concernées appartiennent aux données dites biométriques. Ces données sont définies à l’article 4 du RGPD et consistent en des données personnelles « résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ».
De telles données, permettant d’identifier une personne physique de manière unique, ont été considérées comme appartenant à une catégorie particulière de données personnelles, leur utilisation pouvant engendrer des risques élevés pour les droits et libertés des personnes. Elles bénéficient d’un régime particulier de protection, introduit à l’article 9 du RGPD. Leur traitement est en principe interdit et ne peut se faire que dans des cas bien déterminés.
Des règles à respecter
Le traitement des données biométriques dans le cadre de la technique de reconnaissance faciale ne peut se faire que si l’une des conditions de l’article 9 du RGPD est remplie. Il peut s’agir par exemple du cas où le consentement de la personne a été recueilli, lorsque les données ont été rendues publiques, ou encore dans le cas où le traitement en question est nécessaire pour des motifs d’intérêt public important.
Le traitement de ces données pouvant engendrer des risques importants pour les personnes, une protection renforcée doit être assurée et des mesures adéquates et suffisantes doivent être mises en place. Pour cela, l’ensemble des principes fondamentaux de l’article 5 du RGPD doivent être respectés et les actions permettant de démontrer cette conformité doivent être effectuées. Aussi, la sécurité des données doit être garantie et des mesures adaptées aux risques doivent empêcher tout accès non autorisé aux données.
L’organisme doit également vérifier si le traitement de données en question remplit les critères du CEPD exigeant la réalisation d’une analyse d’impact ou apparaît dans la liste des traitements pour lesquels la CNIL impose la réalisation d’un PIA. Dans tous les cas, une telle analyse reste recommandée au vu de la sensibilité des données traitées et du caractère innovant de cette technique.
Un autre point d’attention porte sur la conformité de l’outil même collectant et utilisant ces données. Celui-ci doit être élaboré dans le respect des principes de Privacy by Design et Privacy by Default. La protection de la vie privée doit être prise en compte dès la conception tout en mettant en place les mesures nécessaires permettant cette protection. Il est aussi nécessaire de veiller à ne pas exiger des actions supplémentaires pour assurer la protection des données et des paramètres adaptés doivent permettre par défaut ce résultat.
La CNIL a présenté un certain nombre de cas où le recours à la reconnaissance faciale peut être toléré. A titre d’exemple, lorsque le dispositif biométrique est intégré dans les smartphones des particuliers, elle distingue entre le cas où le gabarit est stocké dans l’appareil et le cas où le dispositif fonctionne depuis des serveurs distants. Elle considère que, dans le premier cas, le traitement étant effectué « à l’initiative et sous le seul contrôle » de la personne concernée, il échappe aux exigences de la règlementation. Elle précise que pour que cette exemption s’applique, le dispositif doit être utilisé à titre privé et que seule la personne concernée doit décider d’y recourir ou pas. Dans le deuxième cas, la CNIL considère qu’une analyse d’impact doit être effectuée au vu des risques élevés que le traitement est susceptible d’engendrer.
Une autre situation présentée par la CNIL est celle du recours aux dispositifs biométriques sur les lieux de travail. Les organismes souhaitant se doter de tels dispositifs à des fins de contrôle d’accès aux locaux, aux applications ou encore aux outils de travail, doivent se conformer aux exigences du règlement type de la CNIL du 28 mars 2019. Ce règlement impose entre autres à l’organisme de justifier le recours à ces techniques, de mettre en place des mesures techniques et organisationnelles spécifiques, de réaliser un PIA et surtout de documenter les choix effectués lors du recours aux dispositifs biométriques.
Des sanctions à éviter
Le non-respect de ces exigences peut entrainer le prononcé de sanctions lourdes pouvant atteindre 4% du chiffre d’affaires annuel. Ainsi, la CNIL a infligé une amende de 20 millions d’euros à la société Clearview AI pour avoir utilisé des données personnelles de manière illicite. La société avait aspiré des photographies provenant de nombreux sites et des images de vidéos accessibles sur des plateformes. Elle a pu ainsi constituer une base d’images de personnes sous la forme d’un moteur de recherche et a utilisé la technologie faciale pour permettre de trouver une personne grâce à sa photographie. Or, la plupart des personnes dont les données sont traitées n’ont pas été informées de ce dispositif. Des manquements ont ainsi été constatés par la CNIL en raison de la collecte et de l’utilisation de données biométriques sans base légale et sans prise en compte satisfaisante et effective des droits des personnes.
