La reconnaissance faciale : l'essentiel des lignes directrices
Dans un rapport datant du 28 janvier dernier, le Conseil de l’Europe a précisé ses grandes orientations concernant les technologies de reconnaissance faciale. Ces grandes lignes ont vocation à servir de guide de référence pour les législateurs du monde entier, mais également pour les développeurs et fabricants de technologies de reconnaissance faciale, ainsi que pour les entités utilisatrices de ces technologies.
Dans cet article, nous vous proposons un rapide tour de ces grandes orientations, en ce qu’elles touchent aux acteurs du secteur privé. Mais avant, il convient de s’arrêter sur un point d’achoppement potentiel pour certains de nos lecteurs les plus avisés : les recoupements entre la Convention 108+ et le cadre RGPD.
La Convention 108+
La publication du rapport du Conseil de l’Europe en date du 28 janvier 2021 s’inscrit dans le cadre de la modernisation de la Convention 108 (Convention pour la protection des personnes à l’égard du traitement des données à caractère personnel). Ouverte à la signature dès 1981, la convention est le fruit du travail du Conseil de l’Europe et porte le titre envié de tout premier instrument juridique contraignant dans le domaine de la protection des données.
La convention est de nouveau ouverte à la signature depuis octobre 2018 (d’où la décision de la rebaptiser Convention 108+) et fait actuellement l’objet de nombreux amendements ayant pour but exprès d’adapter cet instrument juridique aux nouvelles réalités d’un monde de plus en plus connecté - dont la reconnaissance faciale fait, indéniablement et au grand dam de certains, de plus en plus partie.
Quels liens avec le RGPD ?
Certaines des orientations prévues par le rapport du 28 janvier pourront peut-être sembler familières aux fins connaisseurs du cadre règlementaire RGPD – une familiarité qui n’est pas surprenante lorsque l’on sait que la Convention 108 a, par le passé, constitué le point de référence pour la directive 95/46/CE (l’ancêtre du RGPD). Il convient cependant de rappeler que le cadre RGPD a vocation à encadrer les traitements de données en général – et non la reconnaissance faciale spécifiquement. L’ordre juridique international et national se caractérisent d’ailleurs par une absence béante de législation spécifique à la reconnaissance faciale.
Ainsi, il n’est pas du tout certain que toutes les pratiques autorisées dans le cadre du RGDP, le soient également pour la reconnaissance faciale dans les années à venir.
À cet effet, on peut par exemple souligner l’autorisation qui est faite sous le RGPD des traitements portant sur des catégories particulières de données à caractère personnel, lorsque ces données sont manifestement rendues publiques par la personne concernée ; à l’inverse, la Convention 108+ s’oppose fermement à ce que les images numériques disponibles publiquement, telles que celles publiées sur les médias sociaux par exemple, puissent faire l’objet de traitements par des technologies de reconnaissance faciale.
Même si vous connaissez très bien le cadre RGPD donc, nous vous encourageons ainsi à lire les orientations prévues par la Convention 108+ ou, à défaut, le résumé que nous en avons fait ci-dessous : cela pourra être l’occasion d’y percevoir certaines des problématiques propres à la reconnaissance faciale, mais aussi de vous forger un aperçu de l’évolution future possible du droit dans ce secteur (puisque la Convention 108+ semble préfigurer la règlementation européenne en la matière).
Des orientations générales pour tous les acteurs du secteur privé.
Le rapport du 28 janvier prévoit tout d’abord des orientations générales pour tous les acteurs du secteur privé, quelle que soit leur rôle dans la chaîne de valeur de la reconnaissance faciale.
La première de ces orientations touche au consentement : l’article 5 de la Convention 108+ prévoit que les entités privées « autres que celles autorisées à accomplir des tâches similaires à celles des autorités publiques » et souhaitant faire l’utilisation des technologies de reconnaissance faciale, recueillent le consentement « explicite, spécifique, libre et éclairé des personnes concernées » par le traitement des données.
Les lecteurs qui sont au fait du cadre RGPD (et en particulier les « considérants que » n°42 et 43) n’en seront pas surpris : c’est la qualité du consentement recueilli qui fait foi ici. C’est-à-dire que le consentement ne sera considéré comme ayant été donné librement que si la personne concernée se voit offrir des solutions alternatives. Le cadre RGPD, lui, parle de « véritable liberté de choix ».
En l’occurrence, la Convention 108+ est plus précise et explique que l’alternative ne doit pas être trop « longue ou compliquée par rapport à la technologie de reconnaissance faciale » (une alternative effective pourrait être la possibilité laissée à la personne concernée d’utiliser un mot de passe par exemple).
La deuxième grande orientation est une conséquence nécessaire de la première : la Convention 108+ ne reconnait pas aux entités privées la possibilité de déployer des technologies de reconnaissance faciale dans « des environnements non contrôlés ».
Ces environnements non contrôlés sont les lieux de passage, publics ou quasi-publics, tels que les centres commerciaux, hôpitaux ou écoles, où il est par définition difficile recueillir le consentement explicite des personnes concernées. Le rapport précise que le fait de traverser un de ces environnement ne suffit pas à caractériser le consentement.
Quid des « développeurs » et fabricants de technologies de reconnaissance faciale ?
En plus de ces orientations générales à l’intention des tous les acteurs du privé, le rapport contient également des lignes directrices supplémentaires et spécifiques aux développeurs et fabricants de reconnaissance faciale.
L’article 5 de la Convention 108+ précise que les fabricants sont tout d’abord tenus de s’assurer que leurs algorithmes et les données sur lesquelles ces derniers se basent, soient du meilleur niveau de qualité possible. Le rapport cite par exemple l’exactitude des résultats générés par les algorithmes, et ce quel que soient les « différents angles de prise de vue » des systèmes de vidéosurveillance servant de support à ces technologies. Afin de garantir la qualité des données employées, le Conseil de l’Europe recommande que le machine learning repose sur des bases de données constituées de « photos d’hommes et de femmes suffisamment diverses, de couleurs de peau et de morphologies différentes, de tous âges et sous différents angles de prise de vue ».
Cette fiabilité des outils et des données utilisées apparaît effectivement comme capitale au vu des effets potentiellement importants que ces technologies de reconnaissance faciale peuvent avoir sur l’ordonnancement juridique.
Dans la continuité du point précédent, le rapport précise également qu’en conséquence des changements inévitables de forme des visages à travers le temps, il s’ensuit que la reconnaissance faciale se trouve particulièrement vulnérable à la détérioration progressive de ses niveaux de fiabilité. La Convention 108+ préconise ainsi que les fabricants et développeurs mettent à disposition des personnes intéressés ou ayant recours aux technologies des tableaux de bords avec relevés évolutifs de ces pourcentages de fiabilité dans le temps.
Les développeurs et fabricants sont également tenus de prendre des mesures raisonnables de sensibilisation de leurs clients cibles, par exemple en émettant des recommandations et conseils de signalisation claire et facile à comprendre pour les publics qui vont faire l’objet de la technologie de reconnaissance faciale.
Le rapport préconise enfin la mise en place de protocoles de privacy-by-design, à la fois lors de la conception et de l’architecture des produits de reconnaissance faciale, mais aussi au niveau des pratiques organisationnelles et internes aux fabricants et développeurs (avec une attention tout particulière portée aux principes de limitation de la finalité, de minimisation des données et de limitation de la durée des stockages). Au-delà du sujet précis de la reconnaissance faciale, le privacy-by-design fait d’ailleurs partie de ces bonnes pratiques désormais devenues incontournables dans les secteurs innovants de l’économie.
Quelles lignes directrices pour les entités utilisant les technologies de reconnaissance faciale ?
Le rapport du 28 janvier contient également des orientations à destination des entités utilisatrices des technologies de reconnaissance faciale – c’est-à-dire, en langage RGPD, des responsables de traitement et sous-traitants.
En plus d’être en mesure de démontrer que le recours à ces technologies est absolument nécessaire et proportionné dans le contexte spécifique de leur utilisation (un principe édicté à l’article 11 de la Convention 108+ et correspondant peu ou prou à l’article 9 du RGPD), les entités utilisatrices sont tenues par un certain nombre de principes, dont : la transparence et la loyauté (par exemple en informant clairement les individus concernés de la place accordée à la reconnaissance faciale dans le produit ou service proposé – notamment en précisant si la reconnaissance faciale est une simple caractéristique de ces derniers ou si elle forme partie intégrante des produits et services eux- mêmes) ; la limitation de la finalité ; la minimisation des données ; la limitation de la durée de stockage ; l’exactitudes des données ; et enfin la sécurité.
Ici également, la Convention souligne l’importance du privacy-by-design, ainsi que l’obligation toute particulière des entités utilisatrices de reconnaissance faciale de se conformer aux analyses d’impact sur la protection des données.
Si ces différents principes peuvent paraître redondants avec le RGPD, on ne les répètera jamais assez car ils constituent désormais un passage obligé pour toutes les entités utilisatrices de données. Outre ces obligations, la Convention 108+ prévoit d’ailleurs une obligation supplémentaire qui ne figure, elle, pas en noir et blanc dans le RGPD : celle de « donner un cadre éthique » à l’utilisation des technologies de reconnaissance faciale. Étant donné le risque particulièrement élevé inhérent à ces technologies, le rapport préconise que la conformité à ce cadre éthique prenne la forme de conseils d’éthique consultatifs indépendants, composés d’experts provenant de différents domaines de compétence.
Conclusion
Les technologies de reconnaissance faciale soulèvent une multitude de problématiques et questionnements qui leur sont donc propres. À cet effet, elles font d’ailleurs l’objet d’une législation et règlementation en cours de construction, à la fois au niveau national et international.
Comme d'habitude, si vous avez des questions sur cet article ou sur l'utilisation des technologies de reconnaissance faciale, n'hésitez pas à nous contacter !
Article rédigé par Leila Saidi @ Gerrish Legal, initialement paru sur le site Village de la Justice, en mars 2021