Dans la continuité de notre article sur le scraping, nous vous proposons aujourd’hui de faire un tour d’horizon des pratiques en matière de reconnaissance faciale et de leur encadrement par le RGPD.
Qu’est-ce que la reconnaissance faciale ?
La reconnaissance faciale est une technique qui permet à partir de l’image d’une personne, et plus précisément des traits de son visage, d’authentifier ou d’identifier une personne. Le dispositif peut être mis en application à partir de photos, de vidéos ou même sur des prises en temps réel.
Le système fonctionne en détectant et en analysant le visage, puis en convertissant l’image en données. C’est à cette étape que des données relatives au visage de la personne sont converties en un ensemble d’informations numériques que l’on appelle une empreinte faciale.
Dans une dernière étape, l’empreinte faciale sera comparée à un nombre plus ou moins important de données ou de bases de données.
Il faut donc distinguer 2 phases : la phase de collecte de l’image des personnes, et la phase de conversion des images en empreinte faciales et d’utilisation du dispositif de reconnaissance faciale.
La collecte de l’image des personnes pour créer des bases de données utilisées pour la reconnaissance faciale
L’image d’une personne physique constitue une donnée personnelle au sens du RGPD, que la donnée ait un caractère public ou non.
Dans le cadre de la reconnaissance faciale, il est nécessaire pour constituer une base de données conséquente de collecter un grand nombre d’images de personnes physiques.
De là, il est tentant pour un certain nombre d’entreprises de procéder à un scraping (aspiration) de données présentes sur internet pour alimenter leurs bases de données en images et en vidéos des personnes. Cette collecte est facilitée par la globalisation de l’utilisation des réseaux sociaux. En effet, même une personne non connectée peut consulter la photo de profil d’un utilisateur qui aurait paramétré son compte en privé.
Les entreprises collectant ces images et vidéos devront donc garder à l’esprit qu’elles sont responsables de traitement et que les grands principes du RGPD s’appliquent à cette pratique. En outre, les conditions générales des plateformes peuvent également interdire l’utilisation d’outils de scraping.
La conversion de l’image en empreinte faciale et l’utilisation du dispositif de reconnaissance faciale
Cette empreinte faciale constitue une donnée biométrique au sens de l’article 4-14 du RGPD. Les données biométriques sont considérées comme des données sensibles.
Le traitement de données sensibles est par principe interdit selon l’article 9 du RGPD. Il faut pouvoir se baser sur une exception comme le consentement de la personne, le caractère manifestement public de l’information, ou la nécessité pour des motifs d’intérêt public important.
L’usage devra en outre être motivé spécialement pour chaque situation en tenant compte du contexte spécifique et de l’impossibilité d’y substituer un traitement moins intrusif (principes de proportionnalité et de minimisation posés par le RGPD).
La licéité du recours à la reconnaissance faciale dépendra donc du contexte d’utilisation et de la finalité.
Voici un ensemble de situations dans lesquelles l’utilisation de la reconnaissance faciale peut être autorisée :
- Les lieux de travail : concernant la surveillance de l’employeur sur ses salariés, la CNIL a adopté le 10 janvier 2019 un règlement type. Il faudra s’y conformer pour mettre en place un tel traitement au sein des organismes publics et privés.
- L'ntégration du dispositif dans un système informatique : c’est le cas où la reconnaissance faciale est directement intégrée dans un autre dispositif. On peut notamment penser à Face ID qui permet aux utilisateurs de smartphones de déverrouiller l’accès à l’appareil en s’authentifiant grâce à leur image. La CNIL considère dans ce contexte d’intégration d’un dispositif biométrique directement dans le système, que ce dernier peut bénéficier de l’exemption dite domestique (article 2 2 c RGPD). Cependant, si le dispositif fonctionne grâce à des serveurs à distance, le RGPD sera applicable et il sera recommandé d’effectuer une analyse d’impact.
- La mise en place pour le compte de l’Etat : un certain nombre de dérogations justifiées par l’intérêt public peuvent être invoquées par l’Etat pour mettre en place un dispositif de reconnaissance faciale. Elle devra être autorisée par un décret en Conseil d’Etat après avis de la CNIL.
- La règlementation en matière pénale aux fins de prévention et de détection des infractions pénales, et d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales : selon la Directive 2016/680 du 27 avril 2016, l’utilisation de la reconnaissance faciale dans un tel cadre est possible en cas de nécessité absolue et de la mise en œuvre de garanties appropriées pour les droits et libertés des personnes concernées. Il faudra en plus être dans l’un des cas de recours (autorisation législative ou règlementaire, protection des intérêts vitaux d’une personne physique, ou lorsque les données ont été manifestement rendues publiques par la personne concernée).
Enfin, tout responsable de traitement qui voudrait inclure ce dispositif dans son organisme devra à minima réaliser une AIPD, étant donné que de tels moyens technologiques sont susceptibles de porter de multiples atteintes aux droits et libertés des personnes. On pense notamment au respect de l’anonymat et à la liberté d’aller et de venir.
L'exemple de Clearview AI
La société Clearview AI a créé un système d’intelligence artificielle concernant la reconnaissance faciale. Le logiciel créé une empreinte faciale et donc un gabarit biométrique, qui permet aux utilisateurs achetant la solution de rechercher des personnes à partir de photographies. Sa base de données repose sur le scraping d’images et vidéos publiquement accessibles sur internet. L’aspiration est de très grande ampleur, plus de 20 milliards d’images ont été collectées par la société pour son logiciel.
Il y a comme vu précédemment à la fois collecte de l’image des personnes et création d’un gabarit biométrique sans leur consentement.
La CNIL constatera 2 manquements : un traitement illicite de données personnelles tout d'abord car le traitement de Clearview ne repose sur aucune base légale.
En effet, les consentements des personnes n’est pas obtenu, et l’intérêt légitime de l’entreprise ne peut être invoqué du fait du caractère particulièrement intrusif du procédé qui empêche de faire pencher la balance de ce côté.
La CNIL rappelle que les personnes créant des comptes sur divers réseaux sociaux ne peuvent raisonnablement s’attendre à ce que leurs photos soient réutilisées pour cette finalité, d’autant plus que la société vend ses services à certaines autorités policières.
En outre, les personnes concernées éprouvaient des difficultés à faire valoir leurs droits auprès de la société.
La société est mise en demeure de faciliter l’exercice des droits des personnes et faire droit aux demandes des personnes concernées en décembre 2021, sans sanction financière. Les données collectées illégalement doivent également être supprimées.
A l’étranger, l’autorité de protection des données du Royaume-Uni (ICO) a condamné la société le 23 mai dernier à une amende de plus de 7.5 millions de pounds pour les mêmes faits et a exigé de la société qu’elle cesse d’aspirer et d’utiliser les données personnelles des résidents britanniques accessibles sur internet.
Elle ordonne également la destruction des données de ces mêmes résidents des systèmes de Clearview. Le contrôleur britannique pointe spécialement du doigt l’utilisation de l’IA à des fins de surveillance du comportement, service qui est commercialisé.
L’autorité italienne de protection des données (GPDP) a également condamné la société le 9 mars 2022 à une amende de 20 millions d’euros.
Cette autorité se préoccupe également de l’absence de durée de conservation maximale des données par Clearview.