Reconnaissance faciale : ce que dit le Conseil de l’Europe

Publié le Modifié le

Le 28 janvier dernier, le Conseil de l’Europe a publié des « lignes directrices » sur la reconnaissance faciale. Destiné aux gouvernements, aux développeurs, aux fabricants, aux prestataires de services et aux « entités utilisatrices », ce texte souligne la nécessité de recourir à cette technologie liée à l’intelligence artificielle dans un cadre des plus stricts.

Temps de lecture : 3 minutes (en moyenne)

Reconnaissance faciale

Qu’est-ce que la reconnaissance faciale ?

La reconnaissance faciale est une technique précisément définie. Si l’on se réfère à la définition de la Commission nationale de l’informatique et des libertés (CNIL) autorité de référence en la matière, deux actions permettent de dire si nous sommes ou non dans une situation de reconnaissance faciale. Celle de l’authentification, car elle permet, à partir des traits de son visage, d’authentifier une personne (autrement dit, de vérifier qu’elle est bien qui elle prétend être) et celle de l’identification car elle aide à l’identifier (c’est-à-dire à retrouver cette personne au sein d’un groupe d’individus, dans un lieu, une image ou encore une base de données).

Un incontournable : l’expression du consentement

La reconnaissance faciale est soumise à une restriction des plus contraignantes : l’expression du consentement de la personne qui fait l’objet d’un traitement de données biométriques. « Cette exigence est précisée dans l’article 9 du règlement européen sur la protection des données (RGPD), rappelle Sylvie Lefebvre, directrice juridique chez Securitas ; la première étape avant même de traiter les données collectées consiste donc à savoir si le sujet a exprimé son consentement et comment il l’a fait. »  La réglementation interdit par ailleurs le recours à la reconnaissance faciale dans l’objectif de déterminer la couleur de peau, les convictions religieuses ou autres, l’âge, l’état de santé, etc. de tout individu. 

Les lignes directrices du Conseil de l’Europe

Le texte publié par le Conseil de l’Europe le 28 janvier 2021 a été élaboré par le Comité consultatif de la « Convention 108+ » pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Il préconise de légiférer par catégorie d’usages ; il précise que tout cadre juridique doit comporter l’explication détaillée de l’utilisation envisagée et de la finalité poursuivie, la fiabilité minimale et la précision de l’algorithme employé, la durée de conservation des photos utilisées, la possibilité de contrôler ces critères, la traçabilité du processus et des garanties.

« Le sujet est sensible car il touche directement les droits fondamentaux des citoyens », insiste Sylvie Lefebvre. Il s’agit donc de les protéger, mais aussi de rappeler ce qu’il est ou non possible de faire afin de permettre aux entreprises qui innovent sur ce sujet d’affiner leurs recherches et de voir quelles voies nouvelles elles peuvent ou non explorer.

Une réglementation à venir sur les risques liés à l’Intelligence artificielle

Les lignes directrices du Conseil de l’Europe pourraient également préparer l’arrivée d’un nouveau règlement européen qui, par nature, aura vocation à être transposé dans la loi. « La Commission européenne travaille en effet sur un texte législatif qui permettrait notamment de définir quatre niveaux de risques en matière d’intelligence artificielle, indique Sylvie Lefebvre : un risque minime, limité, un risque élevé et un risque inacceptable. » Un tel règlement rendrait impossible le déploiement de solutions de reconnaissance faciale utilisées dans certains pays (notamment d’Asie), mais qui, en Europe, seraient estimées comme « inacceptables ». Un sujet à suivre, donc.