La Commission Nationale Informatique et Libertés (CNIL) est en train de retrouver son rôle de “conseil” après diverses mésaventures : traînée en recours au Conseil d’Etat pour sa passivité et lenteur sur des sujets liés à la RGPD (publicités ciblées) ; critiquée pour appliquer directement des condamnations faute de mise en demeure comme avec la procédure HADOPI ; vilipendée pour avoir sanctionné par des amendes jugées trop faibles des géants du numérique – seulement 50 millions d’euros pour Google, en janvier dernier.
Cet organisme a montré son utilité en exprimant, ce 15 novembre, des réserves et des exigences sur les systèmes de reconnaissance faciale dont ALICEM est l’acteur principal (notre article du 29 octobre 2019: ALICEM le doute …).
Qu’ils s’agisse des usages privés ou d’accès universels aux applications publiques (cas de FranceConnect et d’ALICEM), la reconnaissance faciale est le nouvel eldorado d’identification qui doit bien donner lieu, avant déploiement généralisé, à expérimentation et à un débat public si ce n’est parlementaire.
La CNIL renoue donc avec son devoir de vigilance et de régulation en communiquant des éléments sur ce dossier (“Reconnaissance faciale : pour un débat à la hauteur des enjeux”). Elle l’avait initié lors du “retoquage”, en octobre, de l’utilisation de cette technologie pour l’accès, par portiques, à deux lycées dans le sud (sujet non lié à ALICEM).
Quatre exigences sont ainsi exprimées et détaillées par cet organisme public :
– La CNIL pose les limites de périmètres d’utilisations raisonnés. Ainsi, au-delà de l’application obligatoire du cadre juridique général sur la protection des données (le RGPD), la CNIL limite les cas d’usage d’un tel système aussi intrusif au regard de la nécessité de son utilisation. Autrement dit, la reconnaissance faciale peut se justifier pour contrôler les passagers d’un avion, pas pour rentrer dans un lycée.
– La CNIL dissocie l’authentification à l’initiative de l’utilisateur, de l’identification par un tiers, qui peut procéder à l’insu de l’individu contrôlé car opérationnellement “sans contact et interaction”.
– La CNIL exige le respect de la personne. Il faut conserver une protection maximale de l’anonymat qui amène le consentement et donc indirectement, en cas de refus, une nécessité d’une alternative à la reconnaissance faciale pour l’authentification ou l’utilisation d’un service ou d’une application. Pour la CNIL, il s’agit d’expériences à mener sans conduire à “acclimater” les usagers à ces pratiques. Ceci passe par la vulgarisation auprès du public pour que celui-ci comprenne la technologie et les enjeux à la clef pour leurs utilisateurs, qu’ils acceptent en pleine connaissance les impacts sur leurs données privées.
– La CNIL pose les conditions d’une démarche aujourd’hui toujours expérimentale. Il faut s’assurer des limites dans le temps et dans les usages du recours à la reconnaissance faciale. La CNIL rappelle notamment les failles technologiques : statistiquement, sur des millions de transactions, quelques personnes pourraient avoir un réel préjudice s’ils subissaient une erreur d’authentification… il faut donc une véritable évaluation des dérives et risques possibles vis-à-vis d’une société encore qualifiable de “démocratique”.
La CNIL remet ainsi dans les mains du “politique” ces faits de sociétés qui, pour leur technicité ou technocratie, leur ont souvent échappés, volontairement ou pas.
Face au moratoire de la ville de San Francisco sur ces usages et à l’inverse de la généralisation de cette technologie dans la dictature qu’est la Chine, un réel débat national, français, doit être mené avec les citoyens comme principale partie prenante.
Debout la France rappelle l’importance de ce débat et du cadrage, qui devrait s‘en suivre, des systèmes de reconnaissance faciale dont ALICEM en est le vaisseau amiral.
Lionel Mazurié
Délégué national au Numérique
