Un rapport parlementaire veut avancer sur la reconnaissance faciale

Au Sénat, une mission d’information sur la reconnaissance faciale a rendu ses conclusions aujourd’hui. Menée par trois sénateurs, elle dresse un panorama détaillé des expériences déjà menées en France, avec certains détails jusqu’ici jamais évoqués. Ils suggèrent d’aller plus loin, avec une loi d’expérimentation de la technologie, assortie de plusieurs lignes rouges. La reconnaissance faciale sera un des dossiers du début du quinquennat.

Après 116 auditions et 4 déplacements, la mission sénatoriale menée par Marc-Philippe Daubresse (LR) Arnaud de Belenet (centriste) et Jérôme Durain (PS), juge qu’il est urgent d’avancer. Les sénateurs dressent d’abord un panorama des expérimentations déjà menées en France.

Comme nous l’avions évoqué en 2019, les forces de police et de gendarmerie sont autorisées depuis 2012 à utiliser la reconnaissance faciale pour identifier les personnes fichées dans le TAJ (traitement des antécédents judiciaires). Le TAJ regroupe 18,9 millions de fiches de personnes mises en cause par les forces de l’ordre et contient près de 8 millions de photos.

Les enquêteurs peuvent déjà comparer une photo d’une enquête avec celles présentes dans le fichier. L’outil est paramétré pour donner un maximum de 200 réponses avec un taux de correspondance minimum de 40 %. « C’est l’enquêteur qui procède in fine à l’identification de la personne. » En 2021, il a été utilisé 498 871 fois par la police nationale et environ 117 000 fois par la gendarmerie nationale. Soit une forte augmentation par rapport à 2019 où il y avait eu 375 747 demandes.

La montée en puissance s’explique par l’adoption d’un nouvel outil Cognitec plus performant. De son côté, la DGSI utilise la reconnaissance faciale afin d’exploiter des données vidéo collectées par le biais de la mise en œuvre de techniques de renseignement. 

La reconnaissance faciale est également utilisée par la police aux frontières. 217 sas Parafe sont en service dans différents points de passage frontaliers. L’utilisateur peut ainsi privilégier la reconnaissance faciale à un contrôle physique traditionnel. Le rapport cite également le projet Alicem, finalement abandonné et remplacé par le « Service de garantie de l’identité numérique » (SGIN), lié à la carte nationale d’identité électronique (CNIe), qui n’utilisera pas la reconnaissance faciale. Certains organismes de la recherche publique mènent également des travaux relatifs à la reconnaissance faciale. Ainsi l’INRIA avec le projet STARS, basé à Sophia Antipolis. 

• Identité numérique : Alicem a le seum

Les sénateurs reviennent également sur les différentes tentatives menées par les collectivités territoriales. « La seule expérimentation à grande échelle qui a été réalisée est celle menée durant le carnaval de Nice, en février-mars 2019, sur la base du volontariat. La CNIL ne s’y était pas opposée car les principes du RGPD étaient respectés ». En revanche, en octobre 2019, elle a bloqué le projet de portiques virtuels à l’entrée de deux lycées provençaux.

Le rapport revient aussi sur des expérimentations menées par le SGDSN, sur lequel l’État s’était jusqu’ici peu exprimé. Lors de Roland Garros 2020, cette instance nationale a ainsi fait tester un dispositif de contrôle d’accès pour les arbitres. Une expérimentation similaire était envisagée en 2021 sur le site au stade vélodrome à Marseille. « Mais la CNIL, dans deux avis des 16 septembre 2021 et 2 décembre 2021, a considéré que les objectifs de l’expérimentation ne suffisaient pas à démontrer la nécessité d’un stockage des données dans des serveurs distants ou dans le cadre d’une maîtrise partagée, ni même le recours à la biométrie ». 

Aéroports de Paris a également mis en place une expérimentation en plusieurs phases de la reconnaissance faciale. En coordination avec la CNIL, son objectif est de fluidifier les flux de passagers : les passagers peuvent s’enregistrer et embarquer de manière autonome, par simple scan de leur visage, grâce à un enrôlement biométrique préalable. Retardée en raison de la crise sanitaire, la première phase a finalement été menée entre mars et juillet 2021 puis la deuxième entre février et avril 2022. 

L’État était également dans les starting-blocks pour les Jeux olympiques 2024. En décembre 2019 Cédric O avait annoncé une « phase d’expérimentation, de six mois à un an, sous la supervision de la société civile et des chercheurs » pour évaluer l’usage de la reconnaissance faciale à la vidéosurveillance.

Mais auditionné par les sénateurs en mars, le futur ex-secrétaire d’État chargé de la transition numérique a annoncé l’abandon de l’idée : « La décision d’avoir recours à l’identification pour les jeux Olympiques de 2024 aurait dû être prise maintenant : le Gouvernement a choisi de ne pas le faire, compte tenu du contexte politique et de la sensibilité du sujet. Cela interdit donc de fait l’utilisation de dispositifs d’identification, mais ne devrait cependant pas nous empêcher d’avancer sur l’authentification de certains personnels pour l’accès aux sites olympiques, par exemple. »

Autre précision du rapport : « La directrice des libertés publiques et des affaires juridiques du ministère de l’Intérieur a de son côté indiqué aux rapporteurs que le ministère de l’Intérieur réfléchissait à la mise en œuvre d’expérimentations destinées à sécuriser ces évènements et les grands rassemblements qu’ils impliquent. Mais il ne devrait s’agir désormais que de dispositifs de contrôle d’accès des personnels ou des athlètes ». 

Les risques de la technologie

Les sénateurs reviennent également sur les risques de cette technologie. D’abord, « à la différence d’autres données biométriques telles que les empreintes digitales ou l’iris, le visage d’un individu peut être recueilli à distance et potentiellement à son insu ». De plus, la diffusion progressive de la reconnaissance faciale engendre un risque d’accoutumance. D’autant qu’il peut y avoir une porosité entre différents usages, un même algorithme pouvant être utilisé à différentes fins. Le rapport cite l’exemple russe  : « des systèmes de reconnaissance faciale sont désormais largement implantés dans les stations de métro de Moscou afin de pouvoir procéder à des paiements sans contact, mais aussi d’identifier des personnes recherchées ».

Le rapport revient également sur les erreurs de la reconnaissance faciale et les biais. Il s’appuie sur les séries de tests d’algorithmes d’identification et d’authentification publiés par le National Institute of Standards and Technology (NIST), agence américaine rattachée au département du commerce.

Les tests « démontrent la maturité de cette technologie lorsqu’elle est utilisée à partir d’images de bonne qualité » : « en matière d’authentification, les 100 algorithmes les mieux classés présentent un taux de faux négatifs systématiquement inférieur à 0,4 %. Pour ce qui est de l’identification, des algorithmes atteignent des scores encore plus élevés, avec un taux de faux négatif à 0,12 % pour le premier d’entre eux ».

Ces tests ont été effectués dans de bonnes conditions. L’usage d’algorithmes sur des photos réalisées « sans coopération » du sujet aboutit à des taux d’erreurs relativement importants, de l’ordre de 4,6 % à 6,7 %. Même dégradation si la base repose sur des photos de faible résolution, issues de webcams. Le port du masque se traduit également par un surcroît de faux.

Par ailleurs, les bases de données ayant été faites essentiellement à partir de photos d’hommes blancs, la reconnaissance faciale reste moins efficace sur des femmes (surplus d’erreurs de l’ordre de 8 % à 21 %, selon une autre étude de 2018) et des personnes à la couleur de peau foncée (12 % à 19 %). Reste que le taux d’erreur ne cesse de diminuer, surtout pour les meilleurs algorithmes.

Des champions français et un flou européen

Malgré les risques portés par la reconnaissance faciale, le rapport insiste sur la nécessité de défendre les champions français de cette technologie. Selon l’Alliance pour la confiance numérique le segment « "identification et authentification des personnes" générait en 2020 un chiffre d’affaires annuel de 1,76 milliard d’euros », avec 8 500 emplois répartis dans 490 entreprises.

Deux des trois entreprises de rang mondial de la reconnaissance faciale sont d’ailleurs françaises : Idemia et Thalès. Idemia déclare posséder plus de 1 500 familles de brevets actives et déposer annuellement 50 brevets en France. Dans le classement du NIST, l’algorithme d’identification « Idemia_009 » est le troisième plus performant. Thalès a indiqué contribuer à plus de 300 programmes gouvernementaux dans le champ des techniques biométriques (comme les nouveaux passeports britanniques mis en circulation après le Brexit).

Mais les acteurs du secteur se plaignent du flou du cadre juridique actuel et des incertitudes liées au projet de législation européenne sur l’intelligence artificielle. Autre difficulté : l’accès aux données et le RGPD. « L’obligation de recueillir le consentement de chaque personne pour chaque projet de recherche représente en effet un obstacle de taille à la constitution des bases de données nécessaires à l’entraînement des algorithmes ». Si les entreprises privées peuvent s’appuyer sur des filiales à l’étranger, ce n’est pas le cas de la recherche publique.

Le projet en négociation au niveau européen propose d’interdire l’utilisation de la reconnaissance faciale en temps réel avec trois exceptions : la recherche de victimes, la prévention d’une menace substantielle et imminente et la détection d’un auteur d’une infraction grave. Toutefois, dans les négociations, le gouvernement français souhaite « que soient exclus de l’application du règlement non seulement les systèmes d’IA militaires, mais également ceux qui le sont à des fins de sécurité nationale ». La France fait également pression pour que l’interdiction de l’usage de l’identification biométrique en temps réel ne porte que sur les contrôles à distance.

Y aller avec des lignes rouges

S’ils sont favorables au développement d’expérimentation, les sénateurs proposent d’abord de tracer des lignes rouges. Le modèle chinois étant le repoussoir ultime, l’utilisation de la reconnaissance faciale serait strictement interdite à des fins de notation sociale (privée comme publique). Elle ne pourrait servir à catégoriser les individus en fonction de l’origine ethnique, de leur sexe, de leur orientation politique ou sexuelle. La reconnaissance faciale ne pourrait pas non plus être utilisée pour déduire les émotions des personnes.

La reconnaissance en temps réel sera possible dans l’espace public dans des cas limités. Les rapporteurs veulent aussi fermement interdire son usage dans les manifestations et aux abords des lieux de culte. Par ailleurs, elle devra rester un simple outil d’aide à la décision avec un contrôle humain systématique.

Une fois les lignes rouges tracées, les rapporteurs reprennent l’idée d’une loi d’expérimentation. Cette idée d’une phase expérimentale fait d’ailleurs consensus au sein des instances étatiques. Elle se ferait sous l’égide d’un comité scientifique et éthique unique et indépendant. Il faudra aussi renforcer la CNIL.

La question est le véhicule législatif : il y a deux hypothèses. Soit amender la LOPMI, présentée par Gérald Darmanin en pleine campagne présidentielle. Le texte sera prochainement débattu par le Parlement. S’il n’évoque pour l’instant pas la reconnaissance faciale, le projet de loi pourrait être amendé. Autre hypothèse : passer par une proposition de loi, comme l’avait déjà proposé Didier Baichère. Dans tous les cas, ces élus veulent légiférer avant l’éventuelle législation européenne, qui prendra encore du temps. Et si Cédric O semblait renoncer aux JO, ce n’est pas le cas des sénateurs.

Ils proposent également de permettre, à titre expérimental, pour les grands évènements, d’organiser un contrôle exclusivement biométrique de l’accès aux zones nécessitant une sécurisation exceptionnelle par les forces de l’ordre.

Concernant l’usage de la reconnaissance faciale dans les fichiers, les sénateurs veulent aller plus loin que le TAJ. Pour les sénateurs la priorité est « d’intégrer un module de reconnaissance faciale au fichier des personnes recherchées (FPR) ».

D’autres traitements sont cités : le fichier de traitement des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), le fichier GIPASP, le fichier CRISTINA géré par la DGSI. Selon nos informations, à l’occasion de la révision du fichier GIPASP, le gouvernement avait souhaité intégrer la reconnaissance faciale. Le Conseil d’État avait, là aussi, jugé qu’une modification préalable de la loi était indispensable. Toutefois, les sénateurs s’opposent à l’ouverture de modules de reconnaissance faciale dans des fichiers plus larges, comme celui des permis de conduire ou des titres électroniques sécurisés (TES).

• La CNIL retoque (encore) le méga-fichier biométrique des « gens honnêtes »

D’autres expérimentations sont proposées : donner un cadre légal à l’exploitation a posteriori d’images pour les enquêtes judiciaires, permettre aux services de renseignement de traiter les images à l’aide de systèmes de reconnaissance biométrique. Mais également de permettre d’utiliser la « reconnaissance biométrique sur la voie publique en temps réel sur la base d’une menace préalablement identifiée, à des fins de sécurisation des grands évènements et de sites sensibles face à une menace terroriste, pour faire face à une menace imminente pour la sécurité nationale, et à des fins d’enquête judiciaire relatives à des infractions graves menaçant ou portant atteinte à l’intégrité physique des personnes ».

Et la vidéosurveillance intelligente ?

Le rapport se penche aussi sur la vidéosurveillance intelligente, qui fleurit actuellement dans les collectivités. Là aussi, les JO de 2024 sont brandis. Ainsi, à partir des images issues des systèmes de vidéoprotection, les forces de sécurité intérieure estimeraient « utile » de pouvoir détecter les changements de rythme ou de direction d’une foule ou d’un individu, ou détecter certaines caractéristiques des personnes (comme le port de dispositifs occultant le visage).

Mais, selon les informations recueillies par les sénateurs, le Conseil d’État aurait, dans un avis non public du 12 octobre 2021, « estimé que les traitements des images issues de la vidéoprotection par le biais d’un logiciel d’intelligence artificielle constituent des traitements de données personnelles distincts de ceux des images issues de la vidéoprotection ». « Compte tenu du changement d’échelle qu’ils impliquent dans la capacité d’exploitation des images de surveillance de la voie publique », « ils sont susceptibles de porter une atteinte telle à la liberté individuelle qu’elle affecterait les garanties fondamentales ».

Pour le Conseil d’État, il faut changer la loi pour permettre le recours à l’intelligence artificielle sur des images issues de l’espace public, y compris sans utilisation de données biométriques.