La Chaire sur les implications juridiques et réglementaires de l’intelligence artificielle, au sein de l’Institut multidisciplinaire en intelligence artificielle (MIAI) à l’Université Grenoble Alpes, vient de publier les premiers rapports du projet de recherche relatif à « La cartographie de l’utilisation de la reconnaissance faciale dans les espaces publics en Europe » (MAPFRE en anglais). Décortiquons le projet et son premier rapport publié.
L’étude indépendante vise principalement à rendre lisible le débat national et européen sur l’utilisation de la reconnaissance faciale (RF) dans les espaces publics notamment en apportant des éléments de clarification et d’explication.
Le projet MAPFRE, fruit d’un travail monumental, est composé de six rapports destinés à détailler les tenants et aboutissants de cette technologie qui a déjà fait son entrée dans nos vies, sans qu’on puisse exprimer notre avis.
Le premier rapport nommé « Une quête de clarté : décrypter le terme "fourre-tout » que nous expliquons ici, permet avant tout de poser le contexte du débat sur l’utilisation de la reconnaissance faciale et met sous la projection des experts les notions essentielles souvent mal connues par le grand public.
Un deuxième rapport établit un tableau de la reconnaissance/analyse faciale afin de démontrer que cette technologie a des fonctionnalités différentes et donc des utilisations à des fins diverses et variées. Chaque utilisation et fonctionnalité met en cause différents intérêts. Par conséquent, elles nécessitent davantage d’explications et ne peuvent être considérées toutes de la même manière ni régies par le même régime juridique.
Le troisième rapport détaille l’utilisation de la reconnaissance faciale à des fins d’autorisation, autrement dit d’accès à un espace déterminé. Il formule plusieurs recommandations aux autorités nationales et européennes. Un sujet d'intérêt crucial puisque c’est surtout cet usage qui va potentiellement concerner le plus de monde.
Avec le quatrième rapport, à paraître, les chercheurs se plongent sur l’utilisation de la RF dans les enquêtes criminelles afin de faire le point sur les avantages et des risques sur la protection des données et les droits de l’homme.
Pour sa part, le cinquième rapport se concentrera sur l’identification faciale à grande échelle, appelée « identification biométrique à distance en temps réel » dans la proposition de la Commission européenne sur la réglementation de l’intelligence artificielle. Ici encore, les enjeux sont majeurs puisque c’est fondamentalement cette utilisation qui risque de dériver vers ce qu’on qualifie de « surveillance de masse ».
Enfin, le dernier rapport reviendra sur l’analyse faciale, bien que peu répandue en Europe, mais considérée comme susceptible de se développer par les chercheurs qui soumettent des recommandations générales fondées sur les résultats du projet de recherche.
L’urgence d’un débat sain et productif
L’étude menée sous la direction du professeur de droit Théodore Christakis (@TC_IntLaw), part du constat qu’il y a une urgence à mener un débat national et européen.
Un débat sur l’utilisation de la reconnaissance faciale afin de garantir la sécurité juridique, par une législation solide, pour les entreprises d’innovation ainsi que pour protéger les droits et libertés des Européens. Or, les éléments d’un tel débat ne semblent pas être au rendez-vous déjà en raison d’un manque de clarté sur les termes utilisés et la technologie elle-même.
Ainsi, « le débat sur ces questions fondamentales se déroule en l’absence d’une évaluation approfondie de la manière dont le droit européen existant est appliqué à ces questions. En outre, le débat sur ces questions en Europe se caractérise également par un haut niveau d’imprécision », relève le groupe d'experts, composés notamment de la professeur de droit Karine Bannelier, de Claude Castellucia, chercheur à l'INRIA et membre fondateur de Privatics, qui étudie depuis sa création en 2014 au respect de la vie privée dans le monde numérique) et de Daniel Métayer, issu lui aussi de Privatics.
Les avis divergents venus d’autorités différentes
L’équipe a décortiqué les avis de différents acteurs décisifs afin de dessiner un paysage politique des « pour » et « contre » l’utilisation de la RF. Difficile de catégoriser davantage, puisqu’il est possible de trouver des universitaires comme des acteurs politiques, entre autres, dans les deux camps.
Néanmoins, on constate une certaine homogénéité dans les positions des autorités européennes de protection des données pour lesquelles une interdiction générale doit s’imposer à « toute utilisation de l'IA pour la reconnaissance automatisée de caractéristiques humaines dans des espaces accessibles au public - telles que les visages, mais aussi la démarche, les empreintes digitales, l'ADN, les frappes vocales et autres signaux biométriques ou comportementaux - dans n'importe quel contexte ».
Cette position est exprimée par exemple dans l’avis conjoint du 18 juin du Comité européen de la protection des données (EDPB en anglais) et du Contrôleur européen de la protection des données (EDPS en anglais) concernant la proposition de la Commission européenne sur la régulation de l’Intelligence artificielle (IA).
Bien que les termes « interdiction générale » et « n’importe quel contexte », soient employés, le rapport relève que les autorités de protection des données visaient principalement « l'identification biométrique à distance en temps réel dans les espaces accessibles au public aux fins de l'application de la loi ». Difficile de savoir en conséquence si l'EDPB comme l'EDPS souhaitent vraiment une telle interdiction générale dans l’espace public et dans n’importe quel contexte.
En France, les avis de la CNIL ont parfois du mal à convaincre les responsables politiques désireux de déployer une telle technologie. C’est notamment le cas de Christian Estrosi, le maire de Nice, président délégué de la Région PACA pour qui « la CNIL est bloquée au 20e siècle » .
Le rapport revient sur cette affaire qui avait concerné l’invalidation de la mise en place de la reconnaissance faciale dans deux lycées en PACA.
Au niveau des institutions européennes, où un règlement sur l’IA est en cours d’élaboration, le rapport relève que certains États membres, dont la France, estiment que « l’utilisation de systèmes d'identification biométrique à distance dans les espaces publics pourrait être justifiée pour des raisons importantes de sécurité publique, sous des conditions et des garanties juridiques strictes » (page 14).
En revanche, au Parlement européen où plusieurs commissions sont en train de travailler sur le sujet, c’est toujours l’incertitude et la divergence qui dominent. Dans ce sens le rapport mentionne des avis contradictoires des rapporteurs chargés du dossier législatif.
« Décrypter les termes fourre-tout »
Le rapport détaille la problématique liée à certaines notions telles que « reconnaissance faciale », « données biométriques », « données basées sur la biométrie ». En effet, les définitions actuelles « ne sont pas satisfaisantes », et l’introduction des nouveaux termes et des nouvelles catégories pourrait « accentuer la confusion terminologique ».
En particulier, Les auteurs attirent l’attention sur l’absence de définition de « la reconnaissance faciale » dans le droit européen, que ce soit dans le RGPD, ou la directive Police-Justice. La proposition législative sur IA ne se concentre pour sa part que sur l'« identification biométrique à distance ». Or, ce terme est jugé à la fois « plus étroit » et « plus large » que celui de RF, selon les auteurs.
En outre, « les seules définitions que l'on puisse trouver proviennent d'autorités de protection des données, comme la CNIL française, qui associent étroitement le concept de reconnaissance faciale au concept de données biométriques ».
La CNIL, dans son avis du 15 novembre 2019 explique que « la reconnaissance faciale appartient à la catégorie plus large des techniques biométriques ».
Pour l'autorité, « la biométrie regroupe l’ensemble des procédés automatisés permettant de reconnaître un individu à partir de la quantification de ses caractéristiques physiques, physiologiques ou comportementales (empreintes digitales, réseau veineux, iris, etc.). Ces caractéristiques sont qualifiées de "données biométriques" par le RGPD, parce qu’elles permettent ou confirment l’identification unique de cette personne ».
Afin d’approfondir l’analyse, l’équipe d'experts s'est livrée à la quête d'une définition de l'expression « données biométriques » puisqu’elle est « étroitement liée à la définition de la RF ».
Ces « données biométriques » sont définies « exactement » de la même manière dans les différents textes européens de protection des données. Ainsi, les données biométriques sont « les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (article 4 du RGPD).
Pour le rapport, les choses se compliquent puisqu’une photo de visage est une donnée biométrique uniquement si elle fait l’objet d’un traitement technique spécifique et permet alors d’identifier ou de confirmer une personne physique. Or, le droit européen ne définit pas ces critères cumulatifs de la définition de données biométriques.
Néanmoins, le rapport s’inspire de l’interprétation des autorités de protection des données telle que la CNIL pour estimer que « le traitement technique spécifique en question implique la création de gabarits biométriques qui pourraient être utilisés pour le visage afin d'identifier une personne » (page 18).
Pour autant, trois raisons rendent la définition de données biométriques « problématique » et « confuse ». Tout d’abord, les auteurs s’interrogent sur les termes « telles que les images faciales » à la fin de la définition de données biométriques. Si toute image faciale n’est pas nécessairement une donnée biométrique, le raisonnement suivi dans la définition semble « difficile à comprendre ».
De plus, il est jugé « bizarre » de ne pas considérer la photo brute d’un visage comme une donnée biométrique alors qu’elle contient beaucoup plus d’informations que le modèle biométrique qui en dérive. L’impact d’une telle qualification serait ainsi d'assurer au traitement d’une photo le bénéfice de la protection réservée aux données biométriques.
Le fruit d’un compromis pour exclure les fichiers policiers
Enfin, nouvelle incompréhension et confusion découlant de cette définition, le traitement des données qualifiées de biométriques ne bénéficierait du régime spécifique de protection prévu aux articles 9 du RGPD et 10 de la directive Police-Justice, que s’il est utilisé aux « fins d'identifier de manière unique une personne physique », explique l’équipe des experts.
Autrement dit, les données biométriques qui ne feraient pas l’objet d’un tel traitement seraient tout simplement soumises au régime de protection des données à caractère personnel. Dans ce cas, c’est la pertinence de la qualification des données biométriques qui semble mise en cause.
D’ailleurs, il est noté que le critère de « traitement technique spécifique » est le fruit d’un compromis voulu par les États membres du Conseil pour exclure les bases de données des fichiers policiers du régime spécifique de l’article 9 du RGPD et l'article 10 de la directive Police-Justice.
En France, dans l’affaire Datakalab, la CNIL avait conclu que le système de détection des masques ne traite pas des données biométriques, mais des données personnelles. Le traitement est donc assujetti à l’article 6 du RGPD, et non l’article 9 traitant des données biométriques : selon le garant de la protection des données, « les systèmes d'"analyse faciale" qui permettent le traitement des visages (par exemple à des fins statistiques), mais n'impliquent pas de traitement biométrique ni de comparaison des visages, ne doivent pas être considérés comme des systèmes qui traitent des "données biométriques" ou effectuent une "reconnaissance faciale" » (page 20).
- La CNIL se penche sur les caméras détectant le port du masque
- L’avis de la CNIL du 17 décembre 2020 relatif au recours à la vidéo intelligente pour mesurer le taux de port de masque dans les transports
En outre, le rapport indique que lors des « discussions menées au sein de la présidence française du Conseil européen sur la proposition de règlement sur l'IA, des amendements ont été proposés afin de modifier la définition traditionnelle des données biométriques dans la législation européenne sur la protection des données ».
Les difficultés d'une définition du champ d'application
Toujours selon le rapport, la France a proposé de supprimer le critère de l’identification unique dans la définition de données biométriques (page 23). En revanche, poursuit-il, le Parlement européen tente d’introduire une nouvelle catégorie relative aux « données basées sur la biométrie ».
« Les données fondées sur la biométrie sont des données supplémentaires résultant d'un traitement technique spécifique relatif à des signaux physiques, physiologiques ou comportementaux d'une personne physique » définit le projet de rapport de la Commission du marché intérieur et de la protection des consommateurs (IMCO) et de la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) portant sur la législation de l’intelligence artificielle.
« Si l’on compare la définition traditionnelle des "données biométriques" avec la définition des "données basées sur la biométrie", cette dernière choisit le mot "signaux" au lieu de "caractéristiques" lorsqu'il s'agit d'une personne physique, et le fait suivre d'exemples de signaux (tels que les expressions faciales, les mouvements, la voix, etc.) Mais surtout, le critère d'"identification" a été supprimé de la définition.
Bien que les intentions soient compréhensibles, la création d'une nouvelle catégorie si similaire à la catégorie initiale pourrait créer davantage de confusion dans ce domaine. Els Kindt avait noté que, si on lit attentivement le RGPD et les autres instruments européens de protection des données existants, on peut arriver à la conclusion qu'il existe déjà quatre catégories et régimes juridiques différents pour les données qui concernent les caractéristiques physiques/biométriques.
L'ajout d'une cinquième catégorie nous rapprocherait-il de la clarté ? Il faut également s'attendre à ce que cet ajout soulève à l'avenir des questions sur les limites exactes entre "données biométriques" et "données basées sur la biométrie", sur la base des appels de la société civile à appliquer le même type de protections (y compris, par exemple, celles appliquées par le RGPD aux "données biométriques") aux deux catégories.
À long terme, cela pourrait conduire à une reconsidération de la pertinence de la définition des "données biométriques" dans le RGPD, et à son remplacement par la notion plus large et plus protectrice de "données basées sur la biométrie" »
Les explications sur la portée et la méthodologie de la recherche
Suite à cette analyse des problématiques posées par les différentes définitions et les tentatives de modification du terme donnée biométrique, ou d’introduction d’une nouvelle catégorie, le rapport décrit la portée de l’étude cartographiant l'utilisation de la reconnaissance faciale.
Elle « couvre toutes les utilisations de systèmes de traitement du visage dans les espaces publics en Europe, que les données concernées soient des "données biométriques" ou, pour utiliser le nouveau terme, des "données basées sur la biométrie" ».
Par contre, elle « ne concerne pas les situations où il n'y a ni "reconnaissance du visage" ni "analyse du visage", comme la vidéosurveillance générale ou le traitement de "données biométriques" autres que le traitement du visage (comme la reconnaissance de la voix, de la démarche ou du comportement non facial) ». Cette étendue matérielle de l'étude est l'objet du rapport n°2.
Les auteurs détaillent ce qu’ils entendent par « espaces publics ». La longue définition donnée par la proposition de la Commission européenne sur l’IA (point 9) est le point de départ. Le rapport distingue pour sa part trois types d’espaces publics :
- Espace ouvert : « accessible par défaut à tout le monde sans condition, par exemple les rues, les gares, les centres commerciaux, les supermarchés, etc. »
- Espace restreint : « accessible par défaut à toute personne sous conditions (billet valide, respect de l'âge limite, etc.), par exemple les stades, les cinémas ou les théâtres. »
- Espace fermé : « accessible uniquement à un groupe limité de personnes (par exemple les écoles) »
Les auteurs ont par ailleurs pris en compte plusieurs cas d'utilisations de la RF au Royaume-Uni. Un élargissement qui « permet de disposer d'un éventail beaucoup plus large de cas d'utilisations et de faire des comparaisons utiles en ce qui concerne un certain nombre de questions, notamment l'attitude apparemment "souple" de l'autorité britannique chargée de la protection des données, l'Information Commissioner's Office (ICO), en ce qui concerne l'utilisation de la reconnaissance faciale, par rapport à l'approche de ses homologues de l'UE ».
En plus du tableau de classification des utilisations de la RF, les chercheurs ont analysé en détail 25 de ces cas. L’analyse de chaque cas se fonde sur un modèle annexé au premier rapport. Il se concentre sur trois points, à savoir les détails techniques, les questions liées au cadre juridique et enfin l’existence ou non des garanties supplémentaires fournis par le responsable de traitement, « en se concentrant sur des questions telles que la responsabilité et la transparence, la réalisation d'une analyse d'impact sur la protection des données », etc.
Enfin, ce premier rapport expose les différents critères pris en compte dans la sélection des 25 cas étudiés tels que « la disponibilité des informations » ou « l’existence de décisions de justice, de rapports d'évaluation et d'autres documents intéressants ». Il faudra néanmoins attendre la publication du sixième rapport pour découvrir cette analyse détaillée.
Commentaires (14)
#1
Une cartographie où il n’y a pas de cartes à regarder :(
Remboursez !
#1.1
La suite demain, avec une jolie carto ;)
#1.2
Ah là ça me vend du rêve !
#2
L’objectif de cette étude et la réglementation qui pourrait en découler est pour les pouvoirs publics (et donc les politiciens qui idéalises les anciennes dictatures qu’ils n’ont pas connu) ou bien sera-t-elle aussi pour le privé ?
Car typiquement, chaque jour, des centaines de smartphones peuvent prendre en photo un individu (baladez-vous dans une rue un peu touristique et vous vous en rendrez compte) et bazarder ce bordel sur des serveurs à l’étranger qui vont appliquer tout un tas de reconnaissance et d’analyse dans le but de vendre de l’humain.
Je ne sais pas pour vous, mais à titre perso la société de surveillance de masse, pour moi c’est une réalité depuis quelques années grâce à l’adoption massive des dispositifs permettant de le faire, en l’échange d’un peu de dopamine.
#2.1
Oui mais ce sont des entreprises.
Et aucune entreprise n’a vraiment de passif de massacres de masse ou de destruction (physique ou psychique) de populations, contrairement aux états (structures qui ont tué directement ou indirectement le plus d’humains au 20e siècle, prenant le relais des religions…)
On est donc sur un cas d’usage bien plus grave.
#2.2
Je pense qu’il doit y avoir aussi des cas d’entreprises privées qui ont du sang sur les mains. Certes dans une moindre mesure que les guerres menées par des États, mais que ce soit directement ou indirectement il y aura forcément eu des impacts négatifs sur une population. Les intérêts économiques et le profit sans complexe peuvent aussi entraîner des drames humains.
Sinon dans un registre plus moderne, il me semble qu’il y a déjà eu des études montrant l’impact que peuvent avoir les médias sociaux sur la vie publique (et des faits divers aussi), raison pour laquelle il me paraît important d’éviter de les laisser en roue libre dans leur surveillance de masse.
#2.7
Les deux mondes ne sont pas clos je suis d’accord, il n’en reste pas moins que facebook ou tiktok ou n’importe quel mouchard installé volontairement par l’utilisateur n’ont pas de politiques de gestion des populations et des territoires contrairement aux états. N’ont pas de services internes dédiés à la violence sur les gens etc.
Donc énoncer que la surveillance de masse par la vidéo/photos est déjà un fait en occident sans distinguer qui le fait et pourquoi est fallacieux. (c’est ce à quoi je réagissais uniquement).
Et il ne s’agit pas de dire que des entreprises n’ont jamais d’action maléfique non plus bien entendu
#2.3
Je rejoins
#2.4
Ce qui confirme donc le fait que ce genre de régulation doit avoir pour portée la puissance publique et l’entrepreneuriat privé. D’où ma question initiale.
#2.5
Sur mon com. il faut lire @Yvan je rejoins l’avis de @SebGF on a un saut de ligne lorsque l’on cite quelqu’un malheureusement.
Petite précision, je cite des entreprises dont le coeur de métier sont un ou des produits fait pour la surveillance de masse et utilisé par les états. Par contre je dissocie des entreprises dont ce n’est pas la base. Par exemple le boycott de Hikvision est totalement stupide. Il vende des caméras que se soit au gouv. de Chine ou aux US (malgré leurs interdiction c’est ça le plus marrant) et aux particuliers. Tout comme à l’époque, on avait attaqué Microsoft parce qu’il est utilisé par les chinois (quoique ils ont réussit à virer android chez Huawei en s’appuyant sur cette idée complétement débile).
C’est assez marrant ces dernières années de voir des entreprises prendrent position. Que ce soit McDo ou Ikea qui se barrent de Russie mais ça ne change rien (à part mettre quelques russes au chomage qui n’ont rien demander) c’est pas ça qui va arrêter la guerre. Mais bon ça permet de donner bonne conscience aux occidentaux. C’est juste du greenwashing de com.
#2.6
Ah d’accord merci pour la précision.
Concernant la dernière partie de ton commentaire, c’est désormais une tendance pour les grandes entreprises de se donner une “mission” plutôt qu’un marché (ça fait plus humain, mais c’est généralement que de la comm…). Nos sociétés sont de plus en plus politisées et il ne se passe pas une journée sans avoir untel qui viendra vous bassiner avec ses convictions politiques. A cela s’ajoute le fort communautarisme à l’américaine, la “cancel culture”, et autres formes de vindicte populaire basée sur le pur émotionnel.
#2.8
Ces entreprises n’existent que par l’action des états qui sont leurs quasi uniques clients. Je les compte comme “les états” quelle que soit leur forme juridique parce qu’elles participent d’une même logique politique.
Je suis d’accord que les deux mondes ne sont pas étanches.
Néanmoins placer les réseaux sociaux ou picassa sur le même plan de nuisances potentielles aux personnes que des états me semble farfelu, les états ont (ou essaient d’avoir) un monopole de la violence dans les sociétés et c’est bien leur objet.
Pas celui d’entreprises qui ont comme objet le gain financier et qui dans un marché à peu près libre ont besoin de conserver une image neutre ou positive pour éviter le développement de la concurrence. Les états, quand ils sont brutaux, se fichent éperdument que leur population ait peur, aucune alternative/concurrence n’étant disponible sans d’énormes sacrifices.
#3
Difficile de séparer les entreprises des états. Elles ne deviennent réellement rentables que lorsque des états deviennent leurs clients et leur offrent un énorme marché captif, même si cela n’est que temporaire.
Au final, beaucoup de caméras, beaucoup moins de flics dans les rues. Car impossible de payer les deux. Autant de crimes et délits - ou plus ! - mais davantage de délinquants confondus après leurs méfaits ou forfaits.
La RF généralisée, un choix de la machine au lieu de l’humain. Dès profits pour les sociétés vendant des systèmes de RF, sans doute. Un profit pour la société ? Des risques certains si un état répressif s’installe et emploie ces technologies pour traquer les opposants. Mais de gros lobbies sont sûrement déjà au travail pour fourguer le truc aux politiques…
#4
Article bien documenté et précis sur le sujet.
La reconnaissance faciale reste donc un objectif pour certain mais fait face à des difficultés technologiques alors qu’il existe d’autres moyens plus fiables et plus simples d’identifier un individu puis de corréler son action avec des différentes sources ( vidéos, achat, activités internet,..).