Reconnaissance faciale : les contrôleurs européens veulent « sauver la face »

Biométricards 11
Accès libre
image dediée
Crédits : imaginima/iStock
Loi

Le contrôleur européen de la protection des données (CEPD) évoque « une solution en quête d'un problème », voire « une solution à un problème qui n'existe pas ». L'agence des droits fondamentaux (FRA) de l'Union européenne, de son côté, voudrait l'interdire lors des manifestations, de sorte d'éviter tout « effet paralysant » (« chilling effect » en anglais) .

Le Conseil et le Parlement européen viennent de confirmer la nomination de Wojciech Wiewiórowski au poste de contrôleur européen de la protection des données (CEPD) pour un mandat de cinq ans, suite au décès de Giovanni Buttarelli, son prédécesseur. Contrôleur adjoint du CEPD depuis 2014, ce Polonais, docteur en droit constitutionnel, avait été inspecteur général pour la protection des données à caractère personnel au sein de l'autorité polonaise chargée de la protection des données (GIODO) de 2010 à 2014.

Fin octobre, il s'était illustré en publiant un article intitulé « Reconnaissance faciale : une solution en quête d'un problème ? ». Ce dernier faisait référence aux problèmes posés aux manifestants à Hong Kong, mais également à la population ouïghoure du Xinjiang, par les systèmes biométriques et de vidéosurveillance policiers de reconnaissance faciale.

Il y évoquait également le fait que « la France veut être le premier pays européen à utiliser cette technologie pour l'attribution d'une identité numérique » alors qu'« entre-temps, l'autorité suédoise de protection des données a [...] infligé une amende à une école pour avoir testé une technologie de reconnaissance faciale afin de suivre la présence de ses élèves ».

Alors que de plus en plus de villes américaines interdisent par ailleurs la reconnaissance faciale à des fins policières, et que Portland voudrait aussi l'interdire à des fins commerciales, la lecture de l'intégralité de sa tribune vaut le détour. Nous n'en avons pas moins tenté de la résumer, et de la traduire en français.

Fin novembre, l'agence des droits fondamentaux (FRA) de l'Union européenne rendait pour sa part publique son analyse des technologies de reconnaissance faciale, soulignant que « plusieurs États membres de l’UE envisagent ou prévoient d’utiliser cette technologie à des fins répressives ou l’utilisent déjà à titre expérimental ». Alors même que, du fait de sa nouveauté, l'expérience et les études d'impact détaillées manquent.

« Il n'y aura jamais assez de données pour éliminer les biais »

« Il n'y a pas de consensus dans la société sur l'éthique de la reconnaissance faciale, et les doutes grandissent quant à sa conformité avec la loi ainsi que sur sa durabilité éthique à long terme », souligne le nouveau CEPD. Pour autant, « le consentement devrait être explicite, libre, éclairé et spécifique », à ceci prêt qu'« il ne fait aucun doute qu'une personne ne peut pas se retirer (opt-out), et encore moins s'enrôler (opt-in), lorsqu'elle a besoin d'avoir accès à des espaces publics couverts par la surveillance de la reconnaissance faciale ».

Or, et « jusqu'à présent, le déploiement de cette technologie a été marqué par l'obscurité. En gros, nous ne savons pas comment les données sont utilisées par ceux qui les recueillent, qui y a accès et à qui elles sont envoyées, pendant combien de temps elles sont conservées, comment un profil est créé et qui est responsable à la fin du processus décisionnel automatisé. De plus, il est presque impossible de retracer l'origine des données d'entrée ; les systèmes de reconnaissance faciale sont alimentés par de nombreuses images recueillies par Internet et les médias sociaux sans notre permission. Par conséquent, n'importe qui pourrait être victime du témoignage froid d'un algorithme et être catégorisé (et plus que probablement discriminé) en conséquence ».

Il rappelle également que « la conformité de la technologie avec des principes tels que la minimisation des données et l'obligation de protection des données par défaut (by design) est fortement sujette à caution. La technologie de reconnaissance faciale n'a jamais été entièrement exacte, ce qui a de graves conséquences pour les personnes identifiées à tort ».

Or, le fait de vouloir améliorer la précision de la reconnaissance faciale « implique une logique qui conduit irrésistiblement à une collecte sans fin de données (sensibles) pour parfaire un algorithme finalement non perfectible. En fait, il n'y aura jamais assez de données pour éliminer les biais et le risque de faux positifs ou de faux négatifs ».

« Ce serait une erreur, cependant, de se concentrer uniquement sur les questions de protection de la vie privée », estime-t-il par ailleurs. « Il s'agit là d'une question éthique fondamentale pour une société démocratique », a fortiori parce que la reconnaissance faciale « a tendance à être testée sur les plus pauvres et les plus vulnérables de la société, les minorités ethniques, les migrants et les enfants. Combinée à d'autres informations accessibles au public et aux techniques de Big Data, elle pourrait évidemment paralyser la liberté d'expression et d'association individuelle ».

« Il semble que la reconnaissance faciale soit promue comme une solution à un problème qui n'existe pas », conclue-t-il. « C'est pourquoi un certain nombre de pays du monde entier ont décidé d'imposer un moratoire sur l'utilisation de cette technologie ».

Dès lors, « nous devons évaluer non seulement les mérites de la technologie en tant que telle, mais aussi son orientation probable si elle continue d'être déployée de plus en plus largement. La prochaine étape sera la pression pour adopter d'autres formes d'objectivation de l'être humain, la démarche, les émotions, les ondes cérébrales. Le moment est venu pour l'UE, alors qu'elle discute de l'éthique de l'IA et de la nécessité d'une réglementation, de déterminer si – si jamais  la technologie de reconnaissance faciale peut être autorisée dans une société démocratique. Si la réponse est oui, ce n'est qu'à ce moment-là que nous nous poserons la question de savoir comment mettre en place des mesures de protection et de responsabilisation ».

Pour une interdiction lors des manifestations

L'agence des droits fondamentaux (FRA) de l'Union européenne estime, tout comme le CEPD, que « malgré la précision croissante de ces technologies de reconnaissance, le risque d’erreur demeure réel, en particulier pour certains groupes minoritaires. En outre, les personnes dont les images sont enregistrées et traitées pourraient ne pas en être informées et, par conséquent, ne pas être en mesure de s’opposer à d’éventuelles utilisations abusives », et formule à ce titre un certain nombre de recommandations.

Le cadre juridique devrait ainsi être « clair et précis afin d'établir quand le traitement des images faciales est nécessaire et proportionné », ces deux critères constituant l'un des socles fondamentaux des droits informatiques et libertés.

Il convient par ailleurs de distinguer les traitements à des fins de vérification (qui comparent deux images afin d'authentifier un individu) de ceux aux fins d'identification (lorsque le visage sert d'identifiant/login) à mesure que, ne pouvant par définition pas changer de visage, le risque d’atteinte aux droits fondamentaux est particulièrement élevé, et « impose par conséquent un contrôle plus strict de la nécessité et de la proportionnalité ».

La reconnaissance faciale pose également « de multiples problèmes car elle peut faire craindre un fort déséquilibre de pouvoir entre l’État et l’individu », et peut avoir une « incidence sur le comportement ». Dès lors, « ces technologies ne devraient être utilisées que dans des cas exceptionnels, par exemple pour lutter contre le terrorisme ou retrouver des personnes disparues ou des victimes de la criminalité », et en aucun cas «  lors de manifestations » car elle pourrait entraîner « un effet paralysant [« chilling effect », en version originale, ndlr] et empêcher les personnes d'exercer leur liberté de réunion ou d'association », et ne serait donc « guère proportionnée [ni] nécessaire ».

L'agence rappelle que « les algorithmes ne donnent jamais un résultat définitif, mais uniquement des probabilités que deux visages soient ceux de la même personne », avec des risques d'erreur, de faux positifs et de faux négatifs associés. « Il est par conséquent nécessaire de limiter au maximum les risques de reconnaissance erronée de personnes. En outre, toute personne interpellée à la suite de l’utilisation d’une technologie de reconnaissance faciale doit être traitée avec dignité », et considérée comme présumée innocente jusqu'à plus amples informations.

En matière de marchés publics, elle estime par ailleurs que « les pouvoirs publics doivent incorporer des considérations relatives aux droits fondamentaux, telles que les exigences applicables à la protection des données ou à la non-discrimination, dans les spécifications techniques et les contrats », de sorte de minimiser le taux de reconnaissances faussées, mais également les biais liés au genre, à l'âge et à la couleur de peau.

Les autorités pourraient à ce titre conditionner le marché à l'implication d'experts ès-droits humains, informatiques et libertés de sorte de s'assurer que le respect des droits fondamentaux soit assuré par défaut, mais également « obtenir des fabricants toutes les informations nécessaires à la réalisation d’une évaluation d’impact sur les droits fondamentaux de l’application des technologies de reconnaissance faciale qu’ils visent à acquérir et à utiliser ». La FRA souligne à ce titre que « les secrets industriels ou des considérations de confidentialité ne sauraient entraver cet effort ».

Enfin, et parce que la reconnaissance faciale est un secteur émergent attirant un nombre exponentiel de chercheurs et marchands, « l'évolution rapide de cette technologie impose que celle-ci fasse l’objet d’un suivi attentif de la part d’organes de surveillance indépendants (qui) doivent disposer de compétences, de ressources et d’une expertise suffisantes ».


chargement
Chargement des commentaires...