Reconnaissance faciale : les contrôleurs européens veulent « sauver la face »

Reconnaissance faciale : les contrôleurs européens veulent « sauver la face »

Biométricards

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Droit

06/12/2019 9 minutes
11

Reconnaissance faciale : les contrôleurs européens veulent « sauver la face »

Le contrôleur européen de la protection des données (CEPD) évoque « une solution en quête d'un problème », voire « une solution à un problème qui n'existe pas ». L'agence des droits fondamentaux (FRA) de l'Union européenne, de son côté, voudrait l'interdire lors des manifestations, de sorte d'éviter tout « effet paralysant » (« chilling effect » en anglais) .

Le Conseil et le Parlement européen viennent de confirmer la nomination de Wojciech Wiewiórowski au poste de contrôleur européen de la protection des données (CEPD) pour un mandat de cinq ans, suite au décès de Giovanni Buttarelli, son prédécesseur. Contrôleur adjoint du CEPD depuis 2014, ce Polonais, docteur en droit constitutionnel, avait été inspecteur général pour la protection des données à caractère personnel au sein de l'autorité polonaise chargée de la protection des données (GIODO) de 2010 à 2014.

Fin octobre, il s'était illustré en publiant un article intitulé « Reconnaissance faciale : une solution en quête d'un problème ? ». Ce dernier faisait référence aux problèmes posés aux manifestants à Hong Kong, mais également à la population ouïghoure du Xinjiang, par les systèmes biométriques et de vidéosurveillance policiers de reconnaissance faciale.

Il y évoquait également le fait que « la France veut être le premier pays européen à utiliser cette technologie pour l'attribution d'une identité numérique » alors qu'« entre-temps, l'autorité suédoise de protection des données a [...] infligé une amende à une école pour avoir testé une technologie de reconnaissance faciale afin de suivre la présence de ses élèves ».

Alors que de plus en plus de villes américaines interdisent par ailleurs la reconnaissance faciale à des fins policières, et que Portland voudrait aussi l'interdire à des fins commerciales, la lecture de l'intégralité de sa tribune vaut le détour. Nous n'en avons pas moins tenté de la résumer, et de la traduire en français.

Fin novembre, l'agence des droits fondamentaux (FRA) de l'Union européenne rendait pour sa part publique son analyse des technologies de reconnaissance faciale, soulignant que « plusieurs États membres de l’UE envisagent ou prévoient d’utiliser cette technologie à des fins répressives ou l’utilisent déjà à titre expérimental ». Alors même que, du fait de sa nouveauté, l'expérience et les études d'impact détaillées manquent.

« Il n'y aura jamais assez de données pour éliminer les biais »

« Il n'y a pas de consensus dans la société sur l'éthique de la reconnaissance faciale, et les doutes grandissent quant à sa conformité avec la loi ainsi que sur sa durabilité éthique à long terme », souligne le nouveau CEPD. Pour autant, « le consentement devrait être explicite, libre, éclairé et spécifique », à ceci prêt qu'« il ne fait aucun doute qu'une personne ne peut pas se retirer (opt-out), et encore moins s'enrôler (opt-in), lorsqu'elle a besoin d'avoir accès à des espaces publics couverts par la surveillance de la reconnaissance faciale ».

Or, et « jusqu'à présent, le déploiement de cette technologie a été marqué par l'obscurité. En gros, nous ne savons pas comment les données sont utilisées par ceux qui les recueillent, qui y a accès et à qui elles sont envoyées, pendant combien de temps elles sont conservées, comment un profil est créé et qui est responsable à la fin du processus décisionnel automatisé. De plus, il est presque impossible de retracer l'origine des données d'entrée ; les systèmes de reconnaissance faciale sont alimentés par de nombreuses images recueillies par Internet et les médias sociaux sans notre permission. Par conséquent, n'importe qui pourrait être victime du témoignage froid d'un algorithme et être catégorisé (et plus que probablement discriminé) en conséquence ».

Il rappelle également que « la conformité de la technologie avec des principes tels que la minimisation des données et l'obligation de protection des données par défaut (by design) est fortement sujette à caution. La technologie de reconnaissance faciale n'a jamais été entièrement exacte, ce qui a de graves conséquences pour les personnes identifiées à tort ».

Or, le fait de vouloir améliorer la précision de la reconnaissance faciale « implique une logique qui conduit irrésistiblement à une collecte sans fin de données (sensibles) pour parfaire un algorithme finalement non perfectible. En fait, il n'y aura jamais assez de données pour éliminer les biais et le risque de faux positifs ou de faux négatifs ».

« Ce serait une erreur, cependant, de se concentrer uniquement sur les questions de protection de la vie privée », estime-t-il par ailleurs. « Il s'agit là d'une question éthique fondamentale pour une société démocratique », a fortiori parce que la reconnaissance faciale « a tendance à être testée sur les plus pauvres et les plus vulnérables de la société, les minorités ethniques, les migrants et les enfants. Combinée à d'autres informations accessibles au public et aux techniques de Big Data, elle pourrait évidemment paralyser la liberté d'expression et d'association individuelle ».

« Il semble que la reconnaissance faciale soit promue comme une solution à un problème qui n'existe pas », conclue-t-il. « C'est pourquoi un certain nombre de pays du monde entier ont décidé d'imposer un moratoire sur l'utilisation de cette technologie ».

Dès lors, « nous devons évaluer non seulement les mérites de la technologie en tant que telle, mais aussi son orientation probable si elle continue d'être déployée de plus en plus largement. La prochaine étape sera la pression pour adopter d'autres formes d'objectivation de l'être humain, la démarche, les émotions, les ondes cérébrales. Le moment est venu pour l'UE, alors qu'elle discute de l'éthique de l'IA et de la nécessité d'une réglementation, de déterminer si – si jamais  la technologie de reconnaissance faciale peut être autorisée dans une société démocratique. Si la réponse est oui, ce n'est qu'à ce moment-là que nous nous poserons la question de savoir comment mettre en place des mesures de protection et de responsabilisation ».

Pour une interdiction lors des manifestations

L'agence des droits fondamentaux (FRA) de l'Union européenne estime, tout comme le CEPD, que « malgré la précision croissante de ces technologies de reconnaissance, le risque d’erreur demeure réel, en particulier pour certains groupes minoritaires. En outre, les personnes dont les images sont enregistrées et traitées pourraient ne pas en être informées et, par conséquent, ne pas être en mesure de s’opposer à d’éventuelles utilisations abusives », et formule à ce titre un certain nombre de recommandations.

Le cadre juridique devrait ainsi être « clair et précis afin d'établir quand le traitement des images faciales est nécessaire et proportionné », ces deux critères constituant l'un des socles fondamentaux des droits informatiques et libertés.

Il convient par ailleurs de distinguer les traitements à des fins de vérification (qui comparent deux images afin d'authentifier un individu) de ceux aux fins d'identification (lorsque le visage sert d'identifiant/login) à mesure que, ne pouvant par définition pas changer de visage, le risque d’atteinte aux droits fondamentaux est particulièrement élevé, et « impose par conséquent un contrôle plus strict de la nécessité et de la proportionnalité ».

La reconnaissance faciale pose également « de multiples problèmes car elle peut faire craindre un fort déséquilibre de pouvoir entre l’État et l’individu », et peut avoir une « incidence sur le comportement ». Dès lors, « ces technologies ne devraient être utilisées que dans des cas exceptionnels, par exemple pour lutter contre le terrorisme ou retrouver des personnes disparues ou des victimes de la criminalité », et en aucun cas «  lors de manifestations » car elle pourrait entraîner « un effet paralysant [« chilling effect », en version originale, ndlr] et empêcher les personnes d'exercer leur liberté de réunion ou d'association », et ne serait donc « guère proportionnée [ni] nécessaire ».

L'agence rappelle que « les algorithmes ne donnent jamais un résultat définitif, mais uniquement des probabilités que deux visages soient ceux de la même personne », avec des risques d'erreur, de faux positifs et de faux négatifs associés. « Il est par conséquent nécessaire de limiter au maximum les risques de reconnaissance erronée de personnes. En outre, toute personne interpellée à la suite de l’utilisation d’une technologie de reconnaissance faciale doit être traitée avec dignité », et considérée comme présumée innocente jusqu'à plus amples informations.

En matière de marchés publics, elle estime par ailleurs que « les pouvoirs publics doivent incorporer des considérations relatives aux droits fondamentaux, telles que les exigences applicables à la protection des données ou à la non-discrimination, dans les spécifications techniques et les contrats », de sorte de minimiser le taux de reconnaissances faussées, mais également les biais liés au genre, à l'âge et à la couleur de peau.

Les autorités pourraient à ce titre conditionner le marché à l'implication d'experts ès-droits humains, informatiques et libertés de sorte de s'assurer que le respect des droits fondamentaux soit assuré par défaut, mais également « obtenir des fabricants toutes les informations nécessaires à la réalisation d’une évaluation d’impact sur les droits fondamentaux de l’application des technologies de reconnaissance faciale qu’ils visent à acquérir et à utiliser ». La FRA souligne à ce titre que « les secrets industriels ou des considérations de confidentialité ne sauraient entraver cet effort ».

Enfin, et parce que la reconnaissance faciale est un secteur émergent attirant un nombre exponentiel de chercheurs et marchands, « l'évolution rapide de cette technologie impose que celle-ci fasse l’objet d’un suivi attentif de la part d’organes de surveillance indépendants (qui) doivent disposer de compétences, de ressources et d’une expertise suffisantes ».

11

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

« Il n'y aura jamais assez de données pour éliminer les biais »

Pour une interdiction lors des manifestations

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (11)


Il y’a quand même un curieux délire autour de ces technologies… Elles ne sont même pas prête qu’on veut déjà les utiliser.



A quel besoin si pressé répondent elles? Qui orchestre ce délire qui veut scanner des enfants a l’entré d’une école ?


Je suppose que ça s’appelle l’innovation, on a des gars qui sont payés pour ça dans ma boite… ce qui donne souvent de “super idées”, vues dans des films, à la Silicon Valley, ou la nuit dans leur sommeil&nbsp;<img data-src=" />&nbsp;



edit : ajout de guillemets, j’ironise, s’il faut le préciser


&nbsp;Avec une bonne reconnaissance faciale on aurait éviter des problèmes à Guy Joao … ou pas <img data-src=" />


On est loin d’une techno pas prête. Je met en place des technos de ce genre (Deep learning) quotidiennement. Il y a même des technos robustes à la pose de la personnes maintenant.

C’est important que ça soit clair. Surtout quand on voit les initiatives à l’arrache comme pour les écoles à Nice.


Une belle carte à regarder sur l’emprise des chinois dans ce domaine :https://www.ft.com/content/c3555a3c-0d3e-11ea-b2d6-9bf4d1957a67








Nerg34 a écrit :



Il y’a quand même un curieux délire autour de ces technologies… Elles ne sont même pas prête qu’on veut déjà les utiliser.





Bien sûr que si elle sont prêtes, et c’est même inquiétant de voir que les dernières versions vous reconnaissent même à demi-masqué. Et au sujet de l’utilisation à l’entrée d’une école, le problème est justement là : est-ce que ça a vraiment une utilité ?



En biométrie, quelle qu’elle soit, il y a toujours une marge d’erreur irréductible, car un être humain évolue, même au niveau de l’ADN qui s’abîme avec le temps. Donc, en gros, si on veut qu’un système biométrique marche, il faut qu’il intègre intrinsèquement une marge d’erreur (car sinon, en pratique, il ne reconnaîtra jamais personne car ce qu’on lui présentera sera toujours légèrement différent du modèle que le système connaîtra).



Pour ce qui est des biais, j’ai étudié avec des éditeurs des solutions de biométrie faciale, et il se trouve que la qualité de détection est variable selon les ethnies ! Donc en plus des biais intrinsèques au systèmes, à ceux qu’on va rentrer lors de l’utilisation, il se trouve que nous ne sommes même pas tous égaux face à la biométrie faciale.



De quoi réfléchir…



<img data-src=" />



Ça marche bien en chine, pourquoi pas en france ? Acheter un nouveau smartphone ou souscrire un nouvel abonnement mobile en Chine impose désormais de la reconnaissance faciale.


Merci de ce résumé/traduction <img data-src=" />



Quel est le pouvoir de ce CEPD exactement ? C’est consultatif ? Il pond des rapports ? Ou bien il a un pouvoir de décision/sanction dans l’UE ?




« a tendance à être testée sur les plus pauvres et les plus vulnérables de la société, les minorités ethniques, les migrants et les enfants. Combinée à d’autres informations accessibles au public et aux techniques de Big Data, elle pourrait évidemment paralyser la liberté d’expression et d’association individuelle ».





La collecte de masse interdite mais autorisée quand même pour les besoins du privé par “exception pour sécurité” (RGPD) on en parle ou le bien le dindon mérite la farce ???