Données biométriques : les recommandations du Conseil de l’Europe sur la reconnaissance faciale
Le 28 janvier 2021, le Conseil de l’Europe a publié des lignes directrices sur la reconnaissance faciale à destination des gouvernements, des développeurs, des fabricants, des prestataires de services et des « entités utilisatrices ». Elles ont été élaborées par le Comité consultatif de la « Convention 108+ » pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel qui rassemble des experts représentant les cinquante-cinq États parties à la Convention et vingt États observateurs. Premier instrument juridique international contraignant dans le domaine de la protection des données à caractère personnel, ce texte a inspiré la directive 95/46/CE (v. consid. 11) et le règlement général sur la protection des données 2016/679/UE du 27 avril 2016 (RGPD).
Ces lignes directrices sont intéressantes en ce qu’elles sont particulièrement détaillées et éclairent sur la mise en œuvre de principes repris par le droit de l’Union européenne. Elles rejoignent celles de la CNIL (CNIL, Reconnaissance faciale : pour un débat à la hauteur des enjeux, 15 nov. 2019 ; Reconnaissance faciale dans les aéroports : quels enjeux et quels grands principes à respecter ?, 9 oct. 2020). À défaut d’être contraignantes, elles ont le mérite de relancer le débat sur les applications multiples de la reconnaissance faciale et de souligner la complexité du sujet (v. C. Rotily et L. Archambault, Données biométriques issues d’expérimentations de reconnaissance faciale sur le territoire français : un défi à l’aune du droit 2.0 ?, Dalloz IP/IT 2020. 54 ; Reconnaissance faciale et identité numérique : interview du député Jean-Michel Mis, ibid. 2020. 204 ; C. Lequesne, La reconnaissance faciale dans l’espace public : bilan et perspectives européennes, ibid. 2020. 332 ; CNIL, 12 janv. 2021, délib. n° SAN-2021-003, Dalloz actualité, 20 janv. 2021, obs. C. Crichton ; CE 22 déc. 2020, req. n° 446155, Dalloz actualité, 15 janv. 2021, obs. P. Dupont et G. Poissonnier).
Un cadre juridique clair
La reconnaissance faciale est un traitement de données biométriques. Pour être autorisé au sens de la Convention 108+, il doit reposer sur une base juridique appropriée et des garanties complémentaires doivent être prévues par la loi (art. 6). On rappellera que l’article 9 du RGPD interdit le traitement de telles données sous réserve d’une dizaine d’exceptions, notamment l’obtention du consentement de la personne concernée.
Le Conseil de l’Europe préconise de légiférer par catégorie d’usages. Il précise que tout cadre juridique doit comporter l’explication détaillée de l’utilisation envisagée et de la finalité poursuivie, la fiabilité minimale et la précision de l’algorithme employé, la durée de conservation des photos utilisées, la possibilité de contrôler ces critères, la traçabilité du processus et des garanties. Le législateur doit en outre indiquer les différentes phases de l’utilisation des technologies de reconnaissance faciale (y compris celles de création des bases de données et de déploiement), les secteurs dans lesquels ces technologies sont utilisées et le caractère intrusif de certaines d’entre elles, « tout en fournissant des indications claires sur la licéité » (p. 4).
Les lignes directrices insistent également sur l’obligation de consulter systématiquement, en amont de tous projets, les autorités de contrôle et encouragent le recours aux mécanismes de certifications.
L’interdiction de certaines utilisations
Le recours à la reconnaissance faciale dans le seul but de déterminer la couleur de la peau, les convictions religieuses ou autres convictions, le sexe, l’origine raciale ou ethnique, l’âge, l’état de santé, ou la condition sociale d’une personne doit être interdit. Cela serait toutefois tolérable si des « garanties appropriées » sont prévues par la loi pour éviter toute discrimination.
Est également interdite, selon le Conseil de l’Europe, l’utilisation de cette technologie à des fins de reconnaissance des émotions (les « affects ») pour détecter les traits de personnalité, les sentiments intérieurs, la santé mentale ou l’engagement des salariés.
De même, les entreprises privées ne doivent pas être autorisées à utiliser cette technique dans des environnements non contrôlés, librement accessibles, tels que les centres commerciaux, à des fins de marketing ou de sécurité privée (p. 7).
Le Conseil condamne la récupération d’images téléchargées à partir d’internet, notamment sur les médias sociaux et les sites de gestions de photos en ligne ou obtenues via des caméras de vidéosurveillance même si elles ont été rendues disponibles par les personnes concernées (p. 5).
La reconnaissance faciale à la volée par les forces de l’ordre n’est acceptable que si cela est strictement nécessaire et proportionné pour empêcher des menaces imminentes et substantielles pesant sur la sécurité publique et qui sont documentées à l’avance (p. 11).
Le consentement
Pour être licite, un « traitement de données ne peut être effectué que sur la base du consentement libre, spécifique, éclairé et non équivoque de la personne concernée ou en vertu d’autres fondements légitimes prévus par la loi » (Convention 108+, art. 5, 2 ; v. égal. RGPD, art. 9, 2, a, et 4, 11).
Le Conseil estime que le consentement n’est jamais le fondement juridique approprié « pour la reconnaissance faciale effectuée par les autorités publiques compte tenu du déséquilibre des pouvoirs entre les personnes concernées et ces autorités ».
S’agissant du secteur privé, le consentement peut être une base juridique valable mais uniquement pour une utilisation de la technologie dans des « environnements contrôlés à des fins de vérification, d’authentification ou de catégorisation ». En outre, puisqu’il doit être donné librement, les personnes concernées doivent disposer de solutions alternatives simples, tels par exemple un mot de passe ou un badge d’identification. Dans tous les cas, le fait de traverser un espace dans lequel un système de reconnaissance facial est présent ne peut pas être considéré comme l’expression d’un consentement explicite (p. 6-7).
Les obligations des développeurs, des fabricants, des fournisseurs de services et des « entités utilisatrices »
Le document développe des « orientations » à l’intention de différents acteurs. Pour les développeurs, les fabricants et les fournisseurs de service, l’accent est mis notamment sur la nécessité de veiller à la qualité des données et des algorithmes, d’assurer la fiabilité des outils utilisés et la sécurité des données, de sensibiliser les utilisateurs. Pour les « entités utilisatrices », à savoir les responsables de traitement et les sous-traitants (p. 10), il est rappelé qu’elles sont soumises au respect des principes et dispositions applicables en matière de protection des données (légitimité du traitement, transparence, loyauté, exactitude, minimisation, durée de conservation limitée, sécurité des données, analyse d’impact, etc.). Enfin, les droits des personnes doivent être garantis. Par exemple, en cas de fausses concordances, elles doivent pouvoir demander une rectification (p. 15-16).