Le Conseil de l'Europe s'inquiète des dérives de la reconnaissance faciale et fixe des règles

Le Conseil de l'Europe, qui regroupe 47 pays européens dans un objectif de respect de la démocratie et des droits de l'Homme, vient de publier des lignes directrices sur l'utilisation de la reconnaissance faciale.

Ces règles s'adressent aux gouvernements, aux développeurs, aux fabricants, aux prestataires de services et "entités utilisatrices", précise le texte. Ainsi, ils doivent garantir que la reconnaissance faciale ne nuise pas à "la dignité humaine, aux droits de l'Homme et aux libertés fondamentales".

Une base juridique appropriée
A visée générale, ces lignes directives s'adressent aussi bien au secteur privé que public et s'inscrivent dans la Convention n°108, le premier instrument international juridique contraignant dans le domaine de la protection des données signé en 1981. Comme le rappelle le document, en vertu de l'article 6 de la Convention 108, le recours à la reconnaissance faciale n'est autorisé que si elle repose sur "une base juridique appropriée" et si des garanties sont prévues dans la loi.

Dans tous les cas, le cadre juridique doit prévoir une explication détaillée de l'utilisation spécifique et de la finalité poursuivie, une fiabilité minimale et la précision de l'algorithme employé ainsi que la durée de conservation des photos utilisées. Il doit en outre prévoir la possibilité de contrôler ces critères, la traçabilité du processus et des garanties.

Interdire la reconnaissance faciale basée sur la couleur de peau
Mais dans certains, ce cadre juridique ne suffira pas. Ainsi, l'utilisation de la reconnaissance faciale dans le but de déterminer la couleur de peau, les convictions religieuses, le sexe, l'origine ethnique ou celles pour "prétendument" détecter les traits de personnalité doit être interdite. "Lier la reconnaissance de l'affect, par exemple au recrutement de personnel, à l'accès à l'assurance, à l'éducation" peut présenter des risques "très préoccupants" et doit être proscrit, tranche le Conseil de l'Europe.

Lorsque la reconnaissance faciale est utilisée par les autorités publiques, la base légale doit être le consentement compte tenu du déséquilibre des pouvoirs entre les administrés et ces autorités. Dans la même logique, c'est le consentement qui doit prévaloir lorsque la reconnaissance faciale est effectuée par des entités privées qui accomplissent "des tâches similaires" à celles des autorités publiques, indique le texte.

Un consentement libre et explicite
Concernant le secteur privé, le recours à cette technologie doit reposer sur "le consentement explicite, spécifique, libre et éclairé" et ne peut avoir lieu que dans "des environnements contrôlés à des fins de vérification, d'authentification ou de catégorisation". Pour que ces conditions soient remplies, il faut que les personnes concernées se voient proposer des alternatives à la reconnaissance faciale, comme l'utilisation d'un mot de passe ou d'un badge. Précision importante, le fait de "traverser un environnement où les technologies de reconnaissance faciale sont utilisées" n'est pas considéré comme un consentement explicite.

"Les données de reconnaissance faciale" doivent être exactes, ajoute le Conseil. Par conséquent, les développeurs et les fabricants de technologies doivent éviter "les erreurs d'étiquetage" en testant suffisamment leurs systèmes et en éliminant toutes disparités dans la précision afin d'éviter toute discrimination involontaire. Ainsi, les systèmes d'apprentissage automatique doivent être développés à partir d'ensembles de donnés basés sur des photos d'hommes et de femmes "suffisamment divers". En cas de défaillance du système, si les caractéristiques physiques ne correspondent pas aux normes techniques, des procédures de retour en arrière doivent être prévues.

De plus, les entreprises qui développent et vendent des technologies de reconnaissance faciale doivent adopter des mesures spécifiques pour garantir la conformité des traitements avec les principes de protection de des données. Ainsi, elles doivent intégrer cette protection dans la conception et l'architecture des produits et des services de reconnaissance faciale, offrir un certain niveau de flexibilité dans la conception de ces technologies et mettre en oeuvre un processus de révision interne destiné à atténuer l'impact potentiel sur les droits fondamentaux.

mettre en place Un mécanisme de labellisation
Par ailleurs, le Conseil de l'Europe encourage la mise en place d'un mécanisme de certification pour renforcer la confiance des personnes dans cette technologie. Elle pourrait être mise en œuvre selon "le domaine d'application" de l'IA : un type pour catégoriser les structures et un autre pour catégoriser les algorithmes, explique l'institution européenne. Elle préconise également l'instauration d'actions "accessibles et éducatives" pour que les personnes concernées puissent comprendre ce qu'est la reconnaissance faciale et comment leurs données biométriques sont réquisitionnées pour sa fonctionnement.

La France, en tant que membre du Conseil de l'Europe depuis 1949, est donc soumise à l'ensemble de ces règles. Cependant, l'instauration d'un cadre clair autour de la reconnaissance faciale est loin d'être acquise. Le secrétaire d'Etat au Numérique Cédric O avait annoncé en décembre 2019 l'intention du gouvernement d'expérimenter la reconnaissance faciale sur les images de télésurveillance sous la supervision d'un consortium d'experts. Plus d'un an après cette déclaration, aucune mesure n'a encore été mise en place alors que la Commission nationale de l'informatique et des libertés (Cnil) envisage déjà d'autoriser la reconnaissance faciale pour les Jeux Olympiques 2024.

Sélectionné pour vous

Israël veut s'imposer comme une plaque tournante de la "conduite intelligente"

Nvidia dévoile le DGX GH200, un nouveau supercalculateur dédiée à l'IA

Comment (et pourquoi) Greehill numérise les arbres en ville