Le développement rapide de nouveaux outils de captation et de nouvelles modalités d’exploitation de la vidéosurveillance / vidéoprotection soulève des enjeux importants pour les droits et les libertés des citoyens et pose la question de leur régulation.
Cet article fait ainsi partie d’une série de quatre articles visant à appréhender en détail les enjeux posés par les systèmes de vidéo « intelligents » et la reconnaissance faciale, et leur régulation :
- JO 2024 : premières expérimentations de vidéoprotection algorithmique autorisées
- Qu’est-ce que la reconnaissance faciale et comment s’articule-t-elle avec les systèmes de vidéo « intelligents » et l’intelligence artificielle ?
- Reconnaissance faciale : les enjeux et les risques d’une technologie en pleine accélération
En matière de reconnaissance faciale, la France et l’Union européenne ont construit au fil des textes législatifs un cadre juridique qui encadre partiellement ces outils et qui est amené à s’enrichir dans les prochaines années. Le point sur ces différents textes et leurs implications.
Le cadre juridique français et européen
De manière générale, les traitements biométriques, y compris la reconnaissance faciale, sont interdits sauf exceptions par les textes européens. Le Règlement Général sur la Protection des Données (RGPD) érige en principe, en son article 9, l’interdiction des traitements de données biométriques. De tels traitements ne peuvent être mis en œuvre que sur la base d’exceptions limitativement énumérées (consentement explicite des personnes, nécessité de protection de leurs intérêts vitaux, motifs d’intérêt public important, …) et en adoptant des mesures appropriées aux risques en cause (exigence de proportionnalité).
En France, la loi dite « Informatique et Libertés » (loi n°78-17 du 6 janvier 1978, mod. 1er juin 2019) renvoie aux exceptions du RGPD. Ce texte national prévoit, néanmoins, que certains traitements de données biométriques peuvent être autorisés par décret pris après avis motivé et publié de la Commission Nationale de l’Informatique et des Libertés (CNIL). Il s’agit notamment des traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes (articles 31-II et 32 la Loi Informatique et Libertés).
L’article 10 de la directive « police-justice » (directive (UE) 2016/680) prévoit, par ailleurs, que le traitement des données biométriques et génétiques est autorisé « uniquement en cas de nécessité absolue ». Pour la Cour de justice de l’Union européenne (décision C-205/21 du 26 janvier 2023), le terme de « nécessité absolue » requiert une appréciation particulièrement rigoureuse et doit s’entendre comme « une condition renforcée de nécessité du traitement de données ». Il doit ainsi répondre à une finalité « déterminée, explicite et légitime » et ne viser que les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard desdites finalités (cf. le principe de minimisation).
Plus précisément, les articles L242-4 et L243-3 du code de la sécurité intérieure interdisent expressément l’usage de dispositifs de reconnaissance faciale placés sur des drones et au sein de caméras embarquées dans des véhicules.
L’AI Act : un règlement européen dédié à l’intelligence artificielle
L’AI Act (ou RIA), établit des règles harmonisées en matière d’intelligence artificielle (IA), a été adopté le 21 mai 2024 et publié au journal officiel européen le 12 juillet 2024. Il entrera en application progressivement à partir du 2 août 2026 et jusqu’en 2027, bien que certaines dispositions seront applicables dès février 2025. Il apporte également des principes directifs (complémentaires au RGPD) visant à réguler l’usage des systèmes de reconnaissance faciale qui est un des domaines d’application de l’intelligence artificielle, et, notamment, une distinction entre les systèmes d’identification biométrique à distance « en temps réel » et « a posteriori », en son article 3 « Définitions ».
De façon générale, l’utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives est interdite par principe.
À la manière du RGPD, l’AI Act admet des exceptions à ce principe pour justifier le recours à de tels outils :
- la recherche ciblée et spécifique de victimes d’enlèvement, de la traite ou de l’exploitation sexuelle d’êtres humains, ainsi que la recherche de personnes disparues ;
- la prévention d’une menace spécifique, substantielle et imminente pour la vie ou la sécurité physique d’individus, ou d’une menace réelle et actuelle ou réelle et prévisible d’attaque terroriste ;
- la localisation ou l’identification d’une personne soupçonnée d’avoir commis une infraction pénale suffisamment grave (voir l’annexe II du texte, par exemple : terrorisme, trafic de stupéfiant, homicide volontaire).
L’AI Act renvoie toutefois aux États membres la responsabilité de préciser les cas d’autorisation du recours à la reconnaissance faciale en temps réel dans le cadre de ces exceptions, qui seront subordonnés à une autorisation préalable octroyée par une autorité judiciaire ou administrative indépendante. Il reviendra donc à chaque Etat membre d’adopter des textes précisant la possibilité, par exception, de recourir à des systèmes d’identification biométrique à distance à des fins répressives.
Le texte européen classe également les systèmes d’identification biométrique à distance, les systèmes d’IA destinés à être utilisés à des fins de catégorisation biométrique et les systèmes d’IA destinés à être utilisés pour la reconnaissance des émotions comme des systèmes d’IA à haut risque ; mais également, plus largement, tous les systèmes d’IA destinés à être utilisés par les autorités répressives pour le profilage de personnes physiques, à des fins d’évaluation du risque qu’une personne commette une infraction, qu’une personne devienne une victime, etc. (voir annexe III).
La classification de ‘systèmes d’IA à haut risque’ implique la mise en œuvre d’un système de gestion des risques nécessitant un examen et une mise à jour périodique.
Ces systèmes doivent viser à :
- identifier les risques connus et raisonnablement prévisibles ;
- estimer et évaluer les risques identifiés ; et
- adopter des mesures appropriées et ciblées de gestion des risques conçues pour répondre aux risques identifiés.
Cette classification implique également la réalisation d’essais en conditions réelles et impose des exigences en termes de qualité des jeux de données utilisés. Elle requiert également la rédaction d’une documentation technique et la mise en place d’une journalisation / traçabilité des opérations réalisées par le biais de ce système. Enfin, ces systèmes doivent permettre un contrôle effectif par des personnes physiques pendant leur période d’utilisation.
Proposition de loi relative à la reconnaissance biométrique dans l’espace public
Les textes en vigueur apportent bien des lignes directrices en matière d’usages interdits ou autorisés. Ils mériteraient toutefois d’être complétés, notamment en droit interne afin de clarifier les exceptions aux principes d’interdiction, offrant explicitement aux opérateurs des « lignes rouges » ne devant être franchies. A cet effet, on relèvera que la CNIL appelle depuis 2018 à un débat démocratique sur les nouveaux usages des caméras vidéo et à un réexamen d’ensemble des dispositions applicables en droit français afin d’apporter une réponse appropriée à l’ensemble des techniques et usages nouveaux mentionnés ci-dessus.
Un rapport du Sénat publié le 10 mai 2022 préconise également un encadrement précis de l’utilisation de la reconnaissance biométrique visant à empêcher les dérives vers une société de surveillance. Les rapporteurs considèrent qu’il est indispensable de fixer dans la loi quatre interdictions indistinctement applicables aux acteurs publics et privés :
- Interdiction de la notation sociale ;
- Interdiction de la catégorisation d’individus en fonction de l’origine ethnique, du sexe ou de l’orientation sexuelle ;
- Interdiction de l’analyse d’émotions ;
- Interdiction de la surveillance biométrique à distance en temps réel dans l’espace public (sauf exceptions limitées au profit de forces de sécurité, en particulier lors de manifestations sur la voie publique ou aux abords des lieux de culte).
Dans ce rapport, le Sénat recommande, notamment, l’adoption d’une loi d’expérimentation (c’est-à-dire une loi soumise à un calendrier d’évaluation) pour déterminer les usages de la reconnaissance biométrique et fixer des « lignes rouges » à ne pas franchir. Une Proposition de loi relative à la reconnaissance biométrique dans l’espace public a été adoptée en première lecture par le Sénat le 12 juin 2023 et est, donc, toujours en cours d’examen.
Cette proposition de loi envisage de limiter juridiquement l’utilisation des technologies de reconnaissance faciale selon les conclusions du rapport d’information adopté par la commission des lois en mai 2022. Elle s’inscrit dans un objectif général de régulation et de cadrage de l’utilisation de la reconnaissance biométrique par les pouvoirs publics.
Le RGPD et l’IA Act se révèlent une source précieuse d’identification de la règlementation applicable à ces nouveaux usages vidéo “algorithmiques”. La proposition de loi pendante devant le Parlement français, si elle est adoptée, viendra utilement préciser le cadre applicable aux cas d’utilisation par les pouvoirs publics (notamment la vidéo protection d’évènements à grande échelle, dans les lieux publics, etc.), mais également par les opérateurs privés. Le rapport du Sénat visant en effet les opérateurs publics comme privés, les acteurs commerciaux bénéficieraient également d’un cadre clair relatif aux technologies et cas d’usages variés résultant de ces systèmes vidéo « intelligents », qu’ils impliquent ou non des traitements de données biométriques.