Reconnaissance faciale en Chine, à Nice, dans les G.A.F.A, dans les applications, dans les aéroports, dans les lycées : cette technologie ne cesse de se propager... et de défier nos droits et libertés.

La reconnaissance faciale est un système automatisé qui permet d’identifier et/ou d’authentifier une personne grâce à son image. Elle peut être utilisée pour accéder à un lieu, à un ordinateur, à un mobile, identifier un délinquant, rechercher des personnes disparues etc. Elle peut reposer sur le consentement de la personne, comme être effectuée à son insu.

Face à cette technologie multifacette, le droit tente de l’appréhender.

Un traitement de données personnelles.

La reconnaissance faciale est tout d’abord un traitement automatisé de l’image d’une personne, laquelle constitue une donnée personnelle. A ce titre, la personne qui souhaite mettre en place un système de reconnaissance faciale devra respecter la réglementation relative au traitement des données personnelles :
 La loi du 6 janvier 1978 « Informatique et liberté » modifiée par la loi du 20 juin 2018, puis par l’Ordonnance du 12 décembre 2018 ;
 Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD) ;
 La Directive (UE) 2016/680 du Parlement européen et du conseil du 27 avril 2016 relative au traitement des données en matière pénale (« Police Justice »).

Données biométriques.

La reconnaissance faciale a plus précisément pour objet des données que l’on qualifie de biométriques.

Les « données biométriques » sont définies par l’article 4 du RGPD comme les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.

A ce titre, elles sont considérées comme sensibles, tout comme notamment les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, et les données de santé.

Un principe d’interdiction.

La réglementation sur le traitement des données sensibles pose un principe d’interdiction (art.9.1 du RGPD). Elle précise que sont interdits les traitements de données biométriques aux fins d’identifier une personne physique de manière unique.
La reconnaissance faciale étant un traitement de données biométriques permettant d’identifier une personne physique de manière unique, elle est donc par principe interdite.

Les exceptions.

La réglementation prévoit néanmoins plusieurs cas dans lesquels ce traitement peut être effectué, et notamment :
 Lorsque la personne concernée a donné son consentement ;
 Lorsque le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
 Lorsque le traitement est nécessaire pour des motifs d’intérêt public important (art.9.2 du RGPD)

La reconnaissance faciale intégrée dans les systèmes (smartphone, ordinateur etc…).

La reconnaissance faciale peut également échapper au principe d’interdiction, lorsqu’elle est intégrée dans un système. Elle peut permettre par exemple de déverrouiller l’accès à un système d’information tel qu’un smartphone, ou un ordinateur.

Dans ce cas, la CNIL distingue selon que le dispositif biométrique est intégré dans le système, ou qu’il fonctionne depuis des serveurs distants. Dans le premier cas, le dispositif peut bénéficier de l’exemption dite « domestique », et ne pas être soumis à la réglementation sur le traitement des données personnelles (article 2 2) c du RGPD). Dans le second cas, le droit est applicable, et la CNIL recommande d’effectuer une analyse d’impact.

La reconnaissance faciale sur les lieux de travail.

Les employeurs privés ou publics peuvent mettre en œuvre des dispositifs de contrôle d’accès biométriques à condition d’être conformes à un règlement type élaboré par la CNIL.

Par délibération du 10 janvier 2019, la CNIL a adopté un règlement type relatif à la mise en œuvre d’un dispositif ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail.

Outre la réglementation applicable susvisée, les employeurs souhaitant mettre en place de tels dispositifs devront par conséquent respecter ce règlement type.

La reconnaissance faciale pour le compte de l’Etat.

La reconnaissance faciale pour le compte de l’Etat peut être justifiée par l’intérêt public (article 6 III de l’Ordonnance de 2018). Elle doit être autorisée par décret en Conseil d’Etat après avis de la CNIL, lorsqu’elle :
 Intéresse la sûreté de l’Etat, la défense ou la sécurité publique ;
 A pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté. (Article 31 II de l’Ordonnance) ;
 Est nécessaire à l’authentification ou au contrôle de l’identité des personnes, et que l’Etat agit dans l’exercice de ses prérogatives de puissance publique. (Article 32 de l’Ordonnance)

La reconnaissance faciale en matière pénale.

La reconnaissance faciale en matière pénale est plus précisément réglementée par la Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 laquelle a été transposée dans la loi de 1978 par la loi du 20 juin 2018, puis par l’ordonnance du 12 décembre 2018. Cette réglementation s’applique en effet au traitement automatisé de données :
 À des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
 Par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l’exercice de l’autorité publique et des prérogatives de puissance publique

Ce type de traitement n’est licite qu’en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée.
Il ne peut être mis en œuvre que dans les trois cas suivants :
 Être autorisé par une disposition législative ou réglementaire,
 Viser à protéger les intérêts vitaux d’une personne physique, ou
 Porter sur des données manifestement rendues publiques par la personne concernée.

Analyse d’impact.

Selon la réglementation, le responsable de traitement doit effectuer une analyse d’impact lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques. Les données biométriques étant sensibles, une analyse d’impact est requise lorsqu’elle a pour finalité d’identifier une personne physique de manière unique parmi lesquelles figurent des personnes dites « vulnérables » : élèves, personnes âgées, patients, employés, demandeurs d’asile, etc...

Lorsque le traitement est effectué pour le compte de l’Etat, et à des fins pénales, l’analyse d’impact doit être adressée à la CNIL, avec demande d’avis.

Vidéosurveillance.

Le système de reconnaissance faciale peut fonctionner, ou être couplé, avec un système de vidéosurveillance dans les lieux privés, et de vidéoprotection dans les lieux publics.

Dans ce cas, outre le respect de la réglementation relative aux données personnelles, le responsable devra respecter les règles relatives à ce type de dispositif. Dans les lieux privés, il devra notamment veiller au respect de la vie privée (article 9 du code civil, et 226-1 du code pénal). Dans les lieux publics, le système de vidéo-protection doit faire l’objet d’une autorisation préfectorale (article L. 251-1 et s. du Code de la sécurité intérieure).

Proposition de loi.

Le 12 novembre 2018, le sénateur M. Roger Karoutchi a déposé une proposition de loi relative à la reconnaissance faciale dans les enquêtes terroristes. Ce projet a pour objet de permettre le couplage du fichier automatisé des empreintes digitales (FAED) avec celui des "fichés S", le tout relié à un système de vidéoprotection.

Si certains voient dans ce projet un moyen supplémentaire de lutte contre le terrorisme, d’autres s’insurgent contre l’atteinte à nos libertés, dont celle d’aller et venir anonymement.

Une réglementation existe par conséquent sur la reconnaissance faciale, et toute la question est désormais de savoir comment la faire évoluer, tout en respectant nos droits et libertés fondamentaux.

Arnaud DIMEGLIO, Avocat spécialisé en droit des nouvelles technologies, de l'informatique et de la communication.