Digital Society Forum Digital Society Forum
Entretien 29/07/2020

QUAND L'IA FAIT SA LOI : Reconnaissance faciale, les nouveaux visages de la régulation

Dans Mission impossible : Rogue Nation, sorti en 2015, le dessin d'un visage suffit à identifier une personne dans une foule. On en est encore loin.
La reconnaissance faciale est un secteur économique en pleine expansion autant qu’une menace pour nos droits fondamentaux. Spécialistes du droit et institutions judiciaires sont déjà aux prises avec les conséquences bien réelles de cette branche de l’intelligence artificielle. Entre interdiction, moratoire, utilisation en dehors de tout cadre légal ou encadrement plus ou moins strict, la régulation de la reconnaissance faciale est au cœur du deuxième temps de notre cycle Quand l’IA fait sa loi.

Utilisée pour déverrouiller son smartphone autant que pour traquer des suspects dans une foule grâce à des caméras dites “intelligentes”, la reconnaissance faciale s’impose depuis quelques années dans le débat public comme l’une des applications les plus prometteuses de l’IA. Cependant, elle fait également l’objet de vives critiques quant à ses potentielles dérives, qui se retrouvent régulièrement au cœur de l’actualité. Fin juin, Robert Williams est arrêté et passe trente heures en détention. Le crime de cet Américain noir ? Ressembler à un voleur de montres, selon l’algorithme employé par les autorités américaines. Depuis le début de l’année et un article du New York Times révélant son existence et ses agissements, l'entreprise Clearview AI est au centre des préoccupations. Inconnue jusqu’alors, la start-up se prétend capable de comparer, en utilisant la reconnaissance faciale, n’importe quelle photo d’un individu à une base de données de trois milliards de photos récupérées automatiquement sur le Web et les réseaux sociaux. Elle fait aujourd’hui l’objet d’une enquête des autorités de protection des données britanniques et australiennes, et, en France, la CNIL a été saisie . Les craintes des défenseurs des libertés de voir nos sociétés sombrer dans une dystopie sécuritaire semblent déjà se matérialiser du Xinjiang à Moscou , même si les technologies de reconnaissance faciale ne permettent pas (encore) de reconnaître un visage dans une foule à partir d’un dessin, comme l’imagine le film de 2015 Mission Impossible : Rogue Nation. Sous nos latitudes, le droit peut-il s’ériger en rempart face à ces dérives sécuritaires ? Et, si oui, faut-il qu’il évolue au regard des progrès technologiques récents ?

Une technologie en quête de reconnaissance


Avant de s’interroger sur les protections que le droit peut apporter aux citoyens face à la reconnaissance faciale, il convient d’abord de préciser ce à quoi on a affaire. En résumé, les technologies de reconnaissance faciale reposent sur des méthodes d’intelligence artificielle qui appliquent des techniques d’apprentissage profond au domaine de la vision par ordinateur. L’objectif ? Reconnaître des visages sur des images en s’appuyant sur
des données biométriques. Depuis quelques années et la généralisation des méthodes d’apprentissage profond, les technologies de reconnaissance faciale progressent à une vitesse sidérante. Pour le mesurer, l’outil de référence est un jeu de données baptisé Labeled faces in the wild (LFW), regroupant 13 000 photographies de visages. Avant les années 2010, les entreprises spécialisées dans la reconnaissance faciale avaient mis plus de 20 ans pour améliorer leur score de précision sur le fameux LFW de 60% à 90%. Puis est arrivé Deepface, le système de reconnaissance faciale made in Facebook, qui utilise les techniques d’apprentissage profond. En 2014, Deepface obtient une précision de 97% sur le benchmark LFW. Restaient aux réseaux de neurones convolutifs à finir le travail. C’est chose faite, puisque les acteurs du secteur se prévalent aujourd’hui d’une précision de 99,8%. Des résultats qui accélèrent le déploiement de la reconnaissance faciale dans le monde entier, notamment dans le cadre des contrôles de sécurité aux frontières ou de la surveillance de l’espace public.


Cette infographie, publiée par Digital Information World , fait le point sur l’utilisation de la reconnaissance faciale dans le monde. En dehors de la Belgique, du Luxembourg, du Maroc et de quelques villes américaines (qui ne figurent pas sur la carte), tous les pays utilisent des technologies de reconnaissance faciale dans l’espace public


Bien pratique pour déverrouiller son smartphone ou pour faire rire ses amis en remplaçant le visage de Rihanna par le sien, la généralisation des technologies de reconnaissance faciale à des fins de surveillance pose néanmoins des questions fondamentales au regard du droit. Et notamment en France. Le 18 mai, le Conseil d’Etat mettait ainsi fin au déploiement de drones par la préfecture de police de Paris pour surveiller le respect du confinement par la population, jugeant que sans l’intervention préalable d’un texte réglementaire et sans avis de la Commission nationale de l’informatique et des libertés (CNIL), une telle action constituait « une atteinte grave et manifestement illégale au droit au respect de la vie privée ». Voilà une première question à explorer : la détection de nos visages à l’aide de caméras dites “intelligentes” respecte-t-elle nos droits fondamentaux ? Le déploiement de ces dispositifs dans nos villes est-il compatible avec les libertés publiques ?

Reconnaissance faciale, questions fondamentales


Ces questions font l’objet d’un rapport très complet publié par le think-tank Renaissance numérique et intitulé Reconnaissance faciale : porter les valeurs de l’Europe. Il fait notamment état d’une note publiée en novembre 2019 par l’Agence des droits fondamentaux de l’Union européenne qui examine les nombreux droits fondamentaux potentiellement touchés par la reconnaissance faciale : dignité humaine, respect de la vie privée, liberté de réunion et d’association, liberté d’expression… tous peuvent être remis en cause par l’utilisation abusive de cette technologie.

Avocate à la Cour au barreau de Paris et au barreau de l’État de New York, Annabelle Richard a participé à la rédaction du rapport, et nous précise d’emblée que si le traitement des données biométriques est en principe interdit au sein de l’Union européenne, la directive police-justice de 2018 permet de les traiter en cas de “nécessité absolue”. Une notion interprétée largement à des fins de surveillance ? « La difficulté, c’est la définition de cette notion de nécessité absolue, pose maître Richard. Certains, comme la Quadrature du Net, considèrent que la nécessité absolue c’est le fait qu’il n’y ait absolument aucune alternative pour réaliser l’objectif recherché. Si on adopte cette logique, il n’y a quasiment aucun cas où la reconnaissance faciale pourrait être déployée ». Pour s’assurer que nos droits fondamentaux soient respectés, il faut recourir à un concept juridique bien particulier, le principe de proportionnalité : « C’est la reconnaissance que tous les grands principes juridiques peuvent parfois faire l’objet d’atteintes, et qu’on ne peut pas toujours tous les respecter. Dans ce cadre, le principe de proportionnalité vise à s’assurer que l’atteinte qui est faite aux droits fondamentaux est proportionnel à l’objectif recherché, qui doit être légitime ». L’idée est donc de mettre en balance plusieurs principes juridiques concurrents, en s’assurant qu’une mesure restreignant les libertés soit appropriée, nécessaire, et proportionnée. En résumé, si la mise en place d’une technologie de reconnaissance faciale porte atteinte à un droit fondamental et que cette limitation ne répond pas à l’une de ces conditions, son déploiement est susceptible d’être jugé contraire à la Charte des droits fondamentaux de l’Union européenne. Un exemple récent peut être trouvé dans l’avis rendu par la CNIL au sujet de l’application StopCovid en mai 2020. Si l'autorité ne s'oppose pas au déploiement de l'application, elle précise néanmoins que « les protections constitutionnelle et conventionnelle du droit au respect de la vie privée et à la protection des données à caractère personnel [...] imposent que les atteintes portées à ces droits par les autorités publiques soient non seulement justifiées par un motif d’intérêt général, comme cela est le cas en l’espèce, mais soient également nécessaires et proportionnées à la réalisation de cet objectif ».

Moratoire, standardisation, agence européenne : quelle régulation ?


Au-delà des droits fondamentaux, les promoteurs des technologies de reconnaissance faciale doivent également respecter de nombreuses réglementations nationales. En Europe, le Règlement général pour la protections des données (RGPD) consacre notamment la protection des données personnelles “sensibles”, dont les données biométriques. Ce cadre légal est-il suffisant ? « Si on appliquait correctement et de façon harmonisée la réglementation en vigueur, et si tous les acteurs du secteur se conformaient correctement à tous les principes du RGPD, on ferait un pas de géant dans la bonne direction », pose Annabelle Richard.

Il y aurait pourtant une autre voie à explorer pour mieux réguler l’usage de la reconnaissance faciale, c’est celle de la standardisation. En effet, le standard technologique qui prévaut aujourd’hui est celui fixé par le National Institute for Standards and Technology (NIST) américain : « On laisse mesurer la performance et l’adéquation de ces technologies sur la base de critères que nous n’avons pas choisis, que nous ne déterminons pas, et pour lesquels nous ne réalisons pas nous-mêmes, en Europe, la mesure de la conformité », déplore l’avocate. Comment, dès lors, améliorer la situation ? « Commençons par déterminer nos propres mesures de performance de ces technologies, dans lesquels on ne mesurera pas seulement la performance purement technique, mais également la capacité de la technologie (ou de la façon dont elle est mise en oeuvre) à respecter le cadre dans lequel elle doit s’inscrire », préconise Annabelle Richard, faisant écho aux propositions du rapport de Renaissance numérique.

Cette réponse semble trop timorée pour les associations de défense des libertés numériques telle que La Quadrature du Net, qui milite pour l’arrêt des expérimentations sur le territoire français. D’autres acteurs penchent plutôt pour un moratoire sur la question. Cette dernière solution a d’ailleurs été envisagée par la Commission européenne, qui en début d’année pensait à interdire la reconnaissance faciale dans les lieux publics pour une période allant de trois à cinq ans, le temps de mettre en place les bons garde-fous, avant de rétropédaler. Dans son livre blanc finalement publié en février, l’Union ouvre en fait la voie à une réflexion qui devrait être engagée à l’échelon européen et pourrait aboutir à la création d’une sorte d’agence européenne de l’intelligence artificielle. Cette agence aurait pour mission d’encadrer les pratiques et de s’occuper de la standardisation de ces technologies dans les États-membres. « Nous ne sommes pas forcément favorables à la création d’une nouvelle entité, pose Annabelle Richard. On pourrait parfaitement travailler sur ce sujet en rassemblant les différentes autorités existantes. L’avantage de cette standardisation, c’est que c’est une manière de tirer tout le monde vers le haut, puisque les autorités publiques imposent un certain niveau de standardisation dans leurs appels d’offres, et que toutes les entreprises seront bien obligées de monter en puissance sur un certain nombre de sujets, ce qui crée un cercle vertueux ».


Illustration issue du rapport de Renaissance numérique / CEN : centre européen de normalisation / EDPB : Comité européen de la régulation des données


La question de l’encadrement de la reconnaissance faciale, à l’instar d’autres secteurs technologiques, peut également s'analyser à l’aune de la théorie du droit. Entre moratoire, encadrement strict et régulation par la standardisation, ce sont différentes conceptions qui s’affrontent. Annabelle Richard en a conscience : « la loi n’est pas toujours la meilleure solution pour appréhender une technologie. Les acteurs ont plutôt intérêt à mettre en place des mécanismes d’auto-régulation par secteur ». Quel que soit le système de régulation adopté dans les années à venir, il s’agira surtout, selon l’avocate, de mettre l’accent sur la formation à la technologie, tant auprès des membres des institutions judiciaires que de celles et ceux qui utilisent la reconnaissance faciale dans le cadre de leurs missions. « C’est un des points sur lesquels il est essentiel d’insister, expose Annabelle Richard. La majorité des utilisateurs de cette technologie ne comprennent pas bien comment elle fonctionne. Par exemple, la reconnaissance faciale ne donne pas une réponse définitive, elle réalise une analyse statistique d’une correspondance éventuelle, mais c’est ensuite à l’humain de prendre la décision en fonction des éléments dont il dispose ». Plus que le cadre juridique, c’est donc le contexte dans lequel ces technologies sont utilisées qui pourrait avoir un impact sur leur acceptabilité, et donc, sur leur déploiement futur.




Les commentaires

Pour réagir à cet article, je me connecte Je m’inscris

thierry chibon
thierry chibon 31/07/2020 18:25:09

Je ne suis pas un scientifique mais je ne pense pas que ce soit une bonne idée car vraiment pour la liberté si et seulement si elle est mal utilisé par l'état. Je demande vraiment a voir ce que cela va nous apporter dans notre vie quotidiennes mais je suis assez septique ...


S’inscrire et participer

Inscrivez vous sur le Digital Society Forum pour commenter et réagir sur les articles et être informé des événements à venir

DSF