– J'ai abordé le sujet de la reconnaissance faciale lors de la préparation de la première note scientifique de l'Office qui traitait des objets connectés, j'avais alors pensé que ce thème pourrait faire l'objet d'une autre note scientifique. Le travail préparatoire de cette dernière a duré un peu moins de quatre mois, qui m'ont permis de découvrir un sujet que je ne connaissais pas et d'auditionner les acteurs du domaine, notamment le secrétaire d'État au numérique, Cédric O, le coordonnateur interministériel pour l'intelligence artificielle (IA), des représentants des ministères de l'intérieur et des armées – étant rappelé que je suis pour ma part membre de la commission de la défense nationale –, les représentants de la CNIL, de l'Association des maires de France (AMF) mais également une bonne partie de l'« écosystème » industriel avec en particulier des représentants d'IDEMIA, de Microsoft, d'Amazon, de Qwant et de Google, ainsi que, enfin, des chercheurs en informatique, en sciences sociales et en droit.
Le projet de note qui vous a été distribué et transmis avant-hier présente trois aspects de la reconnaissance faciale que je voudrais évoquer ici : une brève description historique et un état des lieux technologique, une présentation des enjeux légaux, enfin, un point sur les questions éthiques relatives à ces dispositifs. Cette note trouve par ailleurs tout à fait sa place dans l'actualité, de nombreux articles de presse traitant régulièrement de cette question, souvent accompagnée de méconnaissances, la science-fiction et la réalité étant généralement mêlées en ce qui concerne ces technologies.
La vision par ordinateur a vu le jour dans les années 1970 avant de connaître un véritable essor dans la décennie suivante. Comme pour les objets connectés, c'est l'industrie qui a la première utilisé ces dispositifs : quand on parle d'objets connectés, on pense généralement aux montres ou aux enceintes, mais il s'agissait à l'origine plutôt d'applications industrielles. Aujourd'hui, s'agissant de la reconnaissance faciale, il faut distinguer de mon point de vue deux choses : l'authentification – qui permet de comparer l'identité d'une personne avec ce qu'elle prétend être, l'exemple le plus marquant étant le dispositif Parafe qui permet de passer les frontières dans les aéroports et pour lequel aucune donnée n'est conservée –, et l'identification – qui vise à reconnaître dans une foule une personne en la comparant à une base d'images, ce qui peut être mis en place par exemple avec des personnes volontaires comme lors de l'expérimentation au carnaval de Nice en février dernier ou par des entreprises au sein de leurs locaux. Ces deux types d'applications sont souvent confondus, ce qui peut faire naître certains fantasmes, bien qu'ils ne soulèvent pas les mêmes enjeux. De plus, les performances de ces deux types de dispositifs ne sont pas identiques : les dispositifs d'authentification peuvent avoir des taux de reconnaissance supérieurs à 99,5 % contrairement aux dispositifs d'identification qui en sont encore loin. Plusieurs études dont une du Massachusetts Institute of Technology (MIT), ont montré que les dispositifs de reconnaissance faciale présentaient des biais puisque les hommes blancs sont systématiquement mieux reconnus que les femmes noires par exemple. La raison tient à ce que ces dispositifs sont développés en les « entraînant » sur des bases d'images qui manquent de diversité.
Il faut, de plus, bien avoir à l'esprit que ces outils ont pour objet de donner des indications de correspondance entre deux images. Pour ce faire, il est nécessaire de fixer un seuil de correspondance au-delà duquel deux images sont supposées pouvoir représenter la même personne. La définition de ce seuil dépend bien évidemment du degré de fiabilité attendu et des usages faits de ces outils, la reconnaissance d'un client fidélisé ne nécessitant bien évidemment pas les mêmes performances que la détection d'un individu recherché. Les usages de ces dispositifs sont en effet multiples : des entreprises de transport comme le groupe ADP ou la SNCF veulent utiliser des portiques munis de dispositifs de reconnaissance faciale afin de fluidifier les flux de passagers dans les aéroports ou les gares ; d'autres pourraient vouloir cibler leur marketing ou utiliser des systèmes de paiement sophistiqués qui permettent de reconnaître une personne à son entrée dans un magasin, de détecter les produits qu'elle prend et de débiter automatiquement son compte in fine ; enfin, des collectivités territoriales expriment le souhait de coupler leurs caméras de vidéoprotection à des algorithmes de reconnaissance faciale. En la matière, l'expérimentation réalisée par la mairie de Nice fait figure de première en France. Ont ainsi été testés différents dispositifs permettant par exemple de détecter la présence d'une personne non autorisée sur un char ou de retrouver des enfants perdus. Pour cette commune de 350 000 habitants, la mairie de Nice a investi très fortement depuis 2008 dans les équipements de vidéoprotection. Elle dispose maintenant d'environ 500 agents de police municipale, dont 100 au centre de supervision urbain, et de plus de 2 000 caméras de précision, réparties dans la ville mais aussi dans les transports en commun. Ce terrain était donc propice à la mise en place de l'expérimentation évoquée, qui permet d'analyser les avantages que les collectivités territoriales pourraient tirer de ces technologies.
Les dispositions légales qui encadrent l'utilisation de ces outils dépendent des usages qui en seront faits. Tout d'abord, la directive européenne dite « PoliceJustice » [Directive (UE) 2016680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données (…)] est applicable aux traitements réalisés pour le compte de l'État dans le cadre de l'exercice de ses prérogatives de puissance publique. Ces traitements nécessitent en France un décret pris en Conseil d'État après avis de la CNIL. Pour le moment, le seul fichier de police judiciaire qui le permet est le traitement des antécédents judiciaires (TAJ). L'extension à d'autres fichiers nécessiterait un autre décret pris en Conseil d'État.
Pour les autres utilisations, c'est le règlement (UE) 2016679 du Parlement européen et du Conseil dit "règlement général sur la protection des données (RGPD)" qui s'applique. Jusqu'à son entrée en vigueur, les utilisateurs devaient demander l'autorisation à la CNIL avant de pouvoir mettre en place ces traitements. Le RGPD a consacré à l'inverse la responsabilisation du responsable du traitement et de son éventuel sous-traitant, qui doivent réaliser une analyse d'impact et la communiquer à la CNIL uniquement s'ils détectent des risques résiduels élevés. Le consentement est l'un des fondements légaux mobilisables pour mettre en place ces traitements.
Ces dispositions légales ne permettent que difficilement l'expérimentation d'outils de reconnaissance faciale en conditions réelles. Or ces expérimentations sont nécessaires à la maîtrise de ces dispositifs afin de ne pas se voir imposer les solutions proposées par les géants du numérique ; elles correspondent donc à un véritable enjeu de souveraineté. Dans ces conditions, il semble primordial d'ouvrir la possibilité, par exemple dans le cadre d'une loi d'expérimentation, de mener ce type de tests. Je relève que le Comité d'organisation des Jeux Olympiques de 2020 qui auront lieu à Tokyo a annoncé que les accès des athlètes, de leurs accompagnants et des journalistes se feront à l'aide de systèmes de reconnaissance faciale. Aussi est-il nécessaire que des expérimentations puissent être menées en France afin que les cadres d'emploi soient bien maîtrisés avant les Jeux Olympiques de Paris prévus en 2024.
Les nombreux exemples qui sont apparus récemment dans la presse permettent de mettre en lumière les enjeux éthiques et sociétaux de ces dispositifs. L'utilisation à grande échelle de la reconnaissance faciale en Chine et les dérives liées au système de « crédit social » qui y est mis en place cristallisent les craintes. Il est important de noter également que l'acceptabilité sociale de ces dispositifs a progressé avec le développement des applications économiques de cette technologie. Les consommateurs, qui n'y ont tout d'abord vu qu'un moyen de gagner du temps, se sont habitués à l'utilisation de la reconnaissance faciale. Mais les exemples de diffusion de ces dispositifs sans cadre légal donnent naissance à beaucoup de craintes et de rejet. Il est donc nécessaire, comme y a publiquement appelé la CNIL à l'automne dernier, que puisse se tenir un grand débat public sur ce sujet. Récemment, le Forum économique mondial s'est associé au Conseil national du numérique pour lancer une étude de douze mois : j'ai d'ailleurs eu la chance de participer à son lancement au nom de l'Office il y a quelques semaines, pour essayer de faire l'état des lieux des expérimentations qui seront nécessaires pour avancer sur la reconnaissance faciale en Europe, en France et au niveau mondial, mais en respectant les libertés fondamentales. Cette expérimentation regroupe des partenaires comme La Poste, la SNCF, Aéroports de Paris. Ces expérimentations à grande échelle nous semblent essentielles pour construire un cadre de régulation stable qui prenne en compte les limites dont elles auront mis la nécessité en évidence.
Comme nous l'avons vu avec l'expérimentation menée à Nice, les collectivités territoriales sont amenées à être en pointe sur l'utilisation de ces dispositifs. Des métropoles comme Dijon ou Saint-Étienne avancent sur ces questions. Il y a chez elles une certaine maturité et une maîtrise suffisante des outils de vidéoprotection pour leur permettre d'envisager le déploiement de cette technologie. Il est cependant primordial que l'État fixe le cadre et ne laisse pas les maires ou les présidents de région ou de département faire des choix dont ils ne perçoivent peut-être pas suffisamment l'ensemble des implications éthiques ou juridiques.
Les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) n'ont pas tous la même position sur la question de leur responsabilité dans le développement de cette technologie. Je ne souhaite pas faire de « tri » entre les GAFAM mais Microsoft et Google ont appelé très tôt à la tenue d'un débat démocratique sur ces dispositifs et ont partagé les principes qui structurent leur stratégie dans ce domaine alors qu'Amazon considère pour sa part ne fournir que des briques technologiques et estime que la responsabilité incombe à l'intégrateur et à l'utilisateur. Il me semble que nous devons, et c'est une des recommandations sur lesquelles nous reviendrons plus tard, être extrêmement vigilants sur cette question et ne pas laisser les grands industriels fuir leur responsabilité.
Nous avons interrogé les ambassades de France dans différents pays afin d'obtenir des informations sur la façon dont ces outils étaient utilisés et traités à l'étrangers. Aux États-Unis, la reconnaissance faciale occupe depuis peu le devant de l'actualité : plusieurs villes, dont San Francisco, étudient actuellement différentes modalités d'interdiction par leurs services, alors qu'il a été montré que l'État fédéral utilise sans autorisation particulière l'ensemble des fichiers des permis de conduire pour faire de la reconnaissance faciale, ou que des habitants se battent à Brooklyn contre l'installation d'un dispositif de reconnaissance faciale dans leur immeuble privé. Au Royaume-Uni, la vidéoprotection est largement implantée depuis de nombreuses années. La police de Londres a mené plusieurs expérimentations de dispositifs de reconnaissance faciale et des outils de marketing ciblé sont déjà présents dans les bus : ils visent à identifier par exemple si, dans le bus, il y a plutôt des femmes ou des hommes, et suivant le cas, la publicité s'adapte en temps réel aux personnes qui sont présentes. Bien que la population soit habituée à ces dispositifs, des oppositions se font entendre comme dans le cas célèbre d'un homme verbalisé pour trouble à l'ordre public parce qu'il refusait de participer à une expérimentation menée par la police de Londres.
Ces exemples montrent que d'autres pays ont déjà réalisé des expérimentations qui ont fait apparaître des enjeux éthiques et que la France doit se doter d'un cadre qui lui permette de faire de même.
Pour conclure, nous avons formulé, à la suite des quatre mois qu'a duré cette étude, plusieurs recommandations que je vais maintenant vous présenter.
Tout d'abord, comme je viens de le dire, il faut élaborer rapidement un cadre législatif, qui pourrait prendre la forme d'un projet de loi d'expérimentation ou bien d'amendements parlementaires. Il s'agirait de permettre de lancer des expérimentations à plus grande échelle, c'est-à-dire d'encourager la mise en place d'un écosystème académique et industriel pour tester les technologies de reconnaissance à l'échelle d'une gare ou d'un aéroport, ou encore d'une collectivité territoriale, pour être certain que ces dispositifs soient fiables et qu'y soit intégré un volet sociologique qui permette d'en étudier les aspects éthiques.
Nous recommandons également que la CNIL puisse jouer un rôle d'accompagnement dans l'innovation et dans l'incitation à ce qu'on appelle la « privacy by design » afin que tous les dispositifs soient emprunts du respect des données personnelles, dans l'esprit de ce que fait l'Autorité de régulation des communications électroniques et des postes (ARCEP) qui a mis en place des « bacs à sable » à disposition des acteurs de l'écosystème des télécommunications pour qu'ils soient en mesure de tester des solutions, qui, le cas échéant, pourront de ce fait ne pas être retenues. Il s'agirait ainsi de confier une nouvelle mission à cette autorité de régulation.
Dans le même ordre d'idées, nous préconisons une recommandation, qui figurait dans le chapitre V du rapport de Cédric Villani sur l'intelligence artificielle, qui consiste en la création d'un corps d'experts pluridisciplinaires qui puissent auditer les dispositifs de reconnaissance faciale. Nous n'avons pas eu suffisamment de temps pour arrêter une position tranchée sur l'organisme auquel devrait être rattaché ce corps d'experts.
Comme je le disais tout à l'heure, il importe de rappeler la responsabilité de l'ensemble des acteurs : concepteurs, intégrateurs et responsables du traitement. Il faut insister sur le rôle que seront amenés à jouer à l'avenir les géants du numérique qui, malgré toutes leurs déclarations de bonne volonté, auront sans doute besoin que l'on légifère pour développer une reconnaissance faciale éthique.
Il est également indispensable que nous nous assurions que, quels que soient les dispositifs qui seront mis en place, la décision finale demeure humaine. Par exemple dans l'exemple de la ville de Nice, la décision d'intervenir lors de la recherche d'une personne disparue doit demeurer de la responsabilité d'un être humain.
Nous proposons aussi de mener des études sur l'acceptabilité sociale de ces technologies en fonction des catégories de population.
Enfin, et pour conclure, il me paraît essentiel d'améliorer la formation à l'économie de la donnée qui intervient d'ailleurs dans nombre d'autres sujets traités par l'Office. En effet nos concitoyens ne sont pas suffisamment conscients de cette économie et ne sont donc pas toujours capables de prendre des décisions éclairées. Le premier exemple qui me vient en tête est celui du pass Navigo anonyme, dont je n'ai appris l'existence que très récemment. Les gens n'ont pas forcément connaissance que ce dispositif existe et que le pass Navigo classique, même si son objectif premier n'est pas d'être en capacité de suivre l'ensemble de nos déplacements, recueille des données les concernant. Il me semble que l'on n'a pas suffisamment expliqué en quoi ces données étaient importantes et quelles étaient les possibilités de s'en affranchir. Je pense que cette formation ne doit pas intervenir à l'université ou dans les écoles d'ingénieurs, car c'est trop tard, mais très en amont, dès le CM2, au moment de la présentation des institutions et de la citoyenneté et avant que nos enfants rentrent dans la préadolescence au cours de laquelle ils vont utiliser de manière intensive toutes les nouvelles technologies. Il serait intéressant de mener cette réflexion avec le Laboratoire d'innovation de l'Éducation nationale.
Je précise enfin que la note s'appuie sur une cinquantaine de références détaillées, pour les lecteurs qui désireraient aller plus loin sur ce sujet.