Big Brother nous regarde-t-il ? Depuis plusieurs semaines, l'application Clearview AI fait couler beaucoup d'encre. Il s'agit d'un outil de reconnaissance faciale qui permet de comparer une photographie, téléchargée dans l'application, avec une base de données très large, dont le résultat fait ressortir l'ensemble des clichés sur lesquels cette même personne apparaît, ainsi que la liste des sites internet d'où ces derniers proviennent.

Il ressort d'une enquête menée par le New York Times, qui a publié ses résultats le 18 janvier dernier et dont Le Monde s'est fait l'écho, que Clearview AI a été vendue à près de six cents services de police aux Etats-Unis ainsi qu'à des entreprises privées de sécurité aux fins d'utilisation dans le cadre d'enquêtes. 

De nombreux détracteurs de l'application se sont exprimés. Parmi eux, Twitter, qui conteste l'aspiration de toutes les photographies présentes sur son site pour alimenter la base de données de Clearview AI. On compte également un sénateur démocrate de l'Etat du Massachusetts, qui a adressé au fondateur de l'application une lettre contenant quatorze questions relatives à Clearview AI et exigeant la communication de la liste des autorités de police et entreprises privées utilisant l'outil.

Le procureur de l'État du New Jersey à, quant à lui, fait interdire l'utilisation de Clearview AI par l'ensemble des services de police de son État. En chiffres, il s'agit d'une base de données contenant environ 3 milliards de photos, collectées sur Internet, en majorité sur les réseaux sociaux, et qui affiche une correspondance dans 75 % des cas, sans néanmoins préciser la part des "faux positifs".

Autres éléments notables : les images auraient été obtenues en violation des conditions générales d'utilisation des réseaux sociaux desquelles elles proviennent. Par ailleurs, les personnes dont les images se retrouvent dans la base de données de Clearview AI n'ont pas donné leur consentement.

Nous ne disposons d'aucun élément de nature à confirmer que les résultats obtenus par l'application sont dépourvus d'erreurs et l'application Clearview AI n'a fait l'objet d'aucune autorisation d'une autorité étatique américaine alors qu'elle est utilisée par ses services de police. À la lecture de cette description, les discussions se cristallisent bien naturellement sur les risques de dérives d'un tel outil.

L'application Clearview AI repose sur la technologie de la reconnaissance faciale, qui elle-même utilise des données biométriques. L'intérêt et l'utilité de cette technologie ne peuvent être niés. Tant l'authentification¹ que l'identification² d'une personne par la reconnaissance faciale sont susceptibles d'applications multiples dans des domaines variés.

La reconnaissance faciale est d'ores et déjà utilisée pour l'accès à certains services commerciaux (notamment bancaires) ou administratifs (l'application Alicem permet ainsi de s'authentifier en ligne de manière sécurisée via le portail du service public FranceConnect.gouv, et d'accéder aux services de la sécurité sociale et des impôts), pour déverrouiller son smartphone ou encore fluidifier les passages aux frontières.

Néanmoins, les risques d'utilisation de la reconnaissance faciale à des fins de surveillance illégale ou généralisée ou de compromission des données biométriques en cas de faille de sécurité sont également bien réels et à l'origine des réserves formulées par nombre de parties prenantes.

C'est essentiellement l'identification d'une personne au sein d'un groupe d'individus, caractéristique majeure de l'outil Clearview AI, qui suscite, tout à la fois, attentes et inquiétudes. Certains y voient un outil incomparable de nature à renforcer la sécurité publique, quand d'autres y voient une généralisation de la surveillance et la fin de l'anonymat dans l'espace public.

Au cœur du débat se trouvent les droits à la vie privée et à la protection des données personnelles, mais aussi notre rapport à la technologie. 

A notre sens, ni l'interdiction stricte, ni l'autorisation débridée de la reconnaissance faciale aux fins d'identification d'une personne ne constitue une solution appropriée. En la matière, la Commission Nationale de l'Informatique et des Libertés (la "CNIL") a parfaitement résumé ce qui nous semble essentiel, à savoir que l'existence d'une technologie, toute puissante et élaborée soit-elle, ne doit pas nécessairement recevoir le blanc-seing des pouvoirs publics.

En d'autres termes, "Le choix politique ne doit pas être dicté purement et simplement par les possibilités techniques"³, et il appartient aux pouvoirs publics de déterminer ce qui est acceptable, légitime et proportionné et ce qui ne l'est pas, en particulier au regard de la protection des libertés et droits fondamentaux. 

Dans l'Union européenne, le développement d'applications telles que Clearview AI n'est envisageable que dans le respect du "paquet européen de protection des données à caractère personnel", composé du règlement n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le "RGPD") et de la directive n° 2016/680 du 27 avril 2016, dite directive "Police-Justice"⁴.

En effet, la technologie de la reconnaissance faciale, ayant recours aux données biométriques⁵, donne lieu à la mise en œuvre de très nombreux traitements de données personnelles soumis, à ce titre, au RGPD, mais aussi à la directive "Police-Justice" dès lors que ce type de traitement serait mis en œuvre par les autorités publiques dans le cadre de leurs activités de police. 

Or, l'article 9 du RGPD interdit le traitement de données biométriques aux fins d'identifier une personne physique de manière unique, sous réserve d'une liste d'exceptions très strictes. Cette interdiction de principe reflète le caractère extrêmement sensible de ce type de données. En France, l'approche des pouvoirs publics se veut prudente puisque la voie de l'expérimentation semble privilégiée. 

L'Union européenne apparait donc mieux armée que les États-Unis pour accueillir l'utilisation de la reconnaissance faciale aux fins d'identification d'une personne, dès lors que celle-ci ne pourra s'affranchir du respect des grands principes de protection des libertés, de la vie privée et des données personnelles. 

Clearview AI pourrait néanmoins nous toucher au plus près puisque la présence de photographies nous représentant dans la base de données de l'outil s'avère probable…

Mathilde Gérot est une collaboratrice senior (senior associate), spécialisée dans la protection des données personnelles au sein du cabinet Signature Litigation

_______________________________

1. Selon la CNIL, il s'agit d'une opération qui "vise à vérifier qu'une personne est bien celle qu'elle prétend être. Dans ce cas, le système va comparer un gabarit biométrique préenregistré (par exemple, stocké dans une carte à puce) avec un seul visage.", CNIL, "Reconnaissance faciale – pour un débat à la hauteur des enjeux", 15 novembre 2019, page 3.
2. Selon la CNIL, il s'agit d'une opération qui "vise à retrouver une personne au sein d'un groupe d'individus, dans un lieu, une image ou une base de données. Dans ce cas, le système doit effectuer un test sur chaque visage capté pour générer un gabarit biométrique et vérifier si celui-ci correspond à une personne connue du système.", CNIL, "Reconnaissance faciale – pour un débat à la hauteur des enjeux", 15 novembre 2019, page 3.
3. CNIL, "Reconnaissance faciale – pour un débat à la hauteur des enjeux", 15 novembre 2019, page 2.
4. Directive n° 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données.
5. L'article 4, 14) du RGPD, "les données à caractère personnel résultant d'un traitement spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques".