Lutte contre le terrorisme et reconnaissance faciale : concilier sécurité de la Nation et respect de la vie privée
Par Xavier Bioy, Professeur à l’Université Toulouse 1 Capitole, Institut Maurice Hauriou, Codirecteur du Master « Droit des libertés ».
Par Xavier Bioy, Professeur à l’Université Toulouse 1 Capitole, Institut Maurice Hauriou, Codirecteur du Master « Droit des libertés »
Un article publié par Le Figaro le 25 octobre 2020 rapporte que M. Djebbari (ministre des Transports) s’est dit « assez favorable », pour lutter contre le terrorisme, à la proposition de Mme Pécresse, de déployer dans les transports en commun des caméras à reconnaissance faciale et/ou utilisant l’intelligence artificielle pour détecter « des comportements, pas des personnes ». Le ministre se réfère à des expérimentations, par la RATP et la commune de Cannes, relatives à la surveillance du port du masque depuis le déconfinement. Mais la presse lui objecte l’interruption de ces essais après un avis pour le moins réservé de la CNIL (Caméras dites « intelligentes » et caméras thermiques : les points de vigilance de la CNIL et les règles à respecter, 17 juin 2020). Le ministre des Transports évoque en réalité une finalité bien particulière renvoyant à un régime juridique particulier, tout en évoquant une expérimentation qui n’avait pas cette finalité et obéit à d’autres règles. Il n’existe pas de régime attaché à cette technique elle-même.
Techniques et usages des caméras de reconnaissance faciale
Les caméras utilisées pour détecter le port du masque, les bagages abandonnés, les mouvements de foule ou pour établir des données chiffrées des flux de personnes dans un lieu donné, ou encore les caméras thermiques utilisées pour détecter des chutes (depuis un pont par ex.) ne visent qu’à surveiller et appuyer la décision des autorités de police. Elles suivent le régime de la vidéo-protection pour leur implantation et pour le régime des données personnelles qu’elles collectent de manière anonyme, c’est-à-dire sans interconnexion avec un fichier comportant des éléments identifiants.
Les caméras « à reconnaissance faciale » ajoutent cette fonctionnalité en se connectant à une base de données identifiantes à partir de la mesure d’éléments du corps, donc « biométriques », qui suivent le régime des données « sensibles ». Selon l’article 3 du RGPD, ces données « résultent d’un traitement technique spécifique », et sont « relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique. » Elles permettent tant l’authentification (localisation-certification) d’une personne pour lui permettre l’accès à un lieu ou s’assurer de sa présence en lieu donné, que l’identification (individualisation) d’une personne au sein d’un groupe. Selon la CNIL : « Techniquement, la reconnaissance faciale permet ainsi ce que nulle autre technologie ne permet actuellement ni n’a jamais permis, à savoir reconnaître une personne n’ayant entrepris aucune démarche particulière, ni à l’occasion d’un enrôlement ni à l’occasion de la comparaison, voire identifier nominativement une telle personne, sans que le porteur du dispositif ait jamais entretenu la moindre relation avec elle. » (15 novembre 2019, Reconnaissance faciale pour un débat à la hauteur des enjeux, p. 7). Il faut garder en tête que les données servant de base à la reconnaissance faciale (photos) peuvent être facilement collectées à grande échelle sur le net.
Actuellement, ces techniques doivent être encore testées et utilisées en sachant qu’elles posent encore deux séries de problèmes. D’abord du point de vue de la fiabilité, car il existe encore des approximations qui entraînent des faux (positifs ou négatifs). Ensuite, du point de vue de la sécurité des systèmes, lesquels stockent des données corporelles dont la divulgation est irréversible, puisque l’individu lui-même ne peut que marginalement les modifier (sauf chirurgie par exemple).
C’est pourquoi la CNIL autorise souvent l’expérimentation de ces techniques. Elle a notamment admis de tester la reconnaissance faciale sur des volontaires spectateurs du carnaval de Nice ou, pour la RATP, des algorithmes de traçage des personnes et de détection de comportements suspects dans le cadre du projet européen Secur-ED. Expérimenter est alors l’objectif et déroge temporairement aux droits et libertés. Elle s’y montre plus souple que lorsqu’il s’agit d’une installation définitive, mais certains acteurs du marché de ces caméras ont pensé, à tort, que les mêmes critères s’appliquent dans les deux cas.
Régime juridique : faut-il recueillir le consentement ?
Le régime véritablement applicable aux caméras à reconnaissance faciale, en fonction de leur utilisation, dépend soit du RGPD, soit de la directive « police justice » (n°2016-680 du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données). Ensuite les garanties exigées par la CNIL suivent, selon les finalités retenues, les principes de nécessité, de proportionnalité et même de légitimité : « Il s’agit de ne pas plaquer sur des besoins opérationnels précis des technologies inutilement intrusives, alors que des techniques ou des mesures ayant un moindre impact seraient tout autant, voire plus efficaces » (Reconnaissance faciale pour un débat à la hauteur des enjeux, p.4).
Les critères retenus, outre le consentement ou la base légale explicite, s’attachent à l’importance des données traitées, au périmètre de déploiement des dispositifs dans l’espace et dans le temps (nombre de caméras concernées, étendue de leur champ, durée de leur déploiement, etc.) et aux remontées d’informations aux responsables de traitement.
Dans le cas du contrôle des comportements, par exemple du port du masque dans le cadre de l’état d’urgence sanitaire, l’usage relève de la police administrative sanitaire sans répression (que le Conseil d’État range néanmoins sous le joug du RGPD, cf. CE, Ord. Réf., 18 mai 2020, Association La quadrature du net, Ligue des droits de l’Homme, n°s 440442, 440445) ; l’intrusion dans la vie privée reste modérée (sans indentification) mais nécessiterait justement un consentement au traitement, car cette reconnaissance faciale « à la volée » repose sur une captation indifférenciée des visages. C’est en tout cas l’avis, contesté, de la CNIL pour lequel un opérateur, public ou privé, ne peut mettre en œuvre un traitement biométrique qu’avec le consentement des personnes filmées ou sur l’autorisation de la puissance publique après une analyse d’impact relative à la protection des données (AIPD). Or, le consentement se trouve en pratique impossible à recueillir sans équivoque ; on imaginait qu’un signe de tête pourrait signifier un refus, lui-même impossible à concrétiser autrement que par la suppression postérieure des données et non l’évitement de la collecte. Le projet de Mme Pécresse nécessiterait donc un acte de portée réglementaire après étude d’impact.
Dans le cas du traitement biométrique, certains traitements existent déjà, pour le contrôle du passage aux frontières et l’authentification des papiers d’identité (PARAFE) conformément à la loi du 20 juin 2018. De même, plus globalement, pour le traitement ALICEM qui atteste de l’identité d’un détenteur de documents par lecture sans contact. Mais, à l’inverse, la CNIL a refusé la reconnaissance faciale des écoliers pour l’accès aux établissements scolaires, même pour des objectifs de sécurisation et de fluidification qui peuvent être atteints par des moyens aussi efficaces et moins intrusifs. Elle avait émis des doutes, en 2013, à l’égard d’un système de péage par reconnaissance faciale projeté par la RATP. Le Conseil d’État a fait de même à l’égard de caméras thermiques pour des écoliers, supposées traquer les symptômes de la Covid (CE, Ord. réf., 26 juin 2020, LDH, n° 441065).
Dans le cas de caméras engagées dans l’identification de personnes liées au terrorisme (fichées « S » ?), l’usage des données biométriques préalablement stockées porte certes à son paroxysme l’ingérence dans la vie privée mais la directive assouplit les exigences en raison du motif élevé de sécurité publique. Le consentement des usagers des transports ne serait pas requis, à condition de restreindre la base de données aux seules personnes visées par la prévention ou la répression des actes de terrorisme.
Vers un droit à l’anonymat dans l’espace public ?
La CNIL s’inquiète « d’un changement de paradigme de la surveillance (…) : le passage d’une surveillance ciblée de certains individus à la possibilité d’une surveillance de tous aux fins d’en identifier certains ». Plusieurs pays, en particulier la Chine, généralisent l’identification faciale, contrôlant ainsi tous les motifs des déplacements. Cela évoque en filigrane un « droit à l’anonymat dans l’espace public ». La loi du 11 octobre 2010 relative à la dissimulation du visage poursuit pourtant l’objectif inverse en imposant la possibilité d’une identification, ne serait-ce qu’à l’œil nu. Au-delà cela nécessite de réinterroger la possibilité même d’une vie privée dans l’espace public. Les caméras remplacent les commères d’autrefois, cachées derrière leurs volets, qui devinaient les us et coutumes des passants. Mais elles le font avec une systématicité et une précision qui ne laissent plus d’échappatoire.
Pour en savoir plus : Marc Sztulman, La biométrie saisie par le droit public – Étude sur l’identification et la localisation des personnes physiques, LGDJ – Bibliothèque de droit public n°305, 2019.