Reconnaissance faciale : le bal des irresponsables

Posted on


Nous le répétons depuis plusieurs semaines : la reconnaissance faciale continue à se déployer en France sous la pression combinée du gouvernement, d’élus et d’industriels. Elle est encouragée par des nombreux rapports d’administrations qui multiplient les préconisations pour faciliter son acceptation par la population.

Le dernier en date, rendu par l’INHESJ et que nous publions ici, a profité de la participation d’une des directrices de la CNIL – Florence Fourets. Le fantasme d’une technologie régulée, juridiquement bordée, ne tient pas. L’histoire récente de la surveillance d’État le démontre amplement. C’est pourquoi il est urgent d’interdire la reconnaissance faciale.

Avant de s’intéresser aux éléments de langage utilisés par les promoteurs de la reconnaissance faciale et à la stratégie qu’ils souhaiteraient nous imposer, revenons rapidement sur les dispositifs déjà déployés en France.

Retour sur les dispositifs déployés en France

Comme nous le dénoncions le mois dernier, le débat que propose le gouvernement sur la reconnaissance faciale pour faciliter les « expérimentations » est faussé : la technologie est d’ores et déjà largement déployée en France.

Outre les portiques d’authentification par reconnaissance faciale « PARAFE » (pour « passage automatisé rapide des frontières extérieures », présents dans cinq aéroports français, deux gares et au départ d’Euro-tunnel pour les bus), le fichier de traitement des antécédents judiciaires (dit « TAJ ») permet depuis 2012 à la police et à la gendarmerie (entre autres) de faire de la reconnaissance faciale à partir de photographies de personnes « mises en cause » lors d’une enquête (nous avons demandé ce lundi son abrogation au ministère de l’Intérieur en vue d’un éventuel contentieux – voir notre article détaillé).

D’autres expérimentations ont été réalisées ou sont en cours de réalisation : par la société Aéroports de Paris, pendant plusieurs mois à Orly-Ouest en salles d’embarquement ou dans des zones délimitées dans des terminaux de Roissy-Charles-de-Gaulle et Orly-Sud. À Nice, en 2019, un test a été mené pour la première fois en France sur la voie publique, pendant trois jours lors du Carnaval. L’application d’identité numérique du gouvernement Alicem, qui devrait être lancée en janvier 2020, comporte elle-aussi un dispositif de reconnaissance faciale (nous avons engagé un contentieux contre cette application qui ne respecte pas le RGPD). Enfin, si le projet de portiques de reconnaissance faciale prévu dans deux lycées de la Région Sud, à Nice et Marseille (contre lequel nous avions aussi engagé une action contentieuse) est pour l’instant à l’arrêt depuis l’avis négatif de la CNIL, Christian Estrosi et Renaud Muselier ont déjà signalé qu’ils reviendraient à la charge.

La multiplicité de ces dispositifs, à titre expérimental ou pérenne, n’empêche pourtant pas nombre d’acteurs publics et d’industriels de considérer que l’on ne va encore pas assez loin, ni assez vite. Le discours est toujours le même, fondé sur le caractère « inéluctable » de la technologie : en raison du cadre juridique actuel, qui serait selon eux trop strict, les industriels français ne pourraient pas expérimenter la reconnaissance faciale aussi facilement qu’ils le voudraient, prenant alors du retard sur leurs concurrents étasuniens ou chinois. Une « loi d’expérimentation » serait alors nécessaire pour faciliter le développement de ces dispositifs et créer une « reconnaissance faciale éthique » à la française.

Didier Baichère, un promoteur à l’Assemblée Nationale

En mars 2019, nous rencontrions Didier Baichère, député du groupe LaREM et membre de l’OPECST (Office parlementaire d’évaluation des choix scientifiques et technologiques) qui commençait à réfléchir sur le sujet sans y connaître grand-chose. Quelques mois plus tard, il est devenu spécialiste auto-proclamé et rend une note de huit pages sur la reconnaissance faciale où l’on retrouve déjà le vocabulaire et les arguments qui reviendront ensuite à chaque fois que le sujet sera abordé par l’un de ses promoteurs. Il y conclut en effet que « la généralisation [de la reconnaissance faciale] semble inéluctable », qu’il faut « élaborer rapidement un cadre législatif permettant d’accompagner les expérimentations au profit de l’écosystème industriel et universitaire français », « mener des études sur l’acceptabilité de ces technologies par les différentes catégories de la population et « améliorer la formation à l’économie de la donnée pour permettre aux décisions d’être prises de façon éclairée et en s’affranchissant des mythes auxquels renvoient ces technologies ». Sur la nécessité d’expérimentation, il développe son propos précisant que le RGPD « ne permet pas à l’heure actuelle aux acteurs français d’être compétitifs sur la scène internationale ».

Compétitivité contre libertés

Cette friction entre compétitivité et libertés se retrouve donc dans la plupart des notes et rapports publics rendus sur le sujet. Cédric O, secrétaire d’État au numérique, après avoir souligné que « la reconnaissance faciale entre dans nos vies sans que son cadre d’utilisation n’ait encore été clarifié » proclame pourtant que « expérimenter la reconnaissance faciale est nécessaire pour que nos industriels progressent ». Ou la revue du CREOGN (pour « Centre de recherche des officiers de la gendarmerie nationale ») qui énonce que « dans un cadre juridique suffisamment souple, les expérimentations permettraient aux industriels français de développer des solutions souveraines».

Les mots « concurrence », « souveraineté » et « industriels » prennent toute la place dans ce soi-disant « débat ». Ce sont d’ailleurs le Forum économique mondial avec le Conseil national du numérique qui sont chargés de « co-construire un cadre de régulation de la reconnaissance faciale »[1] . Ils expliquent que « le cœur de l’expérimentation consiste à tester nos recommandations sur des systèmes de reconnaissance faciale existants en partenariat avec des acteurs industriels ». La France, qui fait déjà partie des premiers exportateurs mondiaux d’armes, semble désormais vouloir expérimenter sur sa population sa nouvelle génération d’outils de surveillance à vendre à ses partenaires commerciaux, faisant fi de leur passif de violations des libertés fondamentales. Les industriels français, au premier rang desquels Thales et Idemia, pourraient alors se vanter d’être en mesure de proposer des solutions co-constuites dans le pays se disant des droits de l’homme…

La Chine prise en exemple

Tout récemment a été publiée une note de l’Institut National des Hautes Études de la Sécurité et de la Justice (INHESJ) [2]. Elle est rédigée par le « Groupe de diagnostic stratégique n°8 », composé d’une avocate (Sharone Franco), de salariés d’Airbus, du CEA (Commissariat à l’énergie atomique), de SANOFI (groupe pharmaceutique), et vice-présidé par… Florence Fourets, « directrice chargée de projets régaliens » de la CNIL. Dans ce rapport de 50 pages, les auteurs préconisent « une démarche où le potentiel recours à la reconnaissance faciale se veut pragmatique, et volontairement gradué ». L’insistance sur la compétition économique y est encore une fois pleinement assumée : les auteurs pointent d’ailleurs du doigt le « cadre réglementaire plus contraint dans notre pays », qui explique que « les solutions développées par les industriels français sont majoritairement commercialisées en dehors de la France, ce qui n’est pas sans poser des problèmes pour des groupes français qui ne peuvent pas mettre en avant de références hexagonales ». Ainsi, expliquant que « les algorithmes doivent être entraînés à partir de bases contenant un très grand nombre d’images de visages variés provenant d’origines différentes » et que « la réglementation française contraint fortement l’utilisation de telles bases de données », le rapport vient prendre en exemple à suivre « la société chinoise Cloudwalk [qui] a acheté au Zimbabwe la totalité de sa base de données contenant des visages de ses citoyens ».

Le reste du rapport est malheureusement dans la même veine. Il propose notamment une analyse de la situation en Chine où, selon eux, « la culture chinoise est plus encline à accepter une intrusion de surveillance de la vie privée que la culture française ». Après cet exemple choquant de relativisme culturel qui fait fi des formes de résistance opposées par la société chinoise au régime, il se poursuit avec des préconisations pour « une meilleure acceptation » de la population… Le fait qu’un agent de la CNIL participe à la rédaction d’un tel rapport illustre bien l’un des problèmes fondamentaux de la CNIL : pour elle, dans le dilemme entre innovation technologique et libertés, il semble que ce soit la première qui doit nécessairement avoir gain de cause.

La conclusion du rapport de l’INHESJ recoupe tristement les discours de Cédric O et de Didier Baichère : les auteurs du rapport appellent à une « adaptation du cadre juridique actuel (…) pour faciliter les expérimentations », au « soutien aux industriels français » et à un texte législatif permettant l’instauration de dispositifs de reconnaissance faciale dont « il pourrait être notamment prévu de limiter les périodes d’utilisation en termes de durée mais également d’un point de vue géographique ». On y apprend enfin que Renaud Vedel (Préfet coordinateur ministériel en matière d’intelligence artificielle et autre promoteur régulier de la technologie) propose de « constituer un fichier permanent de données biométriques qui ne serait activé que sur des périodes temporaires déterminées, dans des contextes prévus ou sur des zones particulièrement exposées ».

Et la CNIL dans tout ça ?

La CNIL est l’une des seules autorités (avec les juges) qui devraient normalement contrôler et limiter le déploiement de ces dispositifs. En octobre 2018, elle publie un communiqué appelant à la tenue d’un « débat démocratique » sur le sujet. Ensuite, pendant presque une année, pas grand-chose, jusqu’à sa récente recommandation sur l’expérimentation de portiques de reconnaissance faciale. Elle s’y décide enfin à appliquer les principes de nécessité et de proportionnalité qui sont au cœur du RGPD. Notons néanmoins que cette recommandation, ainsi que celles rendues précédemment sur le même dossier, ne sont pas publiques : il s’agit de courriers entre administrations que nous sommes obligés d’aller réclamer à l’aide de demandes CADA (voir à ce titre les documents récupérés pour les portiques dans les lycées). Plus tristement, quand elle soulève des craintes et arguments juridiques contre un décret prévoyant la mise en place d’un dispositif de reconnaissance faciale (comme ce fut le cas pour Alicem), le gouvernement ne l’écoute pas. Et la présidente de la CNIL, Marie-Laure Denis, semble se satisfaire de cette impuissance.

Son récent « code de la route » de la reconnaissance faciale n’est pas des plus encourageants : si la CNIL y souligne bien les dangers intrinsèques à la technologie, elle ne semble pas avoir le courage politique suffisant pour en tirer la conclusion logique, c’est-à-dire son interdiction. Les lignes « rouges » qu’elle entend tracer semblent d’ailleurs bien faibles, et ses mises en garde tout aussi timorées. Dire, par exemple, que « la reconnaissance faciale à la volée, qui repose sur une captation indifférenciée des visages dans un espace déterminée, appelle à une vigilance toute particulière », n’est en aucun cas une ligne rouge. Une telle « audace » n’aura sans doute pas effrayé outre mesure les élus comme Christian Estrosi qui font leur beurre électoral de ces technologies sécuritaires. Ce dernier s’est d’ailleurs dit en partie « satisfait » de cette note. Comme les promoteurs précédemment cités, et bien que son discours se veuille plus soucieux des libertés publiques que d’autres, la CNIL semble pourtant se forcer à croire une voie médiane entre protection des droits et objectifs sécuritaires, et se résigner comme les autres au caractère à la fois nécessaire et inéluctable de ces nouveaux dispositifs.

Devant cette avalanche de volontés univoques, pour qui la compétitivité commerciale vaut mieux que toutes les libertés fondamentales, les citoyens qui ne veulent pas être surveillés se sentent bien isolés. Par qui faudra-t-il passer pour que quelqu’un redise enfin que la surveillance de tous les visages n’est proportionnée à aucun crime, mais seulement à un fantasme de dirigeant totalitaire ?

La nécessité d’une interdiction

La prochaine étape paraît donc être cette « loi d’expérimentation » qui devrait logiquement apporter certains assouplissements au RGPD ou à la directive police-justice. La future loi renseignement sera-t-elle le véhicule législatif privilégié pour l’expérimentation de ces technologies de surveillance massive ?

Il faudra le répéter, encore et encore : la reconnaissance faciale est une technologie exceptionnellement invasive, déshumanisante et élaborée à terme pour la surveillance et le contrôle permanente de l’espace public. Comme nous le disions il y a déjà quelques semaines, elle « attribue au visage, non plus une valeur de personnalité, l’expression même de la singularité d’une personne humaine, mais une fonction de dénonciation ». Elle promet un contrôle invisible et indolore (on ne sait pas quand une caméra prend notre visage, contrairement au relevé des empreintes ou de l’ADN par exemple) pour nous imposer une vérification d’identité « permanent[e] et général[e] ». Et ne tombons pas dans le piège de la confusion lexicale organisée entre « reconnaissance faciale » et « comparaison faciale », où la seconde serait moins importante que la première : en plus de participer à l’entraînement des algorithmes, l’authentification par reconnaissance faciale prépare, banalise et nous entraîne vers l’identification constante et généralisée sur la voie publique.

Il n’existe pas de « reconnaissance faciale éthique » ou d’usage raisonné d’une surveillance biométrique intrinsèquement totalitaire. Seule l’interdiction est envisageable.

—-

[1] Ce cadre pourrait d’ailleurs servir de référence pour la pseudo-consultation citoyenne promise par le gouvernement.

[2] L’INHESJ a publié sur son site un rapide résumé de son rapport.