La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance

II. UN USAGE EMBRYONNAIRE EN FRANCE SANS ENCADREMENT AD HOC

A. UN USAGE ENCORE EMBRYONNAIRE

1. Des usages pérennes limités

En France, les usages pérennes sont limités et principalement le fait des pouvoirs publics , hormis certains usages d'authentification avec consentement déjà déployés par exemple pour déverrouiller les téléphones portables ou ouvrir un compte bancaire à distance ^{21 ( * )} .

L'entrée en vigueur du règlement général de protection des données (RGPD) ^{22 ( * )} le 25 mai 2018 a modifié le cadre d'intervention de la CNIL qui n'autorise plus a priori la mise en place de traitements de données biométriques. S'agissant des acteurs privés, elle n'intervient plus désormais qu' a posteriori à l'occasion de signalements par exemple ^{23 ( * )} . Il est par conséquent difficile d'avoir une vision exhaustive des utilisations commerciales en cours , alors que tout traitement de données biométriques mis en oeuvre pour le compte de l'État , doit faire l'objet a minima d'une saisine pour avis de la CNIL via une transmission systématique de l'analyse d'impact relative aux données personnelles (AIPD) ^{24 ( * )} .

a) Les usages réalisés sans le consentement des personnes

(1) Le « Traitement des antécédents judiciaires » (TAJ)

Un dispositif de rapprochement par photographies est opéré dans le fichier du « Traitement des antécédents judiciaires » (TAJ) constitué de données recueillies, dans le cadre des procédures établies par les services de sécurité intérieure (police nationale, gendarmerie nationale et douanes). Ce traitement, prévu par les articles R. 40-23 à R. 40-34 du code de procédure pénale, est mis en oeuvre par le ministre de l'intérieur (direction générale de la police nationale et direction générale de la gendarmerie nationale) afin de faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs.

Depuis 2012, l'article R. 40-26 du code de procédure pénale autorise les forces de sécurité intérieure à utiliser la reconnaissance faciale pour identifier les personnes fichées dans le TAJ ^{25 ( * )} . Il s'agit d'un outil d'aide à l'enquête , qui peut par exemple permettre à un enquêteur qui dispose d'une photographie de l'auteur des faits d'orienter ses recherches vers une personne déjà connue du TAJ. Il est également possible d'établir des liens entre des affaires différentes , voire de les attribuer à un même auteur sur la base de sa reconnaissance sur les photographies disponibles. Cet outil vient en soutien de l'enquêteur et est paramétré pour donner un maximum de 200 réponses avec un taux de correspondance minimum de 40 %. C'est l'enquêteur qui procède in fine à l'identification de la personne.

Cette fonctionnalité par « rapprochement de photo de personne » est mise en oeuvre principalement dans le cadre d'une enquête judiciaire, sous la direction et le contrôle d'un magistrat ^{26 ( * )} . Elle peut également être utilisée dans le cadre du renseignement en application de l'article L. 234-4 du code de la sécurité intérieure qui permet aux agents individuellement désignés et spécialement habilités des services spécialisés de renseignement des ministères de l'intérieur, de la défense, des finances et des comptes publics, de consulter le TAJ, selon un profil spécifique leur permettant d'accéder à toutes les données des procédures judiciaires, y compris celles en cours, à l'exclusion de celles relatives aux victimes.

L'utilisation de l'outil de reconnaissance faciale pour interroger le TAJ est en accroissement notable depuis quelques années . En 2021, il a été utilisé 498 871 fois ^{27 ( * )} par la police nationale et environ 117 000 fois par la gendarmerie nationale ^{28 ( * )} . Selon la direction centrale de la police judiciaire (DCPJ), qui est le gestionnaire du traitement, cette montée en puissance de l'utilisation de l'outil pourrait être consécutive à l'évolution technique de l'outil intervenue en 2019 qui en a nettement amélioré la performance.

L'utilisation d'une application de reconnaissance faciale sur le TAJ a été validée par le Conseil d'État ^{29 ( * )} qui a notamment jugé que « le traitement litigieux comporte des garanties appropriées pour les droits et libertés des personnes concernées et n'institue pas, contrairement à ce qui est soutenu, un "dispositif disproportionné" ». Il a relevé que « le dispositif de reconnaissance faciale ne peut être utilisé par les services compétents qu'en cas de nécessité absolue, appréciée au regard des seules finalités du traitement, lorsque subsiste un doute sur l'identité d'une personne dont l'identification est requise ».

(2) L'utilisation de la reconnaissance faciale comme technique de renseignement

La direction générale de la sécurité intérieure (DGSI) a indiqué aux rapporteurs utiliser, dans le cadre de la loi du 23 juillet 2015 relative au renseignement , qui définit un cadre propre, dérogatoire à la loi du 6 janvier 1978, pour la collecte, la conservation et l'exploitation des données issues de techniques de renseignement, des dispositifs de reconnaissance faciale afin d'exploiter des données vidéo collectées par le biais de la mise en oeuvre de techniques de renseignement . Il s'agit alors soit d'identification (par exemple, la recherche du visage d'une cible particulière dans un flux vidéo ou dans une base souveraine de visages), soit d'authentification (regroupement de visages similaires présents dans un silo de données, afin de détecter d'éventuelles relations).

b) Les usages basés sur le consentement des personnes

Actuellement, un seul usage réalisé sur la base du consentement des personnes est mis en oeuvre par les autorités publiques : il s'agit du traitement de données pour le contrôle aux frontières PARAFE, le projet d'identité numérique Alicem ayant été abandonné.

(1) PARAFE : un système en voie d'extension

Depuis 2010 ^{30 ( * )} , un traitement de données à caractère personnel dénommé « PARAFE » (passage rapide aux frontières extérieures) est destiné à améliorer et faciliter les contrôles de police aux frontières extérieures pour les voyageurs aériens, maritimes et ferroviaires ^{31 ( * )} . Il permet d'obtenir des gains à la fois en temps de contrôle et en effectifs de police engagés ^{32 ( * )} .

Le système PARAFE fonctionne sur la base de la comparaison faciale entre l'image contenue dans le composant électronique du document de voyage présenté et la photo prise en direct de son titulaire à l'intérieur d'un sas de passage . Le voyageur se présente face à l'entrée du sas et introduit son document d'identité biométrique dans le lecteur qui accède à la puce. Le franchissement via le sas s'effectue conformément aux règles édictées par le Code frontière Schengen (CFS) ^{33 ( * )} . Aucune image prise dans le sas et du portrait lu à partir du composant sans contact du titre d'identité n'est conservée .

Depuis le début de leur déploiement en 2017, 47 batteries comptant 217 sas PARAFE ont été mises en service dans différents points de passage frontaliers tenus par la direction centrale de la police aux frontières (DCPAF), en particulier dans les aéroports de Paris-Charles-de-Gaulle, Orly, Marseille-Provence, Lyon, Nice, Bâle-Mulhouse et Bordeaux, dans les gares de Paris-Gare du Nord et Londres-Saint-Pancras, et également de part et d'autre de la liaison transmanche entre Coquelles et Cheriton.

La reconnaissance faciale à des fins d'authentification se fonde dans cette hypothèse sur le consentement de la personne qui choisit de manière volontaire de passer dans un sas spécialement conçu à cet effet , au lieu de se présenter à une aubette où est présent un garde-frontière. Cette option est offerte à toute personne majeure - ou, en entrée de territoire seulement, mineure âgée de plus de douze ans -, qui est citoyenne de l'Union européenne ou ressortissante de certains pays tiers ^{34 ( * )} et détentrice d'un document de voyage en cours de validité comportant des données biométriques ^{35 ( * )} .

Une réflexion est en cours pour étendre le recours des sas PARAFE à tous les ressortissants de pays tiers en court séjour dès lors qu'ils seraient connus du système EES et préenregistrés à un kiosque en amont.

(2) Alicem : un projet d'authentification sur mobile abandonné

Le projet Alicem, porté par le ministère de l'intérieur et l'Agence nationale des titres sécurisés (ANTS), a été lancé en 2019 ^{38 ( * )} comme étant « la première solution d'identité numérique régalienne sécurisée », conçue pour permettre de créer une identité numérique aux personnes possédant un titre d'identité ou un titre de séjour biométrique valide afin de parer à toute usurpation d'identité. Il reposait sur un système de reconnaissance faciale statique et dynamique mis en oeuvre à l'aide du téléphone mobile ^{39 ( * )} .

Son développement a rapidement suscité des inquiétudes en raison justement du recours à la technologie de la reconnaissance faciale. La CNIL, dans son avis du 18 octobre 2018 ^{40 ( * )} , s'était montrée réticente en raison du fait que « la création d'une identité numérique Alicem est subordonnée à un processus de reconnaissance faciale sans qu'aucune autre alternative équivalente ^{41 ( * )} ne soit prévue pour permettre la délivrance d'une identité numérique par cette application » , ce qui pouvait remettre en cause le caractère libre du consentement.

Bien que le dispositif ait été validé par le Conseil d'État ^{42 ( * )} , le projet Alicem a finalement été abandonné en avril 2022 et remplacé par le « Service de garantie de l'identité numérique » (SGIN) ^{43 ( * )} . Ce service a pour finalité de mettre à disposition des titulaires d'une carte nationale d'identité électronique (CNIe) ^{44 ( * )} un moyen d'identification électronique leur permettant de s'identifier et de s'authentifier auprès d'organismes publics ou privés grâce à une application installée sur un téléphone permettant la lecture sans contact de ce composant ^{45 ( * )} .

Le site du programme interministériel « France identité numérique » annonce que le SGIN n'utilisera pas la reconnaissance faciale : « l'État a choisi de développer des parcours utilisateurs les plus inclusifs possibles, qui puissent se passer de la vérification d'identité à distance, sans renoncer à un niveau de garantie élevé. Ainsi, l'application Alicem est finalement abandonnée au profit d'un enrôlement initial capitalisant sur le face-à-face sécurisé en mairie au moment de la délivrance du titre » ^{46 ( * )} .

2. Des expérimentations à la marge

Depuis l'entrée en vigueur du RGPD en 2018, la CNIL a reçu la transmission de dix analyses d'impact relatives aux données personnelles (AIPD) mettant en jeu des dispositifs de reconnaissance faciale. Huit d'entre elles concernaient des expérimentations ^{47 ( * )} .

a) Expérimentations menées par les collectivités territoriales

Selon le Secrétariat général de la défense et de la sécurité nationale, (SGDSN), les collectivités locales sont moins avancées dans la connaissance de ce type de technologies, compte tenu du cadre légal mais aussi en raison d'un moindre recours par celles-ci aux techniques de supervision sophistiquées.

Au plan national, la seule expérimentation à grande échelle qui a été réalisée est celle menée durant le carnaval de Nice , en février-mars 2019, sur la base du volontariat. La CNIL ne s'y était pas opposée car les principes du RGPD étaient respectés.

En revanche, en octobre 2019, elle avait refusé des expérimentations mettant en oeuvre un « portique virtuel » de contrôle d'accès par reconnaissance faciale à l'entrée de deux lycées de la région Provence-Alpes-Côte d'Azur, considérant que le dispositif projeté était contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD ^{48 ( * )} . Les objectifs de sécurisation et la fluidification des entrées dans ces lycées pouvaient être atteints par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge, prenant également en compte le fait que les mineurs devaient faire l'objet d'une protection renforcée.

b) Expérimentations menées par le SGDSN

Depuis 2019, le SGDSN a conduit une analyse du besoin en liaison avec la coordination nationale pour la sécurité des Jeux Olympiques et Paralympiques (JOP) et des grands événements sportifs internationaux du ministère de l'intérieur (CNSJ) et lancé une opération d'identification des technologies pouvant être pertinentes dans l'organisation des grands évènements internationaux .

Deux expérimentations reposant en partie sur des technologies de reconnaissance faciale ont été organisées.

Une expérimentation a été conduite dans le cadre du tournoi de Roland-Garros 2020 pour tester un dispositif de contrôle d'accès pour les arbitres . Il s'agissait à la fois de vérifier l'authenticité des titres d'identité et de contrôler l'accès du personnel accrédité à certaines zones.

Une autre expérimentation similaire était envisagée en 2021 sur le site du stade Orange vélodrome à Marseille . Mais la CNIL, dans deux avis des 16 septembre 2021 et 2 décembre 2021, a considéré que les objectifs de l'expérimentation ne suffisaient pas à démontrer la nécessité d'un stockage des données dans des serveurs distants ou dans le cadre d'une maîtrise partagée, ni même le recours à la biométrie .

c) Expérimentations menées par Aéroports de Paris

La société Aéroports de Paris a mis en place une expérimentation en plusieurs phases de la reconnaissance faciale, qui a été suspendue en raison de la crise sanitaire. Cette expérimentation, initiée en 2019 en coordination avec la CNIL, est destinée à fluidifier les flux de passagers : le dispositif permet aux passagers volontaires de s'enregistrer et d'embarquer de manière autonome, par simple scan du visage via reconnaissance faciale, grâce à un enrôlement biométrique préalable. Retardée à cause de la crise sanitaire de la Covid-19, la première phase a été menée entre mars et juillet 2021 puis la deuxième entre février et avril 2022.

3. Le projet avorté d'un usage d'identification à distance à grande échelle pour les JOP 2024

La France accueillera deux grands évènements sportifs en 2023 (coupe du monde de rugby) et 2024 (jeux olympiques et paralympiques). En raison des importants enjeux en matière de sécurité qu'ils posent ^{49 ( * )} , de nombreux acteurs avaient préconisé le recours à une expérimentation nationale suffisamment en amont pour pouvoir avoir recours à l'utilisation de l'identification en temps réel par reconnaissance faciale dans l'espace public.

Les pouvoirs publics semblaient prêts à lancer cette expérimentation. Le 24 décembre 2019, avait été annoncé le lancement d'une « phase d'expérimentation, de six mois à un an, sous la supervision de la société civile et des chercheurs » pour évaluer l'usage de la reconnaissance faciale à la vidéosurveillance ^{50 ( * )} . Ce projet d'expérimentation a été abandonné et différentes raisons ont été invoquées : l'attente de la législation européenne en matière d'intelligence artificielle en cours d'élaboration ^{51 ( * )} , l'absence de certitude sur la nécessité d'un cadre légal ad hoc pour mener cette expérimentation, ou encore, les échéances électorales du printemps 2022 peu propices à un débat apaisé.

Cédric O, secrétaire d'État chargé de la transition numérique et des communications électroniques, l'a confirmé lors de son audition du 16 mars 2022 : « la décision d'avoir recours à l'identification pour les jeux Olympiques de 2024 aurait dû être prise maintenant : le Gouvernement a choisi de ne pas le faire, compte tenu du contexte politique et de la sensibilité du sujet . Cela interdit donc de fait l'utilisation de dispositifs d'identification, mais ne devrait cependant pas nous empêcher d'avancer sur l'authentification de certains personnels pour l'accès aux sites olympiques , par exemple. Nous devrons donc trouver les moyens d'assurer la sécurité des jeux sans recourir à l'identification en temps réel » ^{52 ( * )} .

La directrice des libertés publiques et des affaires juridiques du ministère de l'intérieur a de son côté indiqué aux rapporteurs que le ministère de l'intérieur réfléchissait à la mise en oeuvre d'expérimentations destinées à sécuriser ces évènements et les grands rassemblements qu'ils impliquent. Mais il ne devrait s'agir désormais que de dispositifs de contrôle d'accès des personnels ou des athlètes en cohérence avec les propos tenus par le secrétaire d'État chargé de la transition numérique et des communications électroniques.

---

* ²¹ Voir par exemple la délibération n° 2018-051 du 15 février 2018 autorisant Boursorama à mettre en oeuvre un système d'identification par reconnaissance faciale des prospects lors d'une entrée en relation à distance .

* ²² Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE .

* ²³ En février 2021, à la suite de signalements, la Présidente de la CNIL a ainsi adressé un avertissement à un club sportif qui envisageait de recourir à un système de reconnaissance faciale afin d'identifier automatiquement les personnes faisant l'objet d'une interdiction commerciale de stade : https://www.cnil.fr/fr/reconnaissance-faciale-et-interdiction-commerciale-de-stade-la-cnil-adresse-un-avertissement-un-club

* ²⁴ Article 90 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .

* ²⁵ Peut être enregistrée dans ce traitement la photographie comportant les caractéristiques techniques permettant le recours à un dispositif de reconnaissance faciale (photographie du visage de face des personnes mises en cause ou disparues et des corps non identifiés).

* ²⁶ Elle ne peut pas être utilisée dans le cadre d'un contrôle d'identité, en particulier lorsque les services utilisent l'outil en mobilité, comme le rappelle une circulaire du directeur général de la police nationale du 24 janvier 2022.

* ²⁷ Ce qui représente 3,2 % du total des consultations du TAJ qui s'élèvent à 15 341 000.

* ²⁸ Réponses de la direction générale de la police nationale et de la direction générale de la gendarmerie nationale au questionnaire des rapporteurs.

* ²⁹ Arrêt du Conseil d'État, 10 ^ème chambre, 26 avril 2022, n° 442364, La Quadrature du Net .

* ³⁰ Décret n° 2010-1274 du 25 octobre 2010 portant création d'un traitement automatisé de données à caractère personnel dénommé PARAFE .

* ³¹ Voir les articles R. 232-6 et suivants du code de la sécurité intérieure.

* ³² Il est prévu un effectif de police pour la supervision de 5 sas PARAFE (contre 1 effectif par aubette classique).

* ³³ Après interrogation du fichier des personnes recherchées (FPR), du système d'information Schengen et de la base de données d'Interpol SLTD (documents de voyage volés ou perdus), sur la base des éléments d'identité biographiques de la personne (et non de sa biométrie)

* ³⁴ États partie à l'accord sur l'Espace économique européen (Norvège, Liechtenstein et Islande), Confédération suisse, États-Unis, Andorre, Australie, Royaume-Uni, Canada, Corée du Sud, Japon, Principauté de Monaco, Nouvelle-Zélande, Saint-Marin et Singapour.

* ³⁵ Doté d'une zone de lecture automatique au sens du document 9303 de l'Organisation de l'aviation civile internationale ou conforme au règlement (CE) n° 2252/2004 du Conseil du 13 décembre 2004 modifié établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres .

* ³⁶ Agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (eu-LISA).

* ³⁷ Règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d'un système d'entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d'entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d'accès à l'EES à des fins répressives, et modifiant la convention d'application de l'accord de Schengen et les règlements (CE) n° 767/2008 et (UE) n° 1077/2011 .

* ³⁸ Décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile » .

* ³⁹ Réalisation par l'utilisateur d'une vidéo en temps réel via le smartphone (en mode selfie ) en effectuant 3 actions différentes (sourire, tourner la tête, cligner des yeux) dans un laps de temps resserré et dans un ordre aléatoire et comparaison d'une photographie extraite de la vidéo à celle conservée dans la puce du titre.

* ⁴⁰ Délibération n° 2018-342 du 18 octobre 2018 portant avis sur un projet de décret autorisant la création d'un traitement automatisé permettant d'authentifier une identité numérique par voie électronique dénommé « Application de lecture de l'identité d'un citoyen en mobilité » (Alicem) et modifiant le code de l'entrée et du séjour des étrangers et du droit d'asile (demande d'avis n° 18008244).

* ⁴¹ » Ces solutions alternatives pourraient notamment prendre la forme d'un face à face (tel qu'un déplacement en préfecture, en maire, ou auprès d'un autre service public accueillant directement le public), d'une vérification manuelle de la vidéo et de la photographie sur le titre (telle qu'un envoi de la vidéo au serveur de l'ANTS et vérification de l'identité opérée par un agent) ou d'un appel vidéo en direct avec un agent de l'ANTS » a relevé la CNIL.

* ⁴² Arrêt du Conseil d'État, 10 ^ème et 9 ^ème chambres réunies, 4 novembre 2020, n° 432656, La Quadrature du Net .

* ⁴³ Décret n° 2022-676 du 26 avril 2022 autorisant la création d'un moyen d'identification électronique dénommé « Service de garantie de l'identité numérique » (SGIN) et abrogeant le décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile » .

* ⁴⁴ Carte nationale d'identité comportant un composant électronique contenant les données de la carte d'identité, à l'exception de la signature, du code de lecture automatique et du numéro de support, ainsi qu'une image numérisée de la photographie et l'image numérisée des empreintes digitales de deux doigts (voir article 1-1 du décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité ).

* ⁴⁵ La première carte d'identité électronique a été livrée le 15 mars 2021 par le groupe Imprimerie nationale.

* ⁴⁶ https://france-identite.gouv.fr/questions-frequentes/ .

* ⁴⁷ Réponses de la CNIL au questionnaire des rapporteurs.

* ⁴⁸ https://www.cnil.fr/fr/experimentation-de-la-reconnaissance-faciale-dans-deux-lycees-la-cnil-precise-sa-position .

* ⁴⁹ Selon le rapport de Jean-Michel Mis, député, au Premier ministre, environ 13 millions de billets seront vendus pour les compétitions en stade, auxquels s'ajouteront les visiteurs en fanzones et live sites (13 millions de personnes à Londres en 2012).

* ⁵⁰ Entretien avec Cédric O, secrétaire d'État chargé de la transition numérique et des communications électroniques, Caroline Piquet, Le Parisien , 24 décembre 2019.

* ⁵¹ https://www.senat.fr/questions/base/2020/qSEQ200113854.html .

* ⁵² Voir le compte rendu de l'audition de Cédric O, secrétaire d'État chargé de la transition numérique et des communications électroniques, du 16 mars 2022.