La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance

C. CRÉER UN CADRE DE CONTRÔLE ET DE REDEVABILITÉ

Le déploiement d'une technologie de reconnaissance biométrique devrait faire l'objet d'un contrôle a priori et a posteriori . Comme le souligne Caroline Lequesne-Roth, il en va de « la démocratie technologique » qui « se construira ainsi par l'élaboration d'un régime de transparence et de redevabilité algorithmique forte . ( ...) Concernant la reconnaissance faciale, les autorisations préalables, le contrôle par des tiers des usages et les audits algorithmiques sont autant de composantes essentielles au respect des règles » .

Il s'agit tout d'abord d'instaurer une autorisation au cas par cas du déploiement de la technologie de reconnaissance biométrique. La demande d'autorisation devrait comporter les informations nécessaires pour apprécier le bien-fondé de la demande. Comme en matière de déploiement de drones ^{137 ( * )} , il pourrait s'agir des informations suivantes : le service responsable des opérations ; la finalité poursuivie ; la justification de la nécessité de recourir au dispositif, permettant notamment d'apprécier la proportionnalité de son usage au regard de la finalité poursuivie ; les caractéristiques techniques du dispositif de reconnaissance faciale nécessaire à la poursuite de la finalité ; le cas échéant, les modalités d'information du public ; la durée souhaitée de l'autorisation ; le périmètre géographique concerné.

En cas d'utilisation par les forces de sécurité intérieure, il apparaît nécessaire de distinguer selon qu'il s'agit d'un cadre de police judiciaire ou de police administrative. Dans le cadre judiciaire, et conformément au droit de la procédure pénale, le pouvoir d'autorisation pourrait être dévolu au magistrat , juge d'instruction ou procureur de la République selon le cadre procédural dans lequel serait demandé l'acte. Dans le cadre préventif, l'autorisation de déploiement pourrait être délivrée par le préfet, comme en matière de drones. Le cadre actuel de l'article 90 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés serait maintenu : en sus de l'autorisation, le traitement devrait faire l'objet d'une analyse d'impact relative à la protection des données (AIPD) et être adressée à la CNIL avec demande d'avis .

Pour les acteurs privés, compte tenu de la particulière sensibilité des techniques de reconnaissance biométrique, il semble indispensable de rétablir une autorisation préalable de la CNIL si cette technique est destinée à être déployée dans un espace accessible au public, et de sortir ainsi de l'ambigüité actuelle qui les oblige à établir une analyse d'impact relative à la protection des données (AIPD), mais non à saisir la CNIL, contrairement aux pouvoirs publics.

Enfin, afin de conserver une vision globale des recours aux techniques de reconnaissance biométrique, quelle que soit l'autorité ayant délivré l'autorisation, les rapporteurs préconisent un recensement national de ces autorisations.

Enfin, il convient de réaffirmer le rôle de la CNIL comme autorité de contrôle a posteriori du bon usage des dispositifs de reconnaissance biométrique et des éventuels détournements de finalité en dehors du cadre défini . Cette compétence générale suppose que des moyens humains, financiers et institutionnels adéquats lui soient accordés pour procéder aux contrôles nécessaires et, au besoin, imposer les correctifs, voire l'arrêt de dispositifs illégaux. Elle pourrait bénéficier dans cette tâche de l'appui technique du Pôle d'expertise de la régulation numérique (PEReN).

Une fois encore, en matière de renseignement, l'autorité de contrôle serait la CNCTR qui a pour mission de veiller à ce que les techniques de renseignement soient légalement mises en oeuvre sur le territoire national.

---

* ¹³⁷ Article L. 242-5 du code de la sécurité intérieure.