La reconnaissance faciale va-t-elle permettre de simplifier la vie des Français ou au contraire ouvrir l’ère d’une société de surveillance généralisée ? À l’heure où le gouvernement planche sur une identité numérique, le débat est plus que jamais nécessaire pour trouver le difficile équilibre entre sécurité, libertés publiques et enjeux économiques.
La reconnaissance faciale va-t-elle permettre de simplifier la vie des Français ou au contraire ouvrir l'ère d'une société de surveillance généralisée à l'image du Big Brother imaginé par George Orwell dans son roman «1984» ? Pour l'heure la question est en débat, entourée de l'enthousiasme des uns et des inquiétudes des autres sur fond de fantasmes variés.
Pour les premiers, la reconnaissance faciale est à la fois source de simplification et de sécurisation. L'expérience menée à Nice lors d u carnaval avec la technologie d'une start-up israélienne a donné des résultats impressionnants de précision (lire plus bas), même si l'exercice reste soumis à des biais notamment sur la diversité des «cobayes».
Pour les autres, simples citoyens ou associations de défense des libertés publiques, cette technologie qui se base sur les réseaux de vidéosurveillance est beaucoup trop intrusive, insuffisamment encadrée et son détournement pour une surveillance de masse une possibilité, à l'instar de ce qui se passe en Grande-Bretagne ou en Chine – ce dernier pays ayant instauré un système de notation de ses citoyens fondé sur la reconnaissance faciale.
Mission d'information à l'Assemblée nationale
La France avance pour l'heure prudemment, notamment avec la mise en place de l'identité numérique Alicem (pour «Authentification en ligne certifiée sur mobile»), lancée par le ministère de l'Intérieur et l'Agence nationale des titres sécurisés (ANTS). Au moment de sa création, cette identité numérique fait appel à la reconnaissance faciale via un smartphone dans des conditions qui restent à éclaircir. Le Conseil national du numérique s'est saisi de la question et mène une série de consultations citoyennes et l'Assemblée nationale a créé fin octobre une mission sur l'identité numérique en France qui doit balayer tant les choix technologiques, l'encadrement juridique, la gouvernance que le modèle économique de cette identité numérique. La Quadrature du Net, association de défense des libertés a, elle, attaqué devant le Conseil d'Etat le décret créant Alicem et demande «l'interdiction pure et simple» de la reconnaissance faciale…Alors qu'en Europe, l'usage de la reconnaissance faciale est encadré par le Règlement général pour la protection des données personnelles (RGPD), qui suppose un consentement «libre» et «éclairé» des personnes susceptibles d'être filmées, en France, la Commission nationale de l'informatique et des libertés (CNIL) se montre particulièrement vigilante sur les divers projets qui fleurissent et rappelle que l'identification de personnes, dans un espace public, par analyse automatique sans consentement préalable est interdite (sauf en cas d'infraction flagrante ou après décision d'un juge).
Mais ces louables préventions seront-elles assez fortes face à la vague de la reconnaissance faciale ? Car cette technologie mâture a largement dépassé le stade des expérimentations et est déjà dans notre quotidien. 45 % des smartphones se déverrouillent déjà via la reconnaissance du visage de leur utilisateur. Dans les aéroports de Roissy-Charles de Gaulle et d'Orly, 102 bornes de contrôle par reconnaissance faciale ont remplacé celles à lecture d'empreintes digitales. Gain de temps et de fiabilité pour tous les détenteurs de passeports biométriques, soit tous les ressortissants de l'espace Schengen. Dans le transport aérien, le visage des passagers pourrait tout simplement remplacer la carte d'embarquement. Après un test en 2018, le groupe ADP et Air France lanceront une expérience en 2020. La reconnaissance faciale est également utilisée par Eurotunnel, par les banques pour ouvrir un compte ou comme mot de passe pour valider ses achats sur internet voire en boutiques physiques, etc.
Et les applications ne s'arrêteront pas là. De la sécurisation des grands événements sportifs à celle des sites sensibles en passant par la location de voitures : la reconnaissance faciale peut potentiellement être partout, au point que certains activistes tirent la sonnette d'alarme et imaginent déjà des astuces pour la brouiller (via des t-shirts perturbant la reconnaissance par exemple). Mais au-delà des libertés publiques, la reconnaissance faciale implique d'énormes enjeux économiques, y compris en France où opèrent des sociétés spécialisées comme Idemia (ex-Safran Identity & Security) ou Thalès.
Sécurité, protection des libertés, économie autant de thèmes qui nécessitent plus que jamais un vrai grand débat public.
Les Israéliens en pointe
L'expérimentation de reconnaissance faciale à grande échelle menée à Nice en février durant le carnaval doit son succès à une start-up israélienne : AnyVision.Fondée en 2005 dans le pays qui se revendique comme une «start-up nation», AnyVision Interactive Technologies s'est spécialisée dans la reconnaissance visuelle des humains et des objets. Et son PDG, Eylon Etshtein, entend bien devenir un des leaders mondiaux d'un secteur en plein boom.
Basée à Tel Aviv, AnyVision – dont l'un des conseillers est un ancien patron du Mossad, les services secrets israéliens – a su nouer des partenariats stratégiques avec Telefonica, Bosch, NVidia, ou encore Google et Microsoft, et surtout a su utiliser les recherches menées en Europe. «Nos algorithmes et nos produits sont le fruit de recherches fondamentales collectées au Royaume-Uni dans les meilleures universités du pays : Oxford, Cambridge, Queens. Mon associé, le professeur Neil Robertson, a trouvé les moyens de les appliquer et ainsi est née AnyVision», détaillait l'an dernier Eylon Etshtein dans un entretien à L'Usine digitale.
Le système mis au point par AnyVision se distingue d'une part par sa capacité à évoluer pour s'adapter à toutes les conditions possibles de prises de vues des caméras de vidéosurveillance (météo, luminosité,…) et d'autre part à utiliser le deep learning (apprentissage profond) et l'intelligence artificielle. La start-up revendique ainsi une précision de 99 %.
De quoi séduire de nombreuses villes ou états, aux États-Unis, en Amérique centrale ou en Europe, d'autant que ses logiciels de reconnaissance biométrique peuvent fonctionner avec tous types de caméras et requièrent peu de capacités de calculs informatiques. 43 pays en ont déjà fait l'acquisition et l'utilisent sur 350 sites comme les aéroports, les casinos, les stades…
Face aux craintes exprimées sur le risque de surveillance de masse, AnyVision met en avant qu'elle ne vend ses systèmes «qu'aux pays démocratiques dotés de gouvernements appropriés» et que ses solutions respectent la vie privée et notamment le Règlement général sur la protection des données (RGPD).
«Nous n'avons pas besoin de filmer et garder en stock les visages. Une fois que notre système est installé, il pixélise automatiquement tous les profils, même l'opérateur du centre de contrôle ne peut pas voir votre visage car les modèles mathématiques ne représentent que les personnes d'intérêt. Notre solution est conforme aux normes européennes, au RGPD bien sûr, c'est même un excellent argument de vente pour nous», expliquait le PDG.
Inquiétude autour de l'identité numérique Alicem
La reconnaissance faciale s'invite dans la nouvelle application voulue par le gouvernement : Alicem, pour «Authentification en ligne certifiée sur mobile», lancée par le ministère de l'Intérieur et l'Agence nationale des titres sécurisés (ANTS). En test depuis juin, cette application à installer sur son smartphone Android (Apple a refusé d'ouvrir le lecteur de ses iPhone) Alicem donnera accès à l'ensemble des services partenaires de FranceConnect, le dispositif de l'État qui facilite l'accès aux services en ligne (plus de 500 services publics disponibles, dont la demande de passeport, d'allocation logement, etc.). Créer un compte Alicem n'est pas obligatoire mais simplifie évidemment la connexion aux services de l'Etat.
L'identité délivrée par Alicem est basée sur les informations contenues dans la puce sécurisée d'un titre biométrique (passeport ou titre de séjour). Lors de la création du compte, Alicem vérifie par reconnaissance faciale que la personne qui utilise le smartphone est bien le détenteur du titre. Il s'agit de réaliser une courte vidéo de soi en faisant certains mouvements du visage. Un logiciel de reconnaissance faciale vérifie que la vidéo et la photo correspondent. Si c'est le cas, un code à six chiffres est généré et communiqué à l'utilisateur. Il sera valable pour toutes les identifications futures.
La vidéo est ensuite détruite, assure l'ANTS. La CNIL s'est montrée très réservée, notamment sur le fait que l'ANTS conserve certaines données d'historique de connexion. Pour lever les inquiétudes, le CNNum (Conseil national du numérique), saisi par le secrétaire d'État chargé du Numérique sur l'identité numérique en juillet, a décidé d'organiser jusqu'à mi-décembre une série de consultations.
La première a eu lieu à Montpelier hier, une autre suivra à Lyon le 16 novembre puis à Paris le 23 novembre. Le CNNum présentera des recommandations au gouvernement début 2020.
Nice : laboratoire des nouvelles technologies
C'est une scène culte du cinéma de science-fiction. Dans le film «Minority report» de Steven Spielberg – adaptation de la nouvelle éponyme de Philip K. Dick – sorti en 2002, le héros John Anderton, incarné par Tom Cruise, est traqué par la police. Pour éviter qu'elle ne le retrouve grâce aux multiples scanners de la rétine qui sont déployés partout dans cette société de 2054, il décide de se faire transplanter de nouveaux yeux afin de pouvoir se déplacer incognitoAujourd'hui, la science-fiction est devenue réalité et la reconnaissance faciale est en train de tout bouleverser : notre société comme notre quotidien. Depuis 2017, l'iPhone d'Apple accueille un dispositif FaceID de reconnaissance du visage et en 2020, un tel dispositif pourrait équiper quasiment tous les smartphones. Mais les expérimentations vont bien au-delà du simple déverrouillage de son smartphone et c'est la ville de Nice qui en a apporté la démonstration.
Test sur le Carnaval
L'engouement du maire LR Christian Estrosi pour la vidéosurveillance et les technologies d'identification biométrique est connu de longue date ; Nice compte une caméra pour 145 habitants et depuis juillet 2018, l'aéroport de Nice-Côte d'Azur a inauguré une évolution du système de Passage automatisé rapide aux frontières extérieures (PARAFE), qui ne vérifie plus l'identité par empreinte digitale mais par reconnaissance faciale.Cette année, l'édile a voulu aller plus loin qu'en expérimentant justement cette reconnaissance faciale, mais sur la voie publique à l'occasion du carnaval de Nice. Une première en France, pour laquelle la Commission nationale informatique et libertés (Cnil) a été tardivement saisie. Si elle a accompagné l'expérimentation, elle n'a pas eu besoin de délivrer de feu vert, puisque depuis l'entrée en vigueur du RGPD (règlement général européen sur la protection des données personnelles) le 25 mai 2018, les dispositifs biométriques ne sont plus soumis à son autorisation préalable… Tout juste la CNIL a-t-elle rappelé que la reconnaissance faciale sur la voie publique ne pouvait, dans le cadre législatif actuel, «aller au-delà du simple test», aucune loi n'étant pour l'heure adaptée aux «dispositifs de reconnaissance faciale».
L'expérimentation niçoise devait notamment permettre de tester différents scénarios sur un périmètre donné, comme celui d'un enfant perdu dans la foule, d'une personne âgée vulnérable elle aussi égarée ou encore d'une personne dite «d'intérêt», c'est-à-dire recherchée. Un millier de volontaires venant au carnaval devaient être amenés à jouer le rôle de cobaye et à accepter le principe de la reconnaissance faciale. Mais devant la difficulté à recueillir le consentement des personnes, la Ville a réalisé le test avec une quarantaine de «cobayes.»
Six caméras de vidéosurveillance positionnées sur le périmètre de test ont été secondées par le logiciel AnyVision, créé par une start-up israélienne.
«À l'issue de l'expérimentation, nous établirons un rapport et une proposition de loi qui doit permettre de faire évoluer les lois Informatique et Liberté de 1978 et celle sur la vidéosurveillance de 1995», avait annoncé Chistian Estrosi le 18 février.
Technologie israélienne
Cette semaine, nos confrères de La Croix ont dévoilé les grandes lignes de ce rapport et les résultats sont impressionnants, dépassant tout ce que l'on connaissait jusqu'à présent. Ainsi, lorsque les policiers municipaux étaient en charge d'identifier une quarantaine de volontaires dans une foule de 5 000 personnes. «Le logiciel est capable d'indiquer en temps réel lorsqu'une personne est autorisée à pénétrer dans une zone dédiée» en la comparant immédiatement à une base de données, détaille le rapport, qui précise aussi que la personne peut être «de profil et en mouvement».Mieux, le logiciel a été capable de reconnaître une personne «à partir d'une photo vieille de 40 ans, alors que l'œil humain n'est pas en mesure d'affirmer avec certitude qu'il s'agisse de la même personne». AnyVision est également parvenu à distinguer… des jumeaux ! «Les jumeaux sont rentrés simultanément dans la zone ; seul le jumeau dont la photo a été fournie a été reconnu, le second n'a jamais été reconnu», détaille le rapport.
Enfin, lors d'une recherche d'individus dans une foule en mouvement, le logiciel a été capable de les repérer quelles que soient les conditions : «de jour ; de nuit ; de près ; de loin ; en forte luminosité ; en faible luminosité ; avec photo récente ; avec photo ancienne.»
«Le défaut de cadre juridique a eu pour effet de limiter grandement cette expérimentation qui n'a pu être menée que sur une partie de l'une des entrées du carnaval, et non à l'entière échelle de la manifestation», concluent les auteurs du rapport.
Inquiétudes de la CNIL
Ces résultats spectaculaires – qui masquent toutefois quelques biais – confortent en tout cas Christian Estrosi dans sa volonté d'étendre un tel dispositif. Le maire de Nice, par ailleurs président délégué du conseil régional de Provence-Alpes-Côte-d'Azur (PACA), souhaitait ainsi expérimenter la reconnaissance faciale dans deux lycées de la région, notamment pour en sécuriser l'accès. Mais le 29 octobre, la CNIL a rendu un avis défavorable, ses membres estimant que «ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n'apparaît ni nécessaire, ni proportionné pour atteindre ces finalités.»«La CNIL a considéré que le dispositif projeté est contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD. En effet, les objectifs de sécurisation et la fluidification des entrées dans ces lycées peuvent être atteints par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme un contrôle par badge».
«Cette décision a un siècle de retard», a pesté Christian Estrosi, qui a déclaré qu'«avec Renaud Muselier, président de la Région PACA, nous ne nous arrêterons pas à cette décision et continuerons de travailler sur cet outil efficace et moderne qui doit permettre de mieux sécuriser nos établissements tout comme l'espace public». Même s'il avait pu passer outre l‘avis de la CNIL, Christian Estrosi a préféré que la région PACA présente un nouveau dossier auprès de la CNIL, afin de mieux se conformer au RGPD.