Que ce soit pour circuler, consommer ou accéder à des données, le visage sert de plus en plus de passeport. Or, la reconnaissance faciale ne s'arrête pas à l'authentification : elle peut aussi servir à contrôler les gens à distance et même à décrypter leur caractère ou leur orientation sexuelle. Une "inquisition" qui inquiète jusqu'aux chercheurs en I.A.

TROIS DATES CLÉS

3 nov. 2017
Apple sort un iPhone doté d'un système de reconnaissance faciale (Face ID) permettant de le déverrouiller, d'authentifier des achats, d'accéder à des applis… Cette fonction pose des questions de sécurité et de respect de la vie privée - notamment sur le lieu de stockage des visages numérisés…
14 mai 2019
Le conseil municipal de San Francisco vote l'interdiction de l'utilisation de la reconnaissance faciale dans ses rues par les forces de police. Motif : "La propension de cette technologie à mettre en danger les libertés civiles surpasse substantiellement ses bénéfices supposés. "
Sept. 2019
Deux lycées de la région Paca, Ampère à Marseille et Les Eucalyptus à Nice, filtrent désormais l'entrée des élèves avec un système d'authentification faciale - le consentement des parents étant nécessaire pour chaque élève. Une initiative très critiquée, qui fait l'objet de recours en justice.
626 millions
Le nombre de caméras de vidéosurveillance que devrait compter la Chine en 2020 - contre moins de 2 millions en France. Le marché chinois de la reconnaissance faciale croît de 20 % par an.

Lire la suite sur Science et vie

De l'authentification…
DANS LES SMARTPHONES, À LA DOUANE, À LA CAISSE…
Partout, la reconnaissance faciale est en train de remplacer - ou de compléter - nos codes secrets et nos empreintes digitales. Cette technique désormais très fiable nécessite le consentement de la personne… Mais il arrive parfois qu'aucune alternative ne soit proposée.

Rappel : La reconnaissance faciale s’apprête à déferler en France. Pour documenter et résister à ces déploiements, rendez-vous sur technopolice.fr et son forum !

Mardi 24 septembre, La Quadrature était conviée à la « vingt-quatrième journée technico-opérationnelle de la sécurité intérieure », qui se tenait dans un amphithéâtre bondé de la Direction générale de la gendarmerie nationale. Ces rencontres sont organisées tous les six mois par le ministère de l’intérieur, et celle-ci avait pour thème : « reconnaissance faciale : applications – acceptabilité – prospective ».

Les rencontres « technopolice » sont marquées par un fort entre-soi, mêlant fonctionnaires du ministère de l’intérieur, chercheurs et industriels de la sécurité (à l’exception de la Quadrature, un avocat critique était également invité, ainsi que deux personnes de la CNIL qui s’en sont tenu à un simple rappel du droit applicable). Et dans cette atmosphère feutrée, notre intervention semble avoir détonné, comme en témoigne le compte-rendu de cette journée publié par l’Essor, le journal des gendarmes.

Nous étions sincèrement reconnaissants de l’invitation, et contents d’assister à des présentations fournissant des informations de première main qui sont autrement très difficiles d’accès pour les militants ou chercheurs travaillant sur ces questions. Nous l’avons rappelé en introduction de notre propos. Mais pour nous, l’enjeu était aussi de faire valoir une parole dissonante et de rappeler que, au moment où la reconnaissance faciale s’apprête à déferler dans nos sociétés, ces échanges entre opérationnels et développeurs industriels devaient faire l’épreuve de la controverse.

Voici donc une sorte de verbatim plus ou moins fidèle de notre intervention…

—

« Merci de votre invitation. De tels échanges sont trop rares. Et en dépit des désaccords fondamentaux, ils ont le mérite de créer un peu de porosité entre nos mondes.

La Quadrature du Net est une association fondée en 2008 pour résister aux formes de contrôle d’Internet qui allaient à l’encontre des libertés publiques. Aujourd’hui, nous nous rendons pleinement compte de la justesse des combats des années 1960 et 1970, où des groupes militants associaient l’informatique à la domination bureaucratique. Ils l’associaient à un régime technocratique plutôt que démocratique, non pas fondé sur l’autonomie et la liberté mais sur l’expertise alléguée de quelques hauts pontes formés dans les écoles d’élite.

Ce régime technocratique est toujours le nôtre. L’insistance mise sur le critères d’efficacité lors de cette journée l’illustre de bien, de même que l’extrême faiblesse de la prise en compte des aspects non seulement juridiques et éthiques, mais aussi proprement politiques de technologies comme la reconnaissance faciale.

La domination technocratique évite la confrontation démocratique. Ces 24ème rencontres « Technopolice » en fournissent là encore un exemple : aucune information ne doit filtrer, les participants étant astreints à un « engagement de non-divulgation ». De même, la présence en ligne de ces rencontres qui existent depuis années est quasi nulle. De fait, aucune information ne filtre. Une confidentialité qui entache tout ce dont on discute ici d’un grave déficit de légitimité démocratique, alors même que tout cela est incontestablement d’intérêt public.

Indirectement, l’extrême discrétion qui entoure ces rencontres nous a été utile, nous permettant d’utiliser le mot « technopolice » pour lancer, avec d’autres acteurs associatifs, notre propre campagne le 16 septembre dernier. En inscrivant le terme dans un moteur de recherche pour voir si nous étions les premiers à vouloir l’utiliser, nous avions découvert des traces de ces rencontres, mais si peu nombreuses que nous avions alors pensé que ce n’était pas un problème que de reprendre ce terme à notre compte (et ce n’est que quelques mois plus tard que nous recevions votre invitation à venir ici aujourd’hui…).

En écoutant vos présentations, nous mesurons une nouvelle fois le fossé qui sépare la réalité des usages de l’informatique dans le cadre de la surveillance d’État, et les informations publiques qui filtrent à son sujet. C’est justement contre ce secret que notre campagne vise à documenter les projets technopoliciers, et à permettre à chacun de se mobiliser pour dire notre refus collectif de ces technologies de contrôle qui essaiment partout en France.

Ces technologies sont très largement développées dans le cadre de la recherche publique, parfois avec le contournement explicite du cadre juridique applicable en Europe. C’est par exemple le cas lorsque des chercheurs français travaillent avec des homologues chinois pour perfectionner leurs algorithmes de reconnaissance faciale grâce aux bases de données de visages de citoyens chinois. Ou, comme on l’a appris ce matin, quand le gouvernement français passe un accord de sécurité avec celui de Singapour afin qu’un industriel français puisse passer outre les réserves de la CNIL et expérimenter le scan en temps réel sur les visages d’une foule dans un hub de transport de la ville-État. On ne peut s’empêcher de voir dans ces manœuvres un écho pas si lointain des expérimentations et mesures d’exception pratiquées à l’époque coloniale sur les peuples colonisés, avant d’être réimportées en métropole.

Outre la recherche publique, ces développements technologiques sont pilotés par des personnes en situation relevant plus ou moins directement du conflit d’intérêt, avec de nombreux croisements et hybridations entre secteur public et privé. Ils aboutissent aujourd’hui à des expérimentations locales hautement subventionnées pour assurer la compétitivité des industriels français sur ce marché porteur. Le tout, là encore, sans information transparente ni vrai débat public. Rien ne doit entraver le progrès de la technopolice.

La question de la légalité de ces outils est aussi largement éludée. Et quand elle est abordée, c’est toujours pour évoquer les restrictions que le cadre juridique existant imposerait à leur développement, et non sur les atteintes graves et injustifiables que ces outils portent à nos libertés fondamentales. Nos libertés d’expression, de manifestation, d’aller et venir sont pourtant bien en jeu ici, tout comme notre droit à la vie privée. Il faut s’interroger sur l’atteinte intrinsèquement disproportionnée à nos libertés que représente un outil comme la reconnaissance faciale, disproportion que souligne d’ailleurs la ville de San Francisco dans son ordonnance qui en interdit l’usage à ses policiers : « La propension de la technologie de reconnaissance faciale à mettre en danger les droits civils et les libertés civiles l’emporte largement sur les avantages escomptés (…) ». Il faut aussi s’interroger sur la compatibilité des dispositifs fantasmés par la Préfecture de police de Paris et bien d’autres avec la jurisprudence du Conseil Constitutionnel qui soulignait, déjà en 1993, l’illégalité de « pratique de contrôles d’identité généralisés et discrétionnaires ».

C’est pour cette raison que nous avons déjà déposé deux recours, pour lutter contre la normalisation et la banalisation d’un tel outil : l’un contre la délibération de la Région Sud autorisant une expérimentation de portiques biométriques dans deux lycées, l’autre contre l’application AliceM, développée par le ministère de l’Intérieur, et qui veut faire de la reconnaissance faciale une la clé de voûte d’une future identité numérique.

Sans doute aimeriez-vous que, face à l’inéluctabilité de nouvelles lois destinées à encadrer les dispositifs présentés aujourd’hui, nous puissions offrir des conseils sur ce que seraient des lois « socialement acceptables » et « juridiquement soutenables » ? Le Forum Économique Mondial et le Conseil national du numérique nous ont eux aussi proposé de participer à une série de dialogues sur l’encadrement de la reconnaissance faciale.

Un peu plus de transparence, un semblant de contrôle par la CNIL, une réduction des biais racistes et autres obstacles apparemment « techniques » auxquels se heurtent ces technologies, et l’on croit possible d’assurer un compromis « éthique » entre la défense technologique de l’ordre public et l’État de droit. Ces projets de loi viendront. Le pouvoir politique y sera réticent car, sauf à instrumentaliser les enjeux de sécurité (ce dont il est certes désormais coutumier), il n’y a généralement pas grand-chose à gagner à faire passer des lois de surveillance.

Pour notre part, il est probable nous soyons une nouvelle fois contraints de travailler sur ces projets de loi sécuritaires, pour défendre les droits humains et limiter la casse. Pour utiliser le droit dans le but d’entraver au maximum l’usage de ces technologies.

Mais nous vous le disons tout net : après y avoir réfléchi, nous considérons que la reconnaissance faciale et autres technologies technopolicières doivent être proscrites. Elles mènent l’humanité vers une pente dangereuse : ces technologies permettent d’insidieuses formes de contrôle au bénéfice de quelques maîtres seul capable de « réviser les paramètres » des machines à son service.

Plutôt que de discuter des modalités d’un « encadrement approprié », nous exprimons donc notre refus vis-à-vis de de ces technologies policières. Nous pensons à nos grand-mères et à nos grand-pères qui, s’ils avaient du vivre au début des années 1940 dans un monde saturé des technologies que vous fabriquez, n’auraient pas survécu plus de trois semaines dans la clandestinité, et n’auraient donc pas pu organiser des réseaux de solidarité dissidents pour résister au régime nazi.

Nous disons notre refus car pour nous, la sécurité c’est d’abord des logements dignes, un air sain, la paix économique et sociale, l’accès à l’éducation, la participation politique, l’autonomie patiemment construite. Et que ces technologies n’apportent rien de tout cela. Elles semblent d’abord et avant tout conçues pour vider nos régimes politiques de tout essence démocratique en assurant un téléguidage de nos conduites. Sous prétexte d’efficacité, elles aboutissent à déshumaniser encore davantage les rapports qu’entretiennent les bureaucraties policières avec la population.

C’est peut être l’une des premières fois que, vous tous qui travaillez depuis longtemps sur ces déploiements technologiques, vous êtes confrontés a une opinion réellement dissonante. Peut être y verrez-vous le signe de l’inutilité de ce type d’échanges. Nous espérons qu’au contraire, vous comprendrez qu’il s’agit d’une confrontation nécessaire trop longtemps retardée – retardée jusqu’à nous mettre pratiquement dans la situation du fait accompli. Et nous espérons que vous comprendrez que ce débat, vous ne pourrez plus y échapper. Vous devez entendre notre refus ».

Lundi dernier, La Quadrature du Net a déposé un recours devant le Conseil d’État pour demander l’annulation du décret autorisant la création de l’application mobile intitulée « ALICEM », pour « Authentification en ligne certifiée sur mobile ». En y conditionnant la création d’une identité numérique à un traitement de reconnaissance faciale obligatoire, le gouvernement participe à la banalisation de cette technologie, et cela au mépris de l’avis préalable de la CNIL qui avait pourtant souligné son illégalité. Les récentes déclarations de Christophe Castaner qui a mis en avant cette application pour lutter contre l’anonymat et la haine sur Internet ne peuvent qu’alerter.

L’application ALICEM, développée par l’Agence des Titres Sécurisés (ANTS), vise à permettre aux détenteurs d’un passeport biométrique (ou d’un titre de séjour électronique) de se créer une identité numérique pour faciliter l’accès à certains services sur Internet, administratifs ou commerciaux. Comme l’explique la notice même du décret qui en autorise la création, « ce traitement automatisé de données à caractère personnel vise à permettre une identification électronique et une authentification pour l’accès à des services en ligne en respectant les exigences relatives au niveau de garantie requis par le service en ligne concerné au sens du règlement européen « eIDAS » (…). Le moyen d’identification électronique peut être utilisé prioritairement pour l’accès à des services dont les fournisseurs sont liés par convention à FranceConnect » (par exemple, impots.gouv, l’Assurance maladie… voir une liste des partenaires ici).

Concrètement, cela fonctionne ainsi : une personne détenant un titre avec une puce biométrique (passeport ou titre de séjour) télécharge l’application sur son smartphone (pour l’instant seulement sur les téléphones Android), pour y créer un compte. Pour cela, il doit procéder à la lecture avec son téléphone de la puce de son titre électronique. L’application a alors accès aux données qui y sont stockées, hors les empreintes digitales (notons que le décret du fichier TES est donc modifié pour permettre la lecture des informations stockées sur la puce électronique). Enfin, pour activer le compte, il faut se subordonner à un dispositif de reconnaissance faciale (dit « statique » et « dynamique », c’est à dire une photo et une vidéo avec des gestes à accomplir devant la caméra) pour vérifier l’identité. Alors seulement, l’identité numérique est générée et la personne peut utiliser ALICEM pour s’identifier auprès de fournisseurs de services en ligne [1].
Reconnaissance faciale obligatoire

Alors pourquoi l’attaquer ? Car l’application ALICEM oblige, au moment de l’activation du compte, de recourir à ce dispositif de reconnaissance faciale, sans laisser aucun autre choix à l’utilisatrice ou l’utilisateur. L’article 13 du décret énonce ainsi que l’ANTS informe l’usager « concernant l’utilisation d’un dispositif de reconnaissance faciale statique et de reconnaissance faciale dynamique et au recueil de son consentement au traitement de ses données biométriques ». Or, au sens du règlement général sur la protection des données (RGPD), pour qu’un consentement soit valide, il doit être libre, c’est-à-dire qu’il ne peut pas être contraint : « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix » (Considérant 42). Ici, la personne voulant utiliser ALICEM n’a pas le choix de passer ou non par ce dispositif de reconnaissance faciale et le consentement dont se revendique le gouvernement n’est donc pas valable.

Cette analyse est d’ailleurs celle de la CNIL qui a rendu un avis sur ce décret, préalablement à sa publication. Dans cet avis, elle énonce clairement que, vu que la reconnaissance faciale est obligatoire et qu’il n’existe aucune autre alternative pour se créer une identité via ALICEM, « le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD ». Malgré cet avis et les alternatives imaginées par la CNIL au dispositif de reconnaissance faciale, le gouvernement n’a pas modifié son décret en le publiant.

À l’heure où les expérimentations de reconnaissance faciale se multiplient sans qu’aucune analyse ou débat public ne soit réalisée sur les conséquences d’un tel dispositif pour notre société et nos libertés [2], en général dans une large illégalité, et alors que des villes aux États-Unis en interdisent explicitement l’utilisation pour les services municipaux [3], le gouvernement français cherche au contraire à l’imposer à tous les citoyens via des outils d’identification numérique. Et même s’il ne s’agit ici pas de reconnaissance faciale « en temps réel » par des caméras de surveillance, il s’agit néanmoins bien de normaliser la reconnaissance faciale comme outil d’identification, en passant outre la seule condition qui devrait être acceptable pour son utilisation : notre consentement libre et explicite. Le gouvernement révèle par ailleurs son mépris pour la CNIL, dont l’influence semble diminuer de plus en plus. Fléchissant il y a quelques mois devant les publicitaires en leur laissant encore un an de plus pour respecter le RGPD (voir notre article), elle apparaît ici plus faible que jamais quand elle alerte le gouvernement sur la violation du consentement d’une personne quand au traitement de ses données biométriques et que le gouvernement ne la respecte clairement pas.
La haine, l’anonymat et ALICEM

Attaquer ce décret est d’autant plus nécessaire quand on voit les dangereux liens que tisse le ministre de l’Intérieur Christophe Castaner entre anonymat, haine et identité numérique. Il écrit ainsi, en tête de son rapport « État de la menace liée au numérique en 2019 » : « La liberté, justement, voilà tout le paradoxe d’internet. L’anonymat protège tous ceux qui répandent des contenus haineux et permet à des faux-comptes de se multiplier pour propager toutes sortes de contenus. Nous ne pouvons pas laisser les publications illicites se multiplier. Nous devons donc relever le défi de l’identité numérique pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il correspond vraiment ». Et quand il parle, plus loin, d’identité numérique, c’est pour directement mentionner le dispositif ALICEM. Le débat sur l’identité numérique arrive donc à grande vitesse et l’utilisation que souhaite en faire le gouvernement ne peut qu’alerter : un outil non pas au service du citoyen mais contre lui, pour lutter contre l’anonymat en ligne, pourtant fondamental pour l’exercice de nos droits sur Internet.

Un projet d’identité numérique, fondé sur un dispositif de reconnaissance faciale obligatoire (au mépris du RGPD) et ayant pour objectif avoué d’identifier chaque personne sur Internet pour ne plus laisser aucune place à l’anonymat ne peut qu’être combattu. C’est l’objet de ce recours.

—

[1] Voir également l’analyse de Marc Rees sur Next Inpact.

[2] Lire notre analyse des enjeux politiques de la reconnaissance faciale.

[3] La ville de San Francisco a récemment adopté une telle interdiction, bientôt rejointe par une autre ville du Massachusetts.