La reconnaissance faciale, c'est légal ?
Pour un événement olympique, comme pour tout événement, je ne suis pas sûr qu’il faille la reconnaissance faciale. Après, ça pose la question de quel type de société on veut. Il faut aussi accepter une part de risque – l’endroit où il n’y a aucun risque, ce n’est pas très rassurant d’un point de vue démocratique. On peut avoir ce débat, mais sur la reconnaissance faciale, je ne suis pas sûr qu’on ait aujourd’hui les moyens de garantir que demain, elle ne soit pas utilisée autrement.
Ces derniers temps, on a vu la police utiliser la reconnaissance faciale dans la rue, en scannant directement la tête des militant.e.s avec leurs téléphones pour en sortir l'identité des personnes qui ne la donnaient pas. En même temps, on a eu un scandale autour du logiciel de reconnaissance faciale Briefcam que le ministère déclare ne pas utiliser alors que tout pointe en sens inverse, un procès à Sainte-Soline où, alors que la défense affirmait que la reconnaissance faciale était illégale, elle a été acceptée par les juges, ou encore une loi sur les JO qui autorise la vidéosurveillance algorithmique tout en précisant que ce n'est pas de la reconnaissance faciale. Si on rajoute à ça Darmanin qui nous répète être opposé à la reconnaissance faciale en avançant des arguments que l'on partage, on a du mal à comprendre ce qu'il se passe. Alors, la police a-t-elle le droit de faire ça ?
Les cas dans lesquels la reconnaissance faciale est autorisée
Le décret de 2012 qui a créé le traitement des antécédents judiciaires (TAJ) prévoit la possibilité d'y enregistrer des "photographies comportant des caractéristiques techniques permettant de recourir à un dispositif de reconnaissance faciale (photographie du visage de face)". C'est sur ce petit alinéa, qui dit sous-entend que la reconnaissance faciale est autorisée, que se fondent plus de 1000 traitements par jour en France. Concrètement, cela autorise les policiers habilités à accéder à ce fichier à comparer une photo du TAJ (donc d'une personne déjà connue de leurs services) avec une photo qu'iels ont obtenue (qui ne peut pas être des images de personnes circulant sur la voie publique ou mises en ligne sur les réseaux sociaux). Le.a policier doit ensuite vérifier la proposition du logiciel.
Mais alors, la reconnaissance faciale c'est légal ? 🤯 Pas forcément, car la seconde source là-dessus, c'est la directive européenne "police-justice" qui ne l'autorise qu'en cas de "nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée" et à condition que ce soit prévu par le droit national. En 2020, la Quadrature du net (une association de défense des droits liées au numérique) a tenté de faire annuler cet alinéa sur le TAJ, en affirmant que ça ne respectait pas l'impératif de "nécessité absolue". Vu l'utilisation quotidienne et massive qui est faite de l'outil de reconnaissance faciale, on voyait mal comment cela pouvait respecter la directive. Néanmoins, le Conseil d'Etat a validé cette pratique, en expliquant (a) que vu la quantité de personnes fichées, il était impossible de vérifier manuellement (bien vu ! peut-être qu'il aurait fallu en conclure qu'il y a trop de personnes fichées ?) (b) que ce n'était pas son taf de voir si en pratique des abus pouvaient être commis. Le souci, c'est que vu l'utilisation massive, "l’autorité judiciaire n’a pas les moyens d’effectuer correctement ce contrôle" (dixit un rapport parlementaire), et que l'origine de l'image injectée dans le logiciel pour effectuer la comparaison avec la base de données du TAJ n'est pas identifiée (lorsque les policiers comparent illégalement avec une image prise sur les réseaux sociaux, on ne peut pas le savoir), en plus des problèmes liés au TAJ lui-même.
Malgré cette consécration dans le décret sur le TAJ et cette validation du Conseil d'Etat, certaines personnes continuent à affirmer que la reconnaissance faciale à partir du TAJ est illégale. Plusieurs arguments en ce sens : (a) le cadre légal très léger : un simple décret (aka un texte décidé unilatéralement par l'exécutif et pas voté par le parlement) qui ne dit pas clairement que la reconnaissance faciale est autorisée et n'en précise pas les conditions (b) le contrôle (nécessité absolue, interdiction de l'utiliser en comparant avec une image prise sur les réseaux sociaux...) est quasi impossible vu l'utilisation massive et l'absence de cadre juridique précis qui prévoie un contrôle.
Mais de toutes façons, la reconnaissance faciale est utilisée avec Briefcam (logiciel israélien d'analyse d'images acheté par la police française, la découverte de son utilisation a fait scandale), non ? Il y a plusieurs problèmes avec Briefcam (a) c'est un logiciel sensible dont l'achat en lui-même aurait dû être signalé à la CNIL - autrement dit, il n'était pas forcément illégal, mais le fait qu'il n'ait pas été déclaré l'est (b) certaines de ses fonctionnalités sont illégales, comme la reconnaissance faciale (le ministère nie l'utilisation de cette fonctionnalité), d'autres dans une zone grise, comme la vidéosurveillance algorithmique qui permet par exemple de suivre un individu dans une foule. Donc oui, c'est illégal mais c'est sans doute utilisé.
Enfin, ça nous concerne moins mais l'autre cas où l'utilisation de la reconnaissance faciale par l’État est expressément autorisée est l'authentification de l'identité des personnes qui passent les frontières (vérifier la correspondance avec l'image du passeport). On peut retrouver une liste des usages actuels ou futurs de la reconnaissance faciale par ici.
Les dérivés de la reconnaissance faciale
Si vous avez bien suivi, il n'a pas été question jusque-là de la reconnaissance faciale pendant les jeux olympiques et paralympiques (JOP). Mais alors, ce n'était pas la principale création de la loi sur les JOP ? Pas exactement, et c'est cette distinction qui permet à Darmanin de maintenir qu'il est opposé à la reconnaissance faciale. Ce qui est mis en place, c'est la "vidéosurveillance algorithmique" : un algorithme analyse la vidéosurveillance pour détecter des comportements anormaux, par exemple le franchissement d'une zone interdite, la présence ou l'utilisation d'une arme, un départ de feu ou encore un mouvement de foule. La vidéosurveillance algorithmique, ça vous rappelle quelque chose ? Oui, c'est exactement c'est exactement ce que fait Briefcam : on nous présente comme une "expérimentation" la régularisation d'une technique utilisée en dehors de tout cadre légal depuis plusieurs années.
Deux soucis supplémentaires : (a) dire que ce n'est pas de la reconnaissance faciale, ça ne va pas de soi : la détection des comportements anormaux se fonde, selon la Défenseure des droits, sur des données biométriques (aka les caractéristiques physiques, biologiques ou comportementales) - ce que le ministère nie. Autrement dit, même si le logiciel ne va pas identifier (dans le sens : ressortir l'identité) des personnes, il va s'appuyer sur des caractéristiques des personnes qui vont permettre aux policiers de les identifier. Comme le dit Lisa Belluco (député EELV) : "L’algorithme va permettre de reconnaître des personnes, sans nécessairement les identifier. Reconnaître signifie fournir une description suffisamment détaillée pour permettre aux agents sur le terrain de repérer une personne" (source ici). Bref, on peut considérer que la loi JO autorise la reconnaissance biométrique (la reconnaissance faciale est une sorte particulière de reconnaissance biométrique, puisqu'elle ne regarde que le visage) (b) dans tous les cas, c'est une technologie extrêmement intrusive.
Bon, mais alors ils peuvent l'utiliser en nous prenant en photo dans un contrôle d'identité, oui ou non ?
Eh bien, ce n'est pas une pratique spécifiquement prévue, mais c'est fréquent et toléré. Pour citer un article publié sur Technopolice en juin 2021 (comme quoi, ça fait longtemps que la question se pose) :
D’une autre manière, dans une sorte de pratique plus collective, répandue et plus ou moins acceptée par la hiérarchie, la police utilise le fichier TAJ pour effectuer des contrôles d’identité. Cela commence par une prise de photo de la personne avec une tablette ou un téléphone. Ensuite le fichier TAJ est consulté et donne de nombreuses informations : si la personne y est fichée, cela signifie qu’elle a déjà eu affaire à la police et qu’elle est connue des services. Ensuite cela permet à la police de vérifier que celle-ci a bien donné l’identité présente sur son état civil.
Cette utilisation du TAJ et de son outil de reconnaissance faciale pour effectuer des contrôles d’identité ne semble pas nouvelle. Mais son emploi de plus en plus régulier à destination de militant·es semble s’être répandu. A Marseille, en Ile de France, dans des témoignages que nous avons recueilli ou constaté par nous-même et enfin comme s’en vante le premier policier de France.
Le 24 septembre 2022, la quadrature du net a déposé une plainte auprès de la CNIL en critiquant notamment le détournement du TAJ par son utilisation dans les contrôles d'identité (source ici, ici ou dans la plainte elle-même - page 14 à 16).
Pour répondre à la question initiale : la police a-t-elle le droit d'utiliser la reconnaissance faciale ? On peut se disputer sur le fait que la police ait théoriquement le droit de faire ça ou non. Ce qui est sûr, c'est qu'elle le fait et que c'est largement validé au-dessus. Et quand, sachant ça, on relit la citation de Darmanin au début de la page, on comprend mieux qu'il n'y a rien de nouveau : il se fiche de nous.
Sources complémentaires : reconnaissance faciale - neuf questions pour comprendre (Amnesty)