L’ICO a publié le 31 Octobre 2019 l’avis « The use of live facial recognition technology by law enforcement in public places”.
Si à plusieurs occasions la Commissaire, Elizabeth Denham, avait pris position sur le sujet dans des posts,
Il s’agit là d’un avis de l’institution circonstancié alors que le débat sur la reconnaissance faciale fait rage de part et d’autre de la Manche.
Cet avis ne concerne que l’usage de cette technologie dans le cadre d’un usage dans des lieux publics par les forces de l’ordre (plusieurs cas ont été portés devant la justice au UK), mais il annonce d’autres prises de positions ultérieures notamment dans un cadre commercial.
L’ICO pour rendre son avis prend ainsi de la hauteur en appuyant son raisonnement sur le fondement des principes et en appelant d’ailleurs à une réflexion élargie au-delà de ceux de la protection des données à caractère personnel et de la vie privée, sur le fondement des droits de l’homme.
Elle confirme son approche pragmatique et l’appétence anglosaxone pour la « soft law » en appelant à l’adoption par le gouvernement d’un code de conduite juridiquement contraignant, dont plusieurs autres autorités seraient garantes avec elle. Cette idée d’une supra autorité pourrait rejoindre celle du secrétaire d’état au numérique en France, Cédric O, qui s’est exprimé en faveur d’une instance spécifique, composée de membres issus de différentes administrations et régulateurs, sous la supervision de chercheurs et de citoyens et en coordination avec la CNIL.
Sur la qualification de la reconnaissance faciale sur le plan de la protection des données à caractère personnel.
L’ICO affirme que le traitement automatisé en temps réel des images numériques contenant les visages d’individus, par exemple des images extraites de vidéosurveillance, dont les caractéristiques du visage sont mesurées par un logiciel de reconnaissance faciale pour produire un modèle de chaque image dans le but d'identifier de manière unique, est un traitement de données personnelles.
C’est également pour elle une technologie qui est un traitement de données biométriques, et donc un traitement de données qualifiées de données sensibles, appelant des garanties supplémentaires sur le fondement du GDPR come du Data protection Act au UK.
Dès lors une analyse d’impact préalable est nécessaire à l’usage de la reconnaissance faciale.
Base légale du traitement de données biométriques dans le cadre de l’usage de la reconnaissance faciale : la législation
Dans les circonstances de la mise en place de cette technologie dans un lieu public par les forces de l’ordre la base légale du traitement est la loi de l’état membre.
L’ICO ne manque pas de s’appuyer sur les termes du considérant 33 de la Directive « Police Justice » du 27 avril 2016. La commission rappelle qu’ en vertu de l’application des principes de cette directive, de la jurisprudence de la Cour de justice et de la Cour européenne des droits de l'homme et aux principes constitutionnels des Etats membres : La base juridique ou la mesure législative d'un État membre doit être claire et précise et son application prévisible pour ceux qui y sont soumis.
L’ICO pose donc deux critères la clarté de la loi et sa prévisibilité pour les personnes.
L’instance va plus loin en rappelant que le traitement de reconnaissance faciale ne peut avoir lieu que s’il est strictement nécessaire aux finalités de la loi.
Elle va analyser cette notion de stricte nécessité, pour avoir une approche similaire à celle de l’EDPB dans ses guidelines sur ce qui est peut être considéré comme strictement nécessaire à l’exécution d’un contrat.
Cela implique que des techniques moins attentatoires à la vie privée aient été envisagées et qu’elles n’ont pas pu être retenues car non suffisamment efficaces.
La commission insiste sur la preuve claire d’une efficacité de la reconnaissance faciale qui doit reposer sur un processus d’évaluation approfondi et transparent.
L’ efficacité doit être démontrée en apportant la preuve d’un bénéfice pour les personnes.
Elle met en garde contre les biais des technologies de reconnaissance faciale en termes de genre ou de races.
La commission applique le principe de proportionnalité en indiquant que le responsable de traitement doit prendre en compte la proportionnalité d’un recours à un traitement de données sensibles face aux alternatives moins intrusives.
Ainsi la Commission considère que la reconnaissance faciale est plus susceptible de rencontrer les exigences de stricte nécessité et de proportionnalité là où elle est déployée sur une base ciblée ou à plus petite échelle et pour une finalité déterminée et pendant une durée limitée.
L’CO pose ainsi les bases d’un cadre en matière de reconnaissance faciale :
1. Même s’il existe une loi de police permettant la reconnaissance faciale : la technologie doit être strictement nécessaire pour atteindre les objectifs de la loi.
(nécessité)
2. La loi doit être claire et prévisible pour les personnes concernées. (clarté, prévisibilité)
3. Le recours à la reconnaissance faciale doit avoir été évalué de manière approfondie et transparente. (transparence)
4. L’efficacité de la technologie doit être démontrée : preuve d’un bénéfice pour les personne. (efficacité)
5. Le recours à la reconnaissance faciale ne doit être mise en place que si des alternatives moins intrusives au regard des droits des personnes ne permettent pas d’atteindre les objectifs recherchés.(proportionnalité).
Posts sur le blog de l'ICO
Comments