REFLEXION DU FEM SUR L’USAGE RESPONSABLE DES TECHNOLOGIES DE RECONNAISSANCE FACIALE

Le Centre pour la quatrième révolution industrielle du Forum Economique Mondial a essayé d’établir un cadre d’action pour un usage responsable de la reconnaissance faciale dans le contexte particulier d’embarquement des passagers de compagnies aériennes[1].

Dans son rapport, il explique qu’il n’a jamais été aussi crucial de disposer d’une technologie sans contact permettant d’identifier avec précision différentes personnes. Il admet toutefois que, bien que l’industrie aéroportuaire utilise les technologies numériques depuis des décennies, l’intelligence artificielle est sur le point de transformer fondamentalement cette expérience. Il ajoute que ce progrès n’est pas sans risque et que la reconnaissance faciale soulève des craintes légitimes liées aux risques de discrimination potentielle et d’exposition aux données personnelles[2].

L’Union américaine pour les libertés civiles indique que la principale inquiétude réside dans la perspective de voir des technologies qui collectent et conservent des informations uniquement en cas de nécessité absolue se transformer en technologies de surveillance active des personnes, souvent en temps réel[3].

Pour créer un cadre de gouvernance admissible, le groupe de travail du Forum Economique Mondial a proposé de définir ce qui constitue un usage responsable de la technologie de reconnaissance faciale en rédigeant un ensemble de principes d’action. Il souhaitait également concevoir un modèle des bonnes pratiques pour faciliter l’application de ces principes. Enfin, il propose de valider le respect des principes d’action au moyen d’un référentiel d’audit et d’un système de certification[4].

Pour rédiger le référentiel d’audit, les auteurs ont tenu compte du Règlement général de la protection des données de l’UE (RGPD) et des « Lignes directrices en matière d’éthique pour une IA digne de confiance » du Groupe d’experts de haut niveau sur l’intelligence artificielle de la Commission européenne. Cela implique notamment que les délégués à la protection des données peuvent s’appuyer sur ce cadre pour vérifier la conformité de leur technologie de reconnaissance faciale avec les autorités de protection de données de l’UE lorsqu’ils traitent des données de citoyens de l’UE ou lorsqu’ils opèrent dans un pays qui a obtenu un accord d’adéquation avec l’UE dans le cadre du RGPD[5].

Le référentiel d’audit permet de valider la conformité avec les principes d’action, qui définissent ce qu’est l’usage responsable de la technologie de reconnaissance faciale pour les applications de gestion des flux[6]. Selon la définition du groupe de travail, la fonction essentielle d’un audit est de servir de document de référence qui détaille les exigences et les processus d’un audit pour une portée définie[7].

Le référentiel d’audit comprend 10 principes qui peuvent évoluer en fonction des résultats finaux du projet pilote[8] :

1. L’utilisation proportionnelle du système de reconnaissance faciale : Les systèmes de reconnaissance faciale doivent être parfaitement adaptés et limités à l’usage prévu.

2. L’évaluation des risques : Les organisations qui produisent des plateformes de reconnaissance faciale ou qui utilisent la reconnaissance faciale doivent réaliser une évaluation complète des risques associés à leurs systèmes (impact sur la vie privée, prédisposition à produire des biais ; vulnérabilité face au piratage et aux cyberattaques).

3. Biais et discrimination : Un biais est le fait que le résultat d'un algorithme ne soit pas neutre, loyal ou équitable[9]. Les organisations compétentes doivent prendre des mesures appropriées pour garantir que tous les biais ou conséquences inéquitables puissent être détectés, identifiés et atténués autant que possible.

4. Respect de la vie privée dès la conception : Les organisations qui utilisent des systèmes de reconnaissance faciale doivent concevoir des systèmes qui respectent la vie privée, notamment en incluant des considérations de confidentialité dans les exigences associées aux systèmes, en intégrant ce principe dans les phases de conception, de développement et de test des technologies.

5. Performance : Les organisations compétentes doivent respecter les critères d’évaluation de la précision et des performances de leurs systèmes aux stades de conception et de déploiement. Un contrôle doit être effectué par des organismes tiers.

6. Droit à l’information : Des processus doivent être mis en place pour informer les utilisateurs finaux qui ont des questions à poser et/ou recherchent des informations concernant l’utilisation des systèmes de reconnaissance faciale. Les utilisateurs finaux doivent avoir accès à leurs données biométriques personnelles sur demande.

7. Consentement : Les utilisateurs finaux doivent fournir un consentement éclairé, libre, sans ambiguïté, explicite et affirmatif à propos de l’utilisation de systèmes de reconnaissance faciale. Aucun identifiant biométrique unique ne devrait être créé et conservé sans consentement. Chaque fois qu’une personne souscrit un nouveau service reposant sur la technologie de reconnaissance faciale, elle doit exprimer clairement son consentement pour la durée de conservation des données et les conditions de stockage.

8. Affichage de l’information : Lorsque ces systèmes sont utilisés dans des espaces publics, une signalisation claire doit être mise en place pour garantir une communication évidente auprès des utilisateurs finaux à propos du recours à la technologie de reconnaissance faciale. Les espaces dans lesquels des systèmes de reconnaissance faciale sont utilisés doivent toujours être délimités et indiqués. Un signal visuel doit informer les personnes lorsque le système en question est en service.

9. Droit d’accès aux groupes vulnérables : La reconnaissance faciale doit être accessible et utilisable par tous les groupes de personnes (personnes âgées, handicapées).

10. Autre option/présence humaine : Une supervision humaine devra être réalisée chaque fois qu’une utilisation est susceptible de donner lieu à une décision portant à conséquence telle que la violation des droits civiques. Dans le cas des systèmes entièrement automatisés, un système supplémentaire impliquant l’intervention d’un humain doit toujours être en place pour traiter les exceptions et les erreurs possibles afin de proposer une médiation. Une alternative raisonnable aux systèmes de reconnaissance faciale doit toujours être mise en place.

Les principes développés par le groupe de travail sont effectivement essentiels. Ils constituent une base de travail. Ils impliquent, cependant, une réorganisation logistique des aéroports. Par ailleurs, certains principes risquent d’être difficilement applicables. Je pense notamment au principe du consentement. Comment peut-on obtenir le consentement éclairé de chaque usager ? Si l’on prend l’exemple de l’aéroport, lorsqu’une personne passe devant une machine utilisant un système de reconnaissance faciale pour être identifiée dans le cadre de l’usage d’un passeport biométrique, elle admet tacitement ce procédé. En revanche, elle n’a aucune idée du traitement des données recueillies qui va être fait. En outre, depuis longtemps, l’usage de caméra dans l’enceinte des aéroports permet l’identification de personnes par le biais de technologies de reconnaissance faciale. Dans les principes évoqués, ces systèmes doivent être signalés, lorsqu’ils sont utilisés dans les espaces publics. Il incombera, donc, aux responsables de rendre attentif les passagers sur ce point. Il est vrai, qu’en principe, il y a une acceptation tacite de cette surveillance accrue dans l’espace aéroportuaire pour des raisons évidentes de sécurité. La question du consentement se pose aussi lorsque cette technologie est utilisée par des commerçants, des établissements scolaires, des employeurs[10].

_________________________

[1] CENTRE POUR LA QUATRIEME REVOLUTION INDUSTRIELLE DU WORLD ECONOMIC FORUM, Cadre d’action pour un usage responsable de la reconnaissance faciale Cas d’usage : gestion des flux, Partie II Projet pilote : Auto-évaluation, audit des systèmes de gestion er certification, Livre Blanc, Décembre 2020.

[2] CENTRE POUR LA QUATRIEME REVOLUTION INDUSTRIELLE DU WORLD ECONOMIC FORUM, op.cit., p. 3.

[3] https://www.aclu.org/report/dawn-robot-surveillance ; cf. WORLD ECONOMIC FORUM, Livre Blanc, Cadre d’action pour un usage responsable de la reconnaissance faciale – Cas d’usage : gestion des flux, Projet pilote, Février 2020, p.4.

[4] CENTRE POUR LA QUATRIEME REVOLUTION INDUSTRIELLE DU WORLD ECONOMIC FORUM, op.cit., p. 4.

[5] CENTRE POUR LA QUATRIEME REVOLUTION INDUSTRIELLE DU WORLD ECONOMIC FORUM, op.cit., p. 17.

[6] CENTRE POUR LA QUATRIEME REVOLUTION INDUSTRIELLE DU WORLD ECONOMIC FORUM, op.cit., p. 17.

[7] CENTRE POUR LA QUATRIEME REVOLUTION INDUSTRIELLE DU WORLD ECONOMIC FORUM, op.cit., p. 32.

[8] CENTRE POUR LA QUATRIEME REVOLUTION INDUSTRIELLE DU WORLD ECONOMIC FORUM, op.cit., p. 17 – 18.

[9] Définition proposée par Wikipédia; Cf. aussi Machine learning : les biais des algorithmes sont-ils une fatalité ? par Clément Bohic, 3 mai 2019, in ITespresso, consulté le 15.12.2020 à l’adresse suivante : Algorithmes : les biais sont-ils une fatalité ? (itespresso.fr)

[10] WORLD ECONOMIC FORUM, Livre Blanc, Cadre d’action pour un usage responsable de la reconnaissance faciale – Cas d’usage : gestion des flux, Projet pilote, Février 2020, p.4.