L’OIC publie des orientations sur la reconnaissance faciale dans les espaces publics

La commissaire à l’information du Royaume-Uni est « profondément préoccupée » par l’utilisation inappropriée et imprudente des technologies de reconnaissance faciale en direct (LFR) dans les espaces publics, notant qu’aucune des organisations ayant fait l’objet d’une enquête de son bureau n’a été en mesure de justifier pleinement son utilisation.

Dans un billet de blog publié le 18 juin 2021, la commissaire à l’information Elizabeth Denham a déclaré que bien que les technologies LFR « puissent rendre certains aspects de notre vie plus faciles, plus efficaces et plus sûrs », les risques pour la vie privée augmentent lorsqu’elles sont utilisées pour scanner le visage des gens en temps réel et dans des contextes plus publics.

« Lorsque des données personnelles sensibles sont collectées à grande échelle à l’insu, sans choix ou sans contrôle des gens, les impacts pourraient être importants », a écrit Denham, ajoutant que bien que « ce ne soit pas mon rôle d’approuver ou d’interdire une technologie », il est possible de s’assurer que son utilisation ne se développe pas sans tenir dûment compte de la loi.

« Contrairement à la vidéosurveillance, LFR et ses algorithmes peuvent identifier automatiquement qui vous êtes et déduire des détails sensibles à votre sujet », a-t-elle déclaré. « Il peut être utilisé pour vous profiler instantanément pour diffuser des publicités personnalisées ou faire correspondre votre image à celle de voleurs à l’étalage connus comme vous le faites dans votre épicerie hebdomadaire.

« Il est révélateur qu’aucune des organisations impliquées dans nos enquêtes achevées n’ait été en mesure de justifier pleinement le traitement et que, parmi les systèmes mis en service, aucune n’était entièrement conforme aux exigences de la loi sur la protection des données. Toutes les organisations ont choisi d’arrêter ou de ne pas procéder à l’utilisation de LFR.

S’appuyant sur son interprétation de la loi sur la protection des données et sur six enquêtes distinctes menées par le Bureau du commissaire à l’information (ICO), Mme Denham a également publié un « avis du commissaire » officiel pour servir d’orientation aux entreprises et aux organisations publiques qui cherchent à déployer des technologies biométriques.

« L’avis d’aujourd’hui établit les règles d’engagement », a-t-elle écrit dans le blog. « Il s’appuie sur notre avis sur l’utilisation de la LFR par les forces de police et fixe également un seuil élevé pour son utilisation.

« Les organisations devront démontrer dès le départ des normes élevées de gouvernance et de responsabilité, notamment en étant en mesure de justifier que l’utilisation de LFR est équitable, nécessaire et proportionnée dans chaque contexte spécifique dans lequel elle est déployée. Ils doivent démontrer que des techniques moins intrusives ne fonctionneront pas.

Dans l’avis, M. Denham a noté que toute organisation envisageant de déployer LFR dans un lieu public doit également effectuer une évaluation de l’impact sur la protection des données (AIPD) pour décider d’aller de l’avant ou non.

« C’est parce qu’il s’agit d’un type de traitement qui implique l’utilisation de nouvelles technologies, et généralement le traitement à grande échelle de données biométriques et la surveillance systématique des espaces publics », a-t-elle écrit. « Même les utilisations à plus petite échelle du LFR dans les lieux publics sont un type de traitement qui est susceptible de frapper les autres déclencheurs d’une AIPD comme indiqué dans les directives de l’OIC.

« L’AIPD devrait commencer tôt dans la vie du projet, avant que des décisions ne soient prises sur le déploiement réel du LFR. Il devrait s’exécuter parallèlement au processus de planification et de développement. Il doit être terminé avant le traitement, avec des examens appropriés avant chaque déploiement.

Le 7 juin 2021, Access Now et plus de 200 autres organisations de la société civile, militants, chercheurs et technologues de 55 pays ont signé une lettre ouverte appelant à l’interdiction légale de l’utilisation des technologies biométriques dans les espaces publics, que ce soit par les gouvernements, les forces de l’ordre ou des acteurs privés.

« La reconnaissance faciale et les technologies de reconnaissance biométrique connexes n’ont pas leur place dans le public », a déclaré Daniel Leufer, analyste des politiques pour l’Europe chez Access Now. « Ces technologies suivent et profilent les gens dans leur vie quotidienne, les traitant comme des suspects et créant des incitations dangereuses à la surutilisation et à la discrimination. Ils doivent être interdits ici et maintenant.

En plus d’une interdiction totale de l’utilisation de ces technologies dans des espaces accessibles au public, la coalition de la société civile appelle également les gouvernements du monde entier à mettre fin à tout investissement public dans les technologies biométriques qui permettent une surveillance de masse et une surveillance ciblée discriminatoire.

« Amazon, Microsoft et IBM ont renoncé à vendre des technologies de reconnaissance faciale à la police », a déclaré Isedua Oribhabor, analyste des politiques américaines chez Access Now. « Les investisseurs réclament des limites sur la façon dont cette technologie est utilisée. Cela montre que le secteur privé est bien conscient des dangers que la surveillance biométrique fait peser sur les droits de l’homme.

« Mais il ne suffit pas d’être conscient du problème , il est temps d’agir. Le secteur privé devrait s’attaquer pleinement aux répercussions de la surveillance biométrique en cessant de créer ou de développer cette technologie en premier lieu.. »

Le contrôleur européen de la protection des données s’est également déclaré très critique à l’égard des technologies d’identification biométrique, appelant auparavant à un moratoire sur leur utilisation et plaidant à présent pour qu’elles soient interdites dans les espaces publics.

S’exprimant à CogX 2021 sur la réglementation de la biométrie, Matthew Ryder QC, de Matrix Chambers, a déclaré que bien que les gouvernements et les entreprises disent souvent qu’ils ne déploient les technologies que dans des circonstances limitées et étroitement contrôlées, sans conserver ou réaffecter les données, la législation intégrera souvent une gamme d’exceptions qui permettent exactement cela.

« La solution à cela peut être des règles beaucoup plus strictes que ce à quoi nous nous attendrions normalement dans un environnement réglementaire, car les gouvernements et les entreprises sont si habiles à jouer avec les règles », a déclaré M. Ryder, ajoutant que même s’il ne s’agit peut-être pas d’un exercice malveillant, leurs « tests de résistance » constants du système de réglementation peuvent conduire à des cas d’utilisation qui , « à première vue, vous ne seriez normalement pas autorisé à le faire ».

Il a ajouté que les régulateurs et les législateurs doivent tous deux se mettre à l’aise pour définir des « lignes dures » pour les entreprises technologiques qui cherchent à développer ou à déployer de telles technologies. « Je pécherais par excès de réglementation plus dure qui devient ensuite plus souple, plutôt que de permettre une vision réglementaire relativement permissive avec beaucoup d’exceptions », a-t-il déclaré.