La façon dont la reconnaissance faciale est utilisée à des fins d’autorisation est le sujet de la troisième des six parties de MAPFRE « Cartographier l’utilisation de la reconnaissance faciale dans les espaces publics en Enquête européenne sur la compréhension de la reconnaissance faciale publique dans l’UE et au Royaume-Uni. Les auteurs pensent qu’il s’agit de la seule étude de ce type en Europe.
Le rapport, ‘Reconnaissance faciale à des fins d’autorisation« , rassemble les nombreuses situations où la reconnaissance faciale est utilisée publiquement, comme pour payer les tarifs des bus à Madrid, les caisses automatiques dans les supermarchés, ainsi que la manière dont elles sont présentées . Que ce soit pour « accélérer les flux de personnes », « améliorer l’expérience client » ou « accélérer les opérations », et comment la messagerie a changé avec COVID-19.
L’étude a identifié sept utilisations « emblématiques » de la technologie de reconnaissance faciale (FRT) dans les lieux publics, a recherché la documentation pertinente auprès des contrôleurs de données ainsi que les lois de l’UE et des pays, ainsi que les réactions de la société civile, de l’Autorité de protection des données (DPA) avis et décisions de justice. Il prend également en compte les différentes interprétations du concept One ID de l’IATA pour le transport aérien.
Les auteurs examinent les questions de nécessité et de proportionnalité, les différences entre l’identification et la vérification des individus, et la différence juridique entre le consentement et l’intérêt public pour faire une série de recommandations aux contrôleurs de données, aux APD, au Comité européen de la protection des données (EDPB) et les décideurs.
Peut-on utiliser des alternatives non biométriques ? Des leçons sont-elles tirées des analyses d’impact sur la protection des données (DPIA) ?
Au fur et à mesure que la série est publiée, elle devient une ressource de plus en plus précieuse pour comprendre tous les aspects de la FRT. Ici, nous essayons de faire connaître le travail de l’équipe avec un très bref aperçu.
Sept utilisations « emblématiques » du FRT
Deux cas d’utilisation en France – l’un avec un jeton biométrique pour le système d’authentification des passagers Parafe dans les aéroports et les gares, l’autre avec un jeton d’identification pour l’accès aux écoles de la région PACA – explorent la vérification individuelle.
Pour l’identification individuelle, l’équipe considère les paiements dans les cantines scolaires écossaises (pas de jeton utilisé) ; l’accès des détenteurs d’abonnement au stade belge de Molenbeek (pas de jeton) ; l’essai du système d’application Mona à l’aéroport de Lyon en France pour passer tous les points de contrôle via FRT, comparé à une base de données par vol (pas de jeton biométrique) ; le système similaire Aena/Iberia pour trois compagnies aériennes dans trois aéroports en Espagne (pas de jeton) ; et trois compagnies aériennes et trois aéroports à nouveau en Allemagne et en Autriche pour Star Alliance, également similaire à Mona, mais également avec une implémentation différente (pas de jeton utilisé).
Consentement, intérêt public et utilisation volontaire
L’étude révèle que le consentement est problématique lorsqu’un programme FRT implique des mineurs, car il existe un déséquilibre de pouvoir entre eux et l’institution mettant en œuvre la technologie. L’exemple est l’utilisation du FRT pour deux lycées dans les régions PACA en France, qui n’a jamais été réellement mise en œuvre « puisque la DPA française et, plus tard, un tribunal français ont estimé qu’une telle expérimentation aurait été illégale au regard des dispositions du RGPD . L’un des principaux arguments était que les élèves ne pouvaient pas donner librement leur consentement puisque le conseil d’administration des lycées avait autorité sur les élèves. »
Alors que le système de paiement dans les cantines scolaires du North Ayrshire, en Écosse, n’a pas été contesté pour le consentement, les personnes de plus de 13 ans sont réputées capables de donner leur consentement au Royaume-Uni. Au lieu de cela, il a été contesté par le DPA du Royaume-Uni – l’ICO – sur la proportionnalité.
Le rapport reconnaît qu’en aucun cas examiné il n’y a eu de situation où il n’y avait pas d’alternative à l’approche biométrique.
« L’intérêt public substantiel » peut être utilisé comme motif pour un projet FRT, bien que cela soit rare. Le rapport constate que cette exception nécessite la mise en place d’une loi pour le traitement de ces données. La Belgique s’est rendu compte qu’elle n’en avait pas.
Parafe, le dispositif mis en place dans les aéroports et les gares françaises utilisait l’exception d’intérêt public substantiel, encore compliquée par le fait qu’elle était volontaire. En étant volontaire mais non consensuel, Parafe n’impose pas aux responsables de traitement d’obtenir le « consentement explicite » des passagers : « En d’autres termes, le responsable de traitement n’a aucune obligation de démontrer que le choix d’un passager d’utiliser le système d’authentification de Parafe est fondé sur un consentement « librement donné », « spécifique », « éclairé », « explicite » et « sans ambiguïté » », faisant référence à la définition du consentement.
L’étude révèle que les autorités de protection des données européennes ne sont pas d’accord sur la question de savoir si la reconnaissance faciale est un moyen d’authentification puissant, ce qui pose un problème fondamental dans l’évaluation de la nécessité par rapport à la proportionnalité.
Recommandations
Les auteurs formulent une série de recommandations pour différents publics. Pour les contrôleurs de données, les recommandations sont qu’ils doivent comprendre « qu’il leur incombe de prouver qu’ils satisfont à toutes les exigences du RGPD ».
Tous les programmes en Europe ont été basés sur l’utilisation coopérative du FRT, soit par consentement, soit sur la base du volontariat. Mais le consentement n’est « pas tout-puissant » précisent les auteurs, comme lorsqu’un stratagème implique des mineurs. Les contrôleurs de données doivent comprendre les limites de l’utilisation coopérative.
Les DPA et l’EDPB doivent assurer l’harmonisation de la centralisation des bases de données et des principes de traitement des données. Ils doivent également fournir des conseils sur l’exécution des DPIA et les évaluations de l’utilisation des autorisations FRT.
Alors que les décideurs politiques sont invités à comprendre les différents cas d’utilisation de la reconnaissance faciale pour l’autorisation, de la loi sur l’IA et des appels à l’interdiction – mais uniquement sur l’identification biométrique à distance.
« Si, en revanche, d’autres propositions, appelant à une large interdiction de la « reconnaissance biométrique dans les espaces publics » sont finalement couronnées de succès, elles risquent d’aboutir à ce que toutes les façons dont le FRT est utilisé à des fins d’autorisation soient interdit. Les décideurs politiques devraient en tenir compte et s’assurer que telle est leur intention avant de faire de telles propositions. »
« MAPping the use of Facial Recognition in public spaces in Europe » (MAPFRE) est un projet de la chaire AI-Regulation de l’Institut multidisciplinaire d’intelligence artificielle (MIAI) de l’Université Grenoble Alpes en France.
Le premier rapport, ‘A Quest for Clarity: Unpicking the « Catch-All » Term‘ a examiné la question des définitions et les positions adoptées par les membres du Conseil européen et du Parlement dans le cadre de la rédaction de la loi sur l’IA. La Partie 2 a examiné la façon dont travaux de reconnaissance et classification des technologies.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
