La CNIL a décidé de son propre chef de publier, en novembre 2019, une note sur la reconnaissance faciale (« Reconnaissance faciale, pour un débat à la hauteur des enjeux ») où elle propose des mesures d’encadrement de cette pratique. Le message est clair : des entreprises, des administrations sont intéressées par cette technique et vont déposer prochainement des demandes d’autorisation d’expérimentation. La CNIL souhaite qu’avant ces expérimentations, un cadre soit clairement posé : si les pouvoirs publics ne le font pas, c’est elle qui le fera.

Dans ce document, la CNIL commence par définir la reconnaissance faciale (reconnaissance automatique d’une personne à partir des caractéristiques de son visage) en la différenciant de la « vidéo intelligente » qui n’identifie pas les personnes. Elle affirme ensuite un principe : il faudra raisonner en fonction de l’usage qui est fait de la technique : ce n’est pas la même chose que d’utiliser la reconnaissance faciale pour déverrouiller un smartphone, rechercher un délinquant dans une foule ou permettre l’ouverture d’un compte bancaire. Elle souligne ensuite les risques de la technique, risque sur l’anonymat des personnes identifiées à leur insu, risque d’atteinte aux libertés publiques et surtout risque d’erreur : la technique est faillible, notamment sur certains visages, ce qui peut entraîner des blocages d’accès voire des usurpations d’identité.

De ce fait, la CNIL souhaite tracer des lignes rouges. Comme l’exige le droit actuel, la technique ne doit être utilisée que s’il existe un besoin impératif d’établir avec un haut degré de fiabilité l’identité d’une personne : autrement dit les utilisations de commodité doivent être proscrites (ainsi de la reconnaissance des élèves à l’entrée d’un établissement scolaire). Deuxième exigence, le respect des personnes : en cas d’expérimentation, leur consentement est requis, la transparence des utilisations est impérative et la sécurité des données doit être assurée. Enfin la demande doit être « sincèrement expérimentale » : il faut une évaluation et la généralisation ne doit pas être décidée d’avance.

Enfin la note évoque le rôle de la CNIL : elle doit pouvoir, en cas d’expérimentation, s’assurer du respect de ces règles. L’expérimentation doit donc être encadrée par un texte (décret pris après avis de la CNIL) et celle-ci doit jouer ensuite un rôle de contrôle et de conseil, pouvoir imposer des correctifs, voire arrêter l’expérimentation.

Voilà qui est clair : la CNIL, sur ce sujet sensible, entend jouer tout son rôle.