Intervention de Arnaud de Belenet

Monsieur le président, mes chers collègues, avec clairvoyance et sagesse, notre commission a décidé, en octobre 2020, de lancer une mission d'information sur la reconnaissance faciale. Cette décision reposait sur trois constats.

Le premier est le développement rapide des technologies de reconnaissance biométrique, désormais considérées comme matures par les industriels. Il semblait impératif que le législateur s'en saisisse, afin de ne pas être dépassé par les déploiements réalisés par des acteurs privés.

Le deuxième est la proposition de règlement européen sur l'intelligence artificielle à venir qui, basé sur une approche par les risques, propose une réglementation spécifique pour ces technologies, qui sont aujourd'hui régies exclusivement par le droit des données personnelles.

Le troisième est l'extrême polarisation du débat, entre les tenants d'un moratoire et ceux qui plaident en faveur de l'efficacité opérationnelle de ces technologies, avec toujours d'excellents arguments.

Parmi les techniques biométriques, qui regroupent l'ensemble des procédés automatisés permettant de reconnaître un individu à partir de la quantification de ses caractéristiques physiques, physiologiques ou comportementales, la reconnaissance faciale vise à reconnaître une personne sur la base des données caractéristiques de son visage.

Elle s'effectue en deux étapes : le visage de la personne est d'abord capté et transformé en un modèle informatique dénommé « gabarit », lequel est ensuite comparé avec un ou plusieurs autres, afin de vérifier qu'il s'agit bien d'une seule et même personne ou de lui attribuer une identité. On parle, dans le premier cas, d'« authentification » et, dans le second, d'« identification ».

Les cas d'usage de cette technologie sont potentiellement illimités. Ainsi, sans que cette liste soit exhaustive, la reconnaissance faciale peut permettre de contrôler l'accès et le parcours des personnes pour les événements ou locaux sensibles, d'assurer la sécurité et le bon déroulement d'événements à forte affluence ou d'aider à la gestion des flux dans les lieux et environnements nécessitant une forte sécurisation.

En France, les usages pérennes dans les espaces accessibles au public sont aujourd'hui extrêmement limités. Il s'agit pour l'essentiel du dispositif de rapprochement par photographie opéré dans le traitement d'antécédents judiciaires (TAJ) et du système Parafe, qui permet une authentification sur la base des données contenues dans le passeport lors des passages aux frontières extérieures. Plusieurs expérimentations ont par ailleurs été menées, par la Ville de Nice ou Aéroport de Paris notamment, mais aucune d'entre elles n'a pour l'instant été pérennisée.

Les questions que pose le déploiement de la reconnaissance faciale sont très nombreuses. Elles ont trait tant aux libertés publiques qu'à notre souveraineté technologique, les deux thématiques étant bien entendu interdépendantes.

Dans ce contexte, il est surprenant que la reconnaissance faciale, et plus largement les techniques de reconnaissance biométrique, ne fassent pas l'objet d'un encadrement spécifique. Elles sont actuellement exclusivement régies par le droit des données personnelles.

Étant des données « sensibles » au sens du règlement général sur la protection des données (RGPD), les données biométriques font l'objet d'une interdiction de traitement. Sur le fondement du RGPD, ces traitements ne peuvent être mis en oeuvre que par exception dans certains cas particuliers : avec le consentement exprès des personnes, pour protéger des intérêts vitaux ou sur la base d'un intérêt public important. Sur le fondement de la directive « Police-Justice », ces traitements ne peuvent être réalisés par les autorités publiques compétentes qu'en cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée.