Vers une démocratisation de la reconnaissance faciale en Belgique?

Le 2 février prochain, une partie de l’IA Act entrera en application en Belgique. Ces lois concernent entre autres les systèmes de reconnaissance faciale et de traitements des données biométriques. Cet Act devrait encadrer ces systèmes, mais nous sommes bien loin d’une interdiction totale.

Ceci n’est plus un épisode de Black Mirror: la reconnaissance faciale fait désormais partie de la vie quotidienne. Cette technologie permet d’identifier une personne et transforme les visages en données biométriques. Celles-ci permettent de reconnaître automatiquement un individu, à partir de caractéristiques physiques, biologiques, voire comportementales. Des données utiles pour déverrouiller un téléphone ou dans des cas de lutte contre le terrorisme. Elles posent toutefois question quant au respect de la vie privée.

Que dit l’IA Act sur la reconnaissance faciale?

L’IA Act est un règlement européen qui va s’appliquer dans tous les Etats de l’Union européenne, en plusieurs fois. La première est prévue pour le 2 février prochain. Elle ajoute des contraintes pour les systèmes de reconnaissance faciale et de traitements des données biométriques. Des systèmes considérés comme étant à «hauts risques». Ils sont interdits par la régulation avec quelques exceptions.

Ainsi, l’utilisation de systèmes de traitement biométrique et de reconnaissance faciale à distance et «en temps réel» est interdite. Pourtant, trois exceptions sont détaillées dans l’article 5. Elles concernent les enlèvements, les menaces terroristes et les localisations de personnes suspectées d’avoir commis des infractions pénales. Le considérant 35 de l’IA Act précise que ces exceptions doivent faire l’objet d’une autorisation, «en principe» demandée avant l’utilisation du système. Cette autorisation se fait auprès «[d’]une autorité judiciaire ou par une autorité administrative indépendante d’un Etat membre».

Pour les enregistrements, la reconnaissance faciale n’est pas interdite. Selon l’article 26, une autorisation doit être délivrée au plus tard 48h après les faits et demandée auprès d’une autorité judiciaire ou administrative.

Les risques de la reconnaissance faciale

Comme le souligne Grégory Lewkowicz, professeur chercheur principal à l’Institut d’intelligence artificielle pour le bien commun (FARI), «le danger, c’est que les autorisations soient distribuées trop facilement. Le problème est de savoir ce que les Etats en font». Aujourd’hui malgré les encadrements du Règlement général sur la protection des données et l’article 10 de la directive Police-Justice, la reconnaissance faciale à plusieurs fois été utilisée illégalement. Entre autres, en 2019 et 2020, la police fédérale a effectué une septantaine de recherches avec le logiciel Clearview AI. Selon un rapport du COC, l’organe de contrôle de l’information policière, cette utilisation n’était pas permise par le cadre légal belge.

L’utilisation de la reconnaissance faciale comporte également des risques, détaillés dans le rapport du centre d’études Jacques Georgin. Cette technologie inclut des menaces quant au stockage des données et reproduit également les discriminations sexistes et racistes. Selon le rapport, «la reconnaissance faciale est réputée pour fonctionner relativement bien sur les visages des hommes et femmes blancs, mais révèle des taux d’imprécisions élevés pour les personnes non blanches, surtout chez les femmes». On risque également de dériver vers une normalisation de cette technologie jusqu’à arriver à une surveillance de masse.

Ce qui va changer en Belgique

Selon Grégory Lewkowicz, «ce qui change, c’est l’interdiction de principe qui vient spécifier l’utilisation de ces systèmes». Le fournisseur aura des obligations qu’il n’avait pas auparavant et les déployeurs seront soumis à des évaluations d’impact sur les droits fondamentaux. Cette régulation instaure des règles pour les fournisseurs et les déployeurs de logiciels d’intelligence artificielle.

Pourtant, selon Grégory Lewkowicz, nous devons avoir des lois qui encadrent l’intelligence artificielle. On ne peut pas simplement nier le fait qu’elles existent sans les réglementer. «L’IA Act rajoute des obligations qui sont censées éviter les dérives. C’est une tentative de mise en conformité qu’il faut intégrer dans les processus de la police et des administrations pour garantir des garde-fous et éviter une utilisation abusive de ces systèmes. Nous ne sommes pas en avance quant à cette mise en conformité».

Finalement, ce qui va changer en Belgique, c’est la réglementation spécifique de la reconnaissance faciale. Il reste alors à savoir si ces changements en termes de législations seront suffisants pour obliger au respect des prescriptions légales et réglementaires et si les autorisations ne seront pas monnaie courante.