L’intelligence artificielle et les données massives sont des notions abstraites. On ne voit pas toujours très bien les enjeux qu’elles soulèvent pour notre bien-être quotidien. Lorsque ces technologies s’incarnent dans des outils de reconnaissance faciale, on perçoit mieux l’ampleur du défi d’encadrer les pratiques rendues possibles par de tels outils. Déclencher un processus de décision, comme autoriser l’accès à un lieu, effectuer un paiement ou mener une investigation policière à partir de la captation et de l’analyse d’un visage peut procurer des avantages. Mais cela comporte aussi des risques de dérives.

La semaine dernière, la journaliste Marie-Claude Malboeuf révélait dans La Presse + que Bell, la plus grande entreprise de télécommunications canadienne jonglait avec l’idée de proposer à ses clients une solution de reconnaissance faciale. Les politiciens qui ont réagi ont convenu de l’urgence de mettre à niveau le cadre législatif déterminant ce qu’il est permis et interdit de faire avec ces technologies. Il n’y a pas que Bell qui s’intéresse aux technologies de reconnaissance faciale. De grandes entreprises internationales, comme Google, Microsoft ou Facebook, sont actives sur ces marchés. Les forces de police ont déjà recours à ces outils. Les entreprises peuvent y recourir sans réelles contraintes. L’inaction des autorités publiques accroît le risque que s’installent des façons de faire difficiles à infléchir.

Voilà une technologie qui combine les capacités de capter des images et des mouvements avec la puissance des traitements massifs de données. Car pour livrer les résultats annoncés, les dispositifs de reconnaissance faciale doivent connecter des prises d’images en temps réel avec des mégadonnées biométriques afin d’apparier, avec un minimum d’erreurs, l’image de la personne avec des informations qui permettent de la reconnaître ou d’établir son identité. Le potentiel de surveillance illicite est évidemment considérable.

Au Québec, la législation actuelle subordonne le droit de mettre en place une banque de données biométriques à une obligation de divulgation préalable à la Commission d’accès à l’information. Il en va de même pour toute banque de données biométriques existante, même si elle n’est pas en service. La loi confère à la Commission un pouvoir étendu à l’égard des banques de données biométriques. Elle peut rendre toute ordonnance sur les règles qui gouverneront la confection, l’utilisation, la consultation, la communication et la conservation, y compris l’archivage ou la destruction de telles banques. Elle peut aussi en suspendre ou en interdire la mise en service ou en ordonner la destruction, si ses ordonnances ne sont pas respectées ou si la banque porte atteinte au respect de la vie privée.

Revoir l’approche des lois

Mais les technologies de reconnaissance faciale doivent être mieux encadrées. Pour l’heure, les lois sur la protection des renseignements personnels obligent surtout les entreprises qui collectent des informations personnelles à obtenir le « consentement » des personnes concernées. C’est une approche inadéquate à l’égard de technologies comme la reconnaissance faciale. Les outils proposés sur le marché captent en effet les images et les analysent en temps réel. Ces analyses servent ensuite à prendre des décisions comme accorder ou non l’accès à un lieu, à une prestation. La plupart du temps, la reconnaissance faciale est une condition imposée par le propriétaire des lieux où elle est en usage. Le commerçant qui l’utilise va généralement afficher un avertissement. Le seul véritable choix laissé aux individus est de fréquenter ou non les lieux ainsi surveillés. Dans de tels contextes, continuer à essayer d’appliquer des lois se bornant à exiger le consentement (prétendument) libre et éclairé des individus est au mieux futile.

Ailleurs dans le monde, on s’interroge sur les règles qui devraient baliser le recours à ces technologies. En novembre dernier en France, la Commission nationale de l’informatique et des libertés (CNIL), chargée de l’application des lois sur les données personnelles, mettait en avant un ensemble de règles qui devraient à tout le moins faire l’objet d’un large débat public. La CNIL soulignait alors que la reconnaissance faciale comporte des risques liés à la nature biométrique du procédé. La Commission rappelle que « les données extraites des visages touchent au corps, à l’intimité des personnes. Toute violation de données, tout mésusage ferait peser des risques importants (blocage d’accès à un service, usurpation d’identité, etc.) ». De plus, la reconnaissance faciale repose sur une probabilité, non une certitude absolue, de correspondance entre les visages comparés et le « gabarit » de référence. Les variations de performance peuvent donc avoir des conséquences très importantes pour les personnes mal reconnues.

Ce qui manque dans les législations encadrant des technologies intrusives comme la reconnaissance faciale, ce sont des règles obligeant tous ceux qui utilisent ces technologies à démontrer que les décisions qu’ils prennent en se fondant sur ces dispositifs sont loyales et conformes aux exigences de respect des droits des personnes. Par exemple, qu’elles ne reposent pas sur des présupposés discriminatoires.

Les lois actuelles sur la protection des renseignements personnels remontent au siècle dernier. Elles ne sont pas conçues pour encadrer les pratiques se fondant sur des technologies aussi intrusives que la reconnaissance faciale. Notre visage et nos autres informations biométriques sont en voie de devenir les clés d’accès à une kyrielle de biens ou de services caractéristiques de la société connectée. Il faut un cadre juridique à la hauteur des enjeux que posent ces technologies capables aussi bien du meilleur que du pire.