Article écrit par François Charlet, juriste suisse, le 11/09/2017

Résumé

Qu'appelle-t-on une "safe city" ? En quoi les dispositifs de reconnaissance faciale peuvent-ils représenter une menace pour nos libertés ? Comment ces technologies reconfigurent-elles notre rapport à la ville ?
avec :

Anne-Sophie Simpère (Chargée de plaidoyer Libertés à Amnesty International France), Olivier Tesquet (Journaliste), Antoine Picon (architecte, ingénieur, professeur au Laboratoire Techniques, Territoires et Sociétés).
En savoir plus

Dans cette émission, François Saltiel propose de s’intéresser à la question de la surveillance des foules dans nos villes. Comment les technologies participent-elles à la réalisation des « Safe Cities », un dérivé des « smart cities », soit ces villes que l’on dit intelligentes et qui devraient encore plus nous héberger dans le futur.

Mais le présent, c’est l’affaire du stade de France: une débâcle sécuritaire, encore trouble, qui a relancé les débats sur les outils et moyens d’une surveillance étatique.

En parlant de sport, on pense aussi aux JO qui se dérouleront en 2024 à Paris. Cet événement va-t-il se transformer en laboratoire grandeur nature pour l’industrie sécuritaire ? De la reconnaissance faciale aux drones de surveillance, où en sommes-nous de l’usage de ces dispositifs et quid de nos libertés ?

Des questions passionnantes avec Olivier Tesquet, journaliste spécialiste des questions numériques à Télérama et auteur de Etat d’urgence technologique (Ed. Premier parallèle, 2021), Anne-Sophie Simpere, responsable plaidoyer libertés à Amnesty International et co-autrice de Comment l'Etat s'attaque à nos Libertés (Ed. Plon, 2022) et Antoine Picon, architecte, ingénieur, professeur au Laboratoire Techniques, Territoires et Sociétés, pour y répondre !
Les invité(e)s :

Olivier Tesquet, journaliste spécialiste des questions numériques à Télérama et auteur de Etat d’urgence technologique (Ed. Premier parallèle, 2021)

Anne-Sophie Simpere, responsable plaidoyer libertés à Amnesty International et co-autrice de Comment l'Etat s'attaque à nos Libertés (Ed. Plon, 2022)

Antoine Picon, architecte, ingénieur, professeur au Laboratoire Techniques, Territoires et Sociétés

Une émission en partenariat avec Numerama. Retrouvez chaque semaine les chroniques de Marie Turcan et Marcus Dupont-Besnard.

L’organisme français chargé de la cyberdéfense du pays invite à réfléchir sur l’usage à long terme de l’antivirus Kaspersky, non pas à cause d’un risque de coup fourré de l’éditeur russe, mais parce que les mises à jour pourraient cesser dans un contexte de sanctions croisées.

Ce n’est pas encore un conseil formel, mais à tout le moins une suggestion : compte tenu de la situation internationale avec l’invasion de l’Ukraine par la Russie, il pourrait être judicieux de songer à une alternative aux logiciels russes. Tout particulièrement à celui qui est sans doute le plus célèbre d’entre eux : l’antivirus Kaspersky.

Cette réflexion à a été formulée le 2 mars 2022 par l’Agence nationale de la sécurité des systèmes d’information (Anssi), une organisation qui a pour rôle de soutenir l’État et les opérateurs d’importance vitale en matière de cyberdéfense. Elle assure ainsi le rôle de bouclier face aux menaces électroniques et, quand il y a effectivement le feu, de « cyber pompier ».

L’Anssi suit de très, très près les développements de la guerre russo-ukrainienne, dans son volet cyber. // Source : Wikipédia

« Dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie », souligne ainsi l’agence, qui toutefois tempère son message : il n’y a, « à ce stade », « aucun élément objectif [justifiant] de faire évoluer l’évaluation du niveau de qualité des produits et services fournis. »
Le risque ? Plus aucune mise à jour ne venant de Kaspersky

Alors que l’on pourrait penser que c’est avant tout le risque cyber qui motive l’Anssi dans sa note, il apparaît que c’est en fait un autre risque qui est soulevé : celui de la fin des mises à jour des logiciels Kaspersky dans le cadre des tensions entre la Russie et l’Occident — en représailles, Moscou pourrait ordonner de limiter encore plus les interactions avec l’Ouest.

« L’isolement de la Russie sur la scène internationale […] peut affecter la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients. À moyen terme, une stratégie de diversification des solutions de cybersécurité doit par conséquent être envisagée », ajoute, l’agence.

Autrement dit, la base virale de Kaspersky pourrait finir par être obsolète et ne plus être efficace face à de nouvelles menaces informatiques qui émergent, que ce soit à cause du conflit russo-ukrainien ou par l’activité habituelle des cybercriminels. On sait d’ores et déjà que sur les réseaux, les frictions sont multiples et des incidents se font jour au fur et à mesure du conflit.

https://www.numerama.com/cyberguerre/871367-guerre-russie-ukraine-la-bataille-se-joue-aussi-dans-le-cyber.html
https://www.numerama.com/cyberguerre/870363-un-satellite-serait-victime-dune-cyberattaque-des-francais-nont-plus-internet.html

Seul Kaspersky est cité dans le message de l’Anssi. Il existe néanmoins d’autres logiciels développés par des entreprises ou des personnes russes, dans le domaine de la sécurité informatique ou non. C’est le cas de Dr.Web, qui est aussi un logiciel antivirus. D’autres projets d’origine russe sont célèbres, comme Telegram, 7-Zip ou Nginx, mais le risque ici n’est pas avéré.

L’Anssi rappelle toutefois une règle de base : il n’est pas recommandé de quitter Kaspersky sans une solution de remplacement. Au regard du « contexte de tensions dans le cyberespace et de cybercriminalité exacerbée », il serait très mal avisé de ne pas avoir une protection adéquate face aux tentatives de phishing, de ransomware ou d’attaque plus directe encore.

Historiquement, Kaspersky a été accusé d’être un cheval de Troie des services de renseignement russes et les solutions de l’éditeur ont été exclues notamment des administrations américaines — nous étions alors un an après l’élection présidentielle américaine de 2016, qui a permis à Donald Trump d’accéder au pouvoir, et Moscou a été accusé d’avoir un rôle d’influence dans ce scrutin.

Cette crise de confiance entre Kaspersky et Washington a été alimentée par des éléments accusant le premier d’avoir servi à des hackeurs russes pour dérober des outils de la NSA. L’antivirus a aussi été suspecté d’avoir détenu des documents classifiés américains. À chaque fois, Kaspersky s’est défendu, proposant même à des experts d’ausculter le code de ses logiciels.

L‘appréciation américaine sur Kaspersky s’avère assez différente de celle qui prévaut en Europe, en tout cas occidentale. L’Allemagne s’est ainsi montrée plus prudente. Et la France, par la voix de l’Anssi, ne recommande pas publiquement de se passer des logiciels de l’entreprise. Du moins, c’était le cas jusqu’au 24 février. Depuis, la donne a quelque peu changé.

Avec l'Affaire Snowden, le scandale Cambridge Analytica, ou encore les révélations des Spy Files par Wikileaks, j'ai pris conscience que mes activités sur internet étaient surveillées. J'ai beau le savoir, je ne fais pas grand-chose pour l'éviter. Dans ma tête, c'est comme si c'était le prix à payer pour aller sur internet. Je continue à poster mes coups de gueule sur Facebook, je consulte Twitter plusieurs fois par jour, je commande des pizzas sur internet et je fais des milliers de recherches sur google. Mais à cause de l'épidémie de Covid19, quasiment toute ma vie, sociale et professionnelle, passe par mon ordinateur ou mon smartphone. Depuis le premier confinement, les questions se bousculent dans ma tête sans que j'arrive à les ignorer : que sont les données numériques ? Que révèlent-elles sur moi ? Qui les surveille et à quoi peuvent-elles servir ? Dans quelle mesure cette surveillance numérique est-elle problématique ? J'ai donc retroussé mes manches et, armé de mes livres, mon micro et mon clavier, j'ai décidé de mener l'enquête pour comprendre ce qu'il en était.

Une série documentaire d'Antoine Tricot, réalisée par Rafik Zenine

Lundi, la commission LIBE (pour Commission des libertés civiles, de la justice et des affaires intérieures) du Parlement européen a voté le règlement dit « anti-terroriste ». Ce nouveau règlement obligera l’ensemble des acteurs de l’Internet à censurer en une heure n’importe quel contenu signalé comme « terroriste » par la police, et ce sans intervention préalable d’un juge.

Comme nous le répétons depuis maintenant deux ans :

    Le délai d’une heure n’est pas réaliste, seules les grosses plateformes seront en mesure de se conformer à une telle obligation;
    La menace de lourdes amendes et l’impossibilité pratique de se conformer aux ordres de retrait obligera les acteurs du web à censurer de manière proactive tout contenu potentiellement illégal en amont, en utilisant les outils automatisés de surveillance de masse développés par Google et Facebook;
    Ce pouvoir donné à la police, sans contrôle préalable d’un juge pourrait mener à la censure d’opposants politiques et de mouvements sociaux;
    Le texte permet à une autorité de tout État membre d’ordonner le retrait d’un contenu hébergé dans un autre État membre. De telles mesures transfrontalières sont non seulement irréalistes, mais ne peuvent qu’aggraver le danger d’une censure politique de masse

Surtout, en juin 2020, le Conseil constitutionnel a censuré une disposition (parmi beaucoup d’autres) de la loi Avia qui prévoyait la même obligation de retrait en 1 heure de contenus notifiés comme « terroristes » par la police. Il a jugé qu’une telle obligation constituait une atteinte disproportionnée à la liberté d’expression et de communication.

Les membres de la Commission LIBE ont néanmoins voté le texte. Les députés européens, et spécifiquement les députés français, ont donc voté en toute conscience un texte déclaré anticonstitutionnel en France. Ils devront en porter toute la responsabilité.

Nous travaillons sur ce texte depuis sa présentation en septembre 2018. Le vote d’hier était une étape importante dans le processus de son adoption, et donc une défaite pour la lutte contre la censure et la surveillance sur Internet. Ce vote a eu lieu sans aucun débat ou vote public (les résultats précis n’ont toujours pas été publiés).

La prochaine étape sera le vote en plénière au Parlement européen. Nous sommes prêts pour continuer la bataille contre ce texte et demander son rejet.

Dans une ordonnance rendue publique ce jour, le Conseil d’État, saisi par le collectif Santenathon, reconnaît que le gouvernement des États‑Unis peut accéder sans contrôle aux données de santé des Français hébergées par le Health Data Hub chez Microsoft, et demande des garanties supplémentaires.

Cette décision est justifiée par l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020, dit « Schrems II », qui juge que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens est excessive, insuffisamment encadrée et sans réelle possibilité de recours. La CJUE en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États‑Unis sont contraires au règlement général sur la protection des données (RGPD) et à la Charte des droits fondamentaux de l’Union européenne, sauf à apporter des garanties particulières ou dans certains cas dérogatoires.

Les jours sont donc bien comptés pour cette plate‑forme développée depuis deux ans, sans appel d’offre, et au mépris de l’offre des sociétés françaises et européennes, notamment des acteurs du logiciel libre. Le Gouvernement a en effet exprimé, jeudi dernier devant le Sénat, sa volonté de transférer le Health Data Hub sur des plates‑formes françaises ou européennes. Dans l’intervalle, la juge du Conseil d’État demande au Health Data Hub de travailler à minimiser ce risque, notamment en concluant un nouvel avenant avec Microsoft, et à ce que la CNIL instruise les demandes d’autorisation des projets de recherche utilisant le Health Data Hub en vérifiant que l’intérêt du projet, compte tenu de l’urgence sanitaire actuelle, est suffisant pour justifier le risque encouru et que le recours à la plate‑forme est nécessaire.
Aller plus loin

    L’ordonnance du Conseil d’État
    https://www.conseil-etat.fr/actualites/actualites/health-data-hub-et-protection-de-donnees-personnelles-des-precautions-doivent-etre-prises-dans-l-attente-d-une-solution-perenne

    Le commentaire de la CNIL
    https://cnll.fr/news/decision-conseil-etat-health-data-hub-14-octobre

    Le communiqué du CNLL
    https://cnll.fr/news/health-data-hub-memoire-cnil-rgpd
   
    Le site de Santenathon
    https://www.cnil.fr/fr/le-conseil-detat-demande-au-health-data-hub-des-garanties-supplementaires

    Le mémoire de la CNIL
    https://www.santenathon.org

    Une vidéo « grand public » pour comprendre les enjeux
    https://video.ploud.fr/videos/watch/13964678-d65f-4fe7-9806-ef071441a477

Enquête | La reconnaissance faciale en temps réel n’est toujours pas autorisée en France. De nombreuses expérimentations ont pourtant déjà lieu, et des sociétés se positionnent, avec dans leur viseur les Jeux olympiques de Paris en 2024, et à la clé un marché de sept milliards d’euros.

Imaginez : le 26 juillet 2024. Les Jeux olympiques de Paris débutent. Une foule compacte se presse devant les grilles d’entrée du Stade de France. À l’entrée sud, une file semble avancer plus vite que les autres. En effet, certains spectateurs ont accepté que leur visage soit scruté et analysé par des caméras afin d’accéder plus rapidement aux lieux. C'est-ce que l'on appelle la comparaison faciale.

Ce futur hypothétique se prépare en France. Plusieurs expérimentations de ce type ont déjà eu lieu ou sont programmées. Avec une question centrale, celle du consentement des personnes.
Reconnaissance faciale : des expérimentations encadrées

En 2020, en France comme en Europe, la reconnaissance faciale en temps réel sur la voie publique n’est pas autorisée. Depuis 2012, seule la reconnaissance a posteriori est permise, notamment par la police, à l’aide du fichier de traitement des antécédents judiciaires (TAJ). D’après un rapport de l’Assemblée nationale publié en 2018, plus de 18 millions de personnes, dont 8 millions avec photos, sont recensées dans le TAJ.

C’est la CNIL (Commission nationale de l'informatique et des libertés) qui contrôle et rend un avis pour des expérimentations très encadrées. "Il y a un ensemble de règles qui s'appliquent, confirme Patrice Navarro, avocat au cabinet Hogan Lovells. Il faut qu'il y ait consentement des personnes, et que ce soit pour un motif particulièrement fort et proportionné d'intérêt public ou de sécurité publique."

Mais plusieurs exercices qui se rapprochent de la reconnaissance faciale ont déjà été effectués.

À Nice (Alpes-Maritimes), en février 2019, lors du carnaval, un logiciel israélien a permis d’identifier de supposés fichés S. Il s’agissait en réalité de volontaires figurants parmi des centaines de personnes consentantes, qui ont fourni leur photo, qui se savaient filmés et reconnus facialement.

Une autre tentative dans la même ville a fait polémique. Il s’agissait cette fois-ci d’analyser les émotions des passagers d’un tramway, sans les identifier, afin d'anticiper les problèmes potentiels. L’essai n’a finalement pas fonctionné à cause d’un problème technique de transmission d'images.

À Cannes (Alpes-Maritimes), pendant le confinement, la mairie a voulu vérifier si la population portait bien un masque en allant au marché. Pour cela, elle a fait appel à un prestataire, la start-up Datakalab. Un dispositif également installé dans la station de RER Châtelet-Les Halles à Paris.

Pour le directeur de Datakalab, Xavier Fischer, il ne s’agissait pas d’identifier les gens, mais seulement de compter les personnes portant un masque. Mais la CNIL n’a pas vu les choses ainsi. Elle a estimé que les personnes ne pouvaient exercer leur droit d’opposition puisqu'elles ne savaient pas qu’on analysait leur visage. Résultat, à Cannes, l’opération s’est arrêtée naturellement avec le déconfinement, et à Châtelet, la CNIL a mis un terme à l’essai.

À réécouter :
   Hashtag > Jusqu'où ira la reconnaissance faciale ?
   https://www.franceculture.fr/emissions/hashtag/jusquou-ira-la-reconnaissance-faciale

Un système prêt à être utilisé à Metz

A Metz (Moselle), l’avancée en la matière semble plus concrète. Après des débordements lors d’un match de Ligue 1 de football en 2016 contre Lyon, des supporters ont été interdits de stade. Comme l’autorise la loi Larrivé relative à la lutte contre le hooliganisme, le FC Metz a mis en place un fichier de ces supporters ultras avec leurs photos, et a investi dans un logiciel de reconnaissance faciale, prêt à être utilisé le cas échéant.

Des supporters se sont d’ailleurs demandé si ce logiciel n’a pas déjà été testé sur eux. Cette hypothèse a d’abord été émise par le journaliste Olivier Tesquet, dans son livre À la trace (Premier Parallèle, 2020). Ces supporters ont ensuite fait le rapprochement avec d’étranges consignes données un soir de match.

    "Beaucoup d'entre eux ont dû retirer leurs lunettes, leurs casquettes ou leur écharpe à l’entrée du stade", raconte Pierre Barthélémy, avocat de l’Association nationale des supporters.

A-t-on vraiment testé la reconnaissance faciale en temps réel ce soir-là ? Guillaume Cazenave, directeur de la société messine Two-I, qui a vendu le matériel de vidéosurveillance au FC Metz, dit ne pas le savoir. "Nous ne sommes pas opérateur de système, se défend-il. À notre connaissance, il n'a pas été activé."

Du côté du club, on dément fermement avoir fait un test. La directrice du FC Metz, Hélène Schrub, a assuré par écrit à la cellule investigation de Radio France que la reconnaissance faciale n’avait été ni décidée ni testée, même si elle reconnaît que le projet existe et que le matériel le permet.

Des caméras qui ne s’intéressent pas qu’aux visages

À Marseille (Bouches-du-Rhône), la Cannebière est équipée d’une cinquantaine de caméras intelligentes. Elles ne reconnaissent pas formellement les gens, mais identifient des situations bien précises. "Ce projet a été mis en place 2019, détaille Felix Treguer, membre fondateur de l’association La Quadrature du net. Un algorithme d'analyse automatisée reconnaît des comportements et des événements suspects, et déclenche automatiquement des alertes et des suivis dans le centre de supervision."

Concrètement, il s'agit de repérer des objets abandonnés, des individus au sol, des taggeurs ou de la destruction de mobilier urbain. "Une fois que les caméras ont filmé et que les vidéos sont archivées, la police peut utiliser des filtres, complète Martin Drago, juriste pour La Quadrature du net, c’est-à-dire repérer des visages ou des silhouettes, pour identifier les personnes."
Des projets retoqués par la CNIL

Certaines communes ont tenté d’expérimenter d’autres dispositifs, tels que la reconnaissance sonore par exemple. C’est le cas à Saint-Etienne (Loire) où une filiale d’une société d’armement a proposé en 2019 à la mairie de coupler des caméras avec des micros pour identifier des bruits anormaux au sein d’un quartier sensible. "Les capteurs sonores peuvent déclencher une alerte qui permet l'envoi de drones automatiques pour voir ce qui se passe, décrit Martin Drago, avec ensuite la possibilité d’envoyer une patrouille humaine."

Ce projet a cependant été retoqué par la CNIL. Elle a considéré qu’il y avait un risque d’atteinte à la vie privée, la ville n’ayant pas apporté assez de garanties sur la possibilité ou non de reconnaître les voix des personnes.
"Les habitants sont sous-informés sur ces questions-là"

Pour le journaliste Olivier Tesquet, c’est par ces différentes expérimentations dans les communes que le terrain se prépare : "Ces municipalités se sont transformées en showrooms sécuritaires, analyse-t-il. À Valenciennes, Huawei offre des caméras de vidéosurveillance à la commune. À Nice et à Marseille, c’est l’américain Cisco qui a approché la région Paca pour l'installation de portiques de reconnaissance faciale à l'entrée des lycées. Le problème, c’est qu’il n’y a pas d'appel d'offres, et les habitants sont assez cruellement sous-informés sur ces questions-là."

À réécouter :
   La Bulle économique > Reconnaissance faciale : quand les industriels poussent à son développement
   https://www.franceculture.fr/emissions/la-bulle-economique/reconnaissance-faciale-quand-les-industriels-poussent-a-son-developpement

Le consentement : une question centrale

Au-delà de ces expérimentations temporaires, limitées ou retoquées, la loi autorise tout de même de faire de la reconnaissance faciale dans certains cas.

Le ministère de l’Intérieur développe actuellement une application d’identité numérique pour smartphones, Alicem. Reliée à FranceConnect, elle doit permettre, par comparaison faciale, d’ouvrir un compte pour renouveler ses papiers à distance (carte grise, permis de conduire, carte d’identité numérique, etc.). Cette technologie est déjà présente sur de nombreux appareils pour les déverrouiller.

Mais est-elle vraiment sûre ? "Pour lutter contre l'usurpation d'identité, on a de la reconnaissance faciale, mais également ce qu'on appelle de la reconnaissance du vivant, rassure Jérôme Letier, directeur de l’Agence nationale des titres sécurisés. On demande aux gens de bouger, pour être capable de distinguer une simple photographie ou un montage grossier du véritable visage de la personne."

Le développement de l’application a pu être autorisé car elle ne fonctionne qu’avec le consentement de l’utilisateur : si vous utilisez Alicem, cela veut dire que vous en acceptez le principe. Pour Jérôme Letier, les questions éthiques soulevées par la surveillance en temps réel dans la rue ne se posent pas ici.

À lire aussi :
   Actualités > Le vaste chantier de notre identité numérique
   https://www.franceculture.fr/numerique/le-vaste-chantier-de-notre-identite-numerique

Un QR code sur son billet dans les aéroports

La question du consentement, essentielle donc, est étudiée par les autorités pour équiper les infrastructures sportives ou touristiques d’équipements légaux de reconnaissance faciale.  

Sont principalement concernés : les Jeux olympiques de Paris en 2024, ainsi que les aéroports. La société Idemia a déjà effectué des essais d’embarquement sur des vols avec des volontaires.

Les conditions générales de vente des billets pourraient contenir une clause de consentement qui permette de mettre en place un système de files différenciées, grâce à un QR code individuel qui incorpore une transcription de la photo d'identité, pour gagner du temps et de ne plus être obligé de présenter ses papiers à chaque étape. Guillaume Cazenave, de la société Two-I, rassure : "Si la personne ne donne pas son consentement, et c'est son droit qu’il est important de le respecter, il y aura toujours une file avec filtrage humain et manuel."

Un appel d’offres a officiellement été lancé par l’Agence nationale de la recherche.

La CNIL n'exclut pas de rendre un avis favorable pour les JO

Globalement, ce nouveau marché est évalué à sept milliards d’euros en France. Les Jeux de 2024, dont l’enjeu sécuritaire est très fort, ainsi que la Coupe du monde masculine de rugby en 2023, devraient être le laboratoire de ces technologies. "La filière industrielle française en matière de sécurité est en train de se positionner, analyse Félix Treguer, sociologue et fondateur de La Quadrature du net. Des sociétés comme Atos, Dassault Systèmes, Capgemini, sont en lien avec le ministère de l’Intérieur, via un comité, pour rafler les marchés publics autour des JO de 2024."

La CNIL n’exclut pas de rendre un avis favorable à la reconnaissance faciale pour les Jeux olympiques de Paris. "C’est envisageable, indique Marie-Laure Denis, présidente de la CNIL, à la cellule investigation de Radio France. Soit sur la base d'un consentement réel, soit par un texte qui autorise pour une durée limitée et sur un périmètre défini l'utilisation de ces pratiques. Tout cela est anticipable et faisable. Il s'agit encore une fois de concilier la protection des Français et la protection de leurs libertés, ce qui est également important."

Faire à l’étranger ce qui est interdit en France

Comme la France ne peut pas tester à grande échelle ces futurs équipements sur son territoire, certaines sociétés en profitent pour exporter du matériel à l’étranger, où les réglementations en la matière sont plus souples. La société Idemia équipe par exemple les services du FBI aux États-Unis, ou encore des espaces publics en Chine.

Le ministère de l’Intérieur, via la préfecture de police de Paris, teste à l’étranger des dispositifs interdits en France. Toujours dans l'optique des JO, ils ont expérimenté une solution de reconnaissance à grande échelle, avec Idemia. "La CNIL a émis une fin de non-recevoir à cette expérimentation en France, raconte Félix Tréguer. Du coup, le ministère de l'Intérieur a passé une convention avec Interpol et le gouvernement de Singapour pour qu’elle puisse avoir lieu dans une plateforme de transports de la cité-État."
"Ces technologies ne sont pas encore parfaitement au point"

De nombreuses études montrent pourtant que beaucoup de ces solutions ne sont pas fiables.

Aux États-Unis, le National Institute of Standards and Technology (NIST) a démontré des biais et des erreurs d’identification, notamment raciaux. "J’ai fait le test sur mon visage, et plusieurs fois, on m'a présenté comme une personne noire, s’étonne le journaliste (blanc) Olivier Tesquet. Certaines personnes étaient catégorisées par des adjectifs extrêmement stigmatisants, comme l'appellation ‘négroïde’ (sic). En termes de résolution des biais algorithmiques, on a encore beaucoup de chemin à faire."

Pour l’avocat Patrice Navarro, le problème est que les algorithmes sont "entraînés" sur des bases de données qui comportent essentiellement des photos d'hommes caucasiens. "D'où la présence de nombreux faux positifs et de biais liés à l'ethnie ou au sexe, ce qui prouve qu'aujourd'hui ces technologies ne sont pas encore parfaitement au point. On capte des images de mauvaise qualité de gens en train de bouger, qui peuvent porter des casquettes, des lunettes de soleil... Tout ceci peut très bien fonctionner si c’est correctement encadré, et cela peut avoir beaucoup d'intérêt. Mais encore faut-il que cela fonctionne."

D’autres critères sont testés afin de les croiser avec les informations du visage, comme l’iris, l’oreille, ou encore les mouvements du corps et la démarche, caractéristique difficile à dissimuler aux caméras.

Des craintes à propos de la possible mutualisation des fichiers et des réseaux

De plus en plus de voix se font entendre pour exprimer leurs craintes quant à un possible fichage général de la population. Avec la mise en place de la carte d’identité numérique, obligatoire en Europe à l’horizon 2021, le risque d’un maillage global existe, selon Olivier Tesquet : "Le site d’investigation américain The Intercept (article en anglais), a révélé qu'une dizaine de pays européens, sous l'impulsion de l'Autriche, songent à mutualiser leurs bases de données de reconnaissance faciale, un peu comme on échange déjà des fichiers de police dans le cadre d'Europol."

La crainte des anti-reconnaissance faciale est qu’à terme la technologie permette de mailler les réseaux de caméras. La SNCF, sur la Côte d’Azur, est déjà équipée en caméras intelligentes. Or, selon Martin Drago de La Quadrature du net, elles sont parfaitement compatibles avec d’autres. "On pourra avoir une imbrication des différents outils liés à différents marchés de collectivités, d’entreprises publiques ou privées, avec à la fin un maillage de surveillance algorithmique de l'espace public assez impressionnant."
"L'usage va créer le besoin, et le besoin va créer un nouvel usage"

D’où la mise en garde lancée par le député Modem Philippe Latombe, membre du groupe de travail sur les droits et libertés constitutionnels à l'ère numérique de l’Assemblée nationale. Selon lui, un tel outil placé entre de mauvaises mains pourrait dériver vers une surveillance de masse à des fins autres que sécuritaires : "Tout le monde se dit qu’on pourrait utiliser la reconnaissance faciale afin de retrouver par exemple une personne atteinte d'Alzheimer qui a disparu. Sauf que les Chinois ont aussi commencé par ça, en contrôlant dans leur population des criminels qui avaient donné l'autorisation de faire de la comparaison. Au fur et à mesure, ils ont fait grossir le fichier jusqu'à avoir la totalité de la population, pour leur donner des notes de crédit social."

    L'usage va créer le besoin, et le besoin va créer un nouvel usage. C'est une chaîne sans fin. Philippe Latombe, député Modem

Pour l’heure, le RGPD (règlement européen sur la protection des données) offre une protection aux citoyens européens, et en France, la CNIL veille à son application. Mais le RGPD n’a pas de régulateur, et la seconde n’intervient qu’a posteriori, alors que dans le même temps, les fabricants de matériel comptent bien s’engouffrer dans la brèche, grâce au soutien d’élus locaux réceptifs à leur demande, avec à la clé des enjeux financiers considérables.
Philippe Reltien et Cellule investigation de Radio France

Pendant que les dispositifs de police prédictive (comme PredPol) commencent à être interdits ou abandonnés aux États-Unis, la police française et plusieurs collectivités continuent à acheter et utiliser des équivalents français, à l’image de « Map Révélation » proposé par l’entreprise angevine « Sûreté Globale ». Cela au détriment des risques de discriminations qu’impliquent ces logiciels de surveillance, et en l’absence même de toute preuve de leur intérêt...