Depuis au moins un an, plusieurs centaines de milliers de Français ont été scannés, à leur insu, par un système de reconnaissance faciale. Ce dispositif a été déployé à l'occasion de courses à pied dans l'espace public réunissant des milliers de sportifs amateurs et de spectateurs. Mais petit problème, la collecte de données biométriques par un système d'intelligence artificielle est une pratique totalement interdite dans l'Union européenne.
La jeune pousse PhotoRunning est l'une des principales entreprises du secteur de la reconnaissance faciale en France. La société propose aux participants d'un événement sportif, principalement des courses à pied amateurs, de retrouver sur le site de l'entreprise toutes les images de leurs exploits. Jusqu'ici, pas de problème sur les intentions louables de ce service en ligne.
Mais voilà : afin que le programme d'intelligence artificielle (IA) soit efficace et délivre les clichés aux intéressés, tous les visages, des coureurs aux spectateurs jusqu'aux simples passants, ont été préalablement analysés par le système de reconnaissance faciale de l'entreprise. Ce recueil de données biométriques a été appliqué lors de 48 courses au cours des 12 derniers mois.
Environ 320 000 visages de personnes ont ainsi été enregistrés dans les bases de données sur les serveurs de PhotoRunning. Certaines courses couvertes par le dispositif de l'entreprise concernaient des épreuves réservées spécifiquement aux mineurs. Les données biométriques d'au moins 3 000 jeunes participants ont été ainsi collectées par le programme IA.
Depuis les JO de Paris, le sport est devenu le terrain expérimental préféré des technologies de vidéosurveillance pilotées par IA, mais avec une nuance de taille : le traitement informatique des images vidéo utilisé pendant les JO permettait d'identifier automatiquement des « événements » qualifiés d'anormaux, comme des mouvements de panique dans une foule, ou de pouvoir suivre les déplacements d'individus suspects.
La vidéosurveillance par IA des JO n'utilisait pas la reconnaissance faciale, nous rappelle Philippe Blanc, responsable des analyses vidéo chez Eviden, une société de cybersécurité : « La différence fondamentale entre la reconnaissance faciale et la reconnaissance comportementale, qui est pilotée par IA, est que dans un cas, le dispositif de vidéosurveillance identifie des personnes par rapport à leur visage et par rapport à une liste de référence. Dans l'autre cas, les systèmes se concentrent plutôt sur des analyses de mouvements de personnes. Par exemple, pour repérer des chutes dans une foule ou pour localiser des comportements anormaux de type violence qui seraient perpétrés par des groupes d'individus. En revanche, les technologies de reconnaissance faciale qui sont basées sur l'analyse des visages permettant de constituer une base de données biométriques sont aujourd'hui interdites en France et dans tous les pays de l'Union européenne. »
Les organisateurs des manifestations sportives qui ont employé le système PhotoRunning affirment qu'ils ignoraient que ce dispositif de reconnaissance faciale collectait les données biométriques de tout le monde. Mais cet argument ne tient pas. Que ce soit du côté des organisateurs ou celui de l'entreprise française, nul n'est censé ignorer le règlement général sur la protection des données en vigueur depuis 2018 dans tous les pays de l'UE. Le RGPD interdit formellement l'utilisation de la reconnaissance faciale dans l'espace public, sauf exception, pour des raisons de sécurité. Cette autorisation est fortement encadrée et soumise aux autorités compétentes.
Par ailleurs, ces mesures exceptionnelles exigent d'obtenir le consentement explicite et non contraint des personnes scannées par ce type de dispositif. Et c'est bien là le problème : à force de toujours minimiser, pour des raisons de facilité d'usage, la reconnaissance faciale dans l'espace public, la surveillance de masse par IA deviendra bientôt la norme dans nos sociétés. Avec ce risque certain que la vie privée des citoyens, en dehors du regard analytique des caméras pilotées par IA au quotidien, ne devienne un jour prochain une infraction, qu'il conviendrait peut-être de sanctionner. Et que nos parcours santé soient systématiquement surveillés.