Jusqu'ici, la reconnaissance faciale en magasin était souvent considérée comme un gadget. Il faut dire que sa technologie n'était pas très aboutie: elle permettait aux commerçants de deviner le sexe ou la tranche d’âge d’un passant et de subodorer une humeur, notée entre 1 et 10. Avec souvent le même taux de réussite qu'un art divinatoire… Mais les récents progrès en intelligence artificielle permettent d’améliorer les algorithmes de détection (lire encadré). Et le marché pourrait prendre un nouveau virage.
Déjà, les Gafa ont réalisé beaucoup de progrès en la matière en travaillant sur les photos de leurs abonnés, et recommandant directement à l’utilisateur des personnes à «tagguer» sur les photos. Qui a testé l’outil le trouve forcément bluffant au premier coup d’œil! Mais pour la reconnaissance directe de l’utilisateur dans la rue, plus aboutie, la loi est un frein. «À ce jour, selon le code de l’environnement, tout système de mesure d’audience ou d’analyse de comportement doit être soumis à l’autorisation de la Cnil», explique Maître Emmanuelle Behr, avocate spécialisée pour le cabinet Redlink. La reconnaissance faciale exhaustive, c’est-à-dire qui permet d’identifier une personne, ne déroge pas à la règle. Et la reconnaissance du visage étant perçue comme une donnée biométrique, la Cnil se veut très pointilleuse et n’a à ce jour jamais donné son accord.
Sanctions renforcées
Dans une décision rendue le 12 novembre 2015, concernant une société qui souhaitait remplacer ses badges de sécurité –notamment pour pointer les horaires– par de la reconnaissance faciale, elle estime qu’une «donnée biométrique constitue un élément d’identité irrévocable dont la diffusion non maîtrisée, ou accidentelle, peut avoir des conséquences irrémédiables». Elle a ainsi refusé de donner son accord à ladite société, estimant que «le recours à un dispositif de reconnaissance faciale ne peut être admis que dans certaines circonstances particulières où l'exigence d'identification des personnes résulte d’un impératif de sécurité» et non pas pour ouvrir des portes ou déclarer ses heures.
Cependant, le nouveau règlement européen sur la data, en vigueur à l’été 2018, va changer la donne. «L’esprit du RGPD [Règlement général sur la protection des données] n’attribue plus à la Cnil le rôle d’autorisateur, et le but est de responsabiliser les entreprises. En revanche, la Commission aura un rôle répressif renforcé», note Emmanuelle Behr. Ainsi, exit l’autorisation préalable de la Cnil. «Par principe, tout recueil de données biométriques est de fait interdit sauf en quelques cas, notamment celui de l’accord explicite des utilisateurs», ajoute l'avocate. Ne restera donc aux entreprises qu’à obtenir l’aval de leurs clients –et seulement cet aval– pour les dévisager. Bien plus facile mais un brin absurde: cela revient à demander à une personne inconnue, l’autorisation de la reconnaître… Enfin, les entreprises devront montrer patte blanche en termes d’analyse du risque préalable, et les sanctions en cas de non-conformité seront bien plus élevées.
Comment ça marche ?
La reconnaissance faciale commence par les yeux. En fonction de leur alignement, le logiciel peut définir un «cadre» pour le visage, ce qui lui permet de définir des points de références. L’une des technologies les plus répandues procède alors en analysant les différences de couleurs. Elle peut découvrir les contours et identifier certaines parties spécifiques du visage. Elle les repère dans l’espace, ce qui donne un ensemble de points, une figure géométrique unique associée au visage. Il ne reste alors qu’à comparer les figures géométriques pour reconnaître un visage dans une base de données.
