Selon un rapport confidentiel, les forces de police de l’UE rêvent de mettre en place un réseau interconnecté de bases de données de reconnaissance faciale.
Un rapport du Conseil de l’UE, qui aurait circulé entre dix États membres en novembre dernier, détaille les mesures prises par l’Autriche pour légiférer sur la mise en place d’un réseau de base de données de reconnaissance faciale, auquel les forces de police de toute l’UE pourraient accéder.
Les documents, obtenus par The Intercept, comprennent une série de rapports qui examinent la possibilité d’étendre le traité de Prüm, qui régit la coopération policière opérationnelle entre les États membres de l’UE, pour y inclure des images de reconnaissance faciale.
En l’état actuel des choses, des dispositions permettent le partage de l’ADN, des empreintes digitales et des registres d’immatriculation des véhicules entre les pays membres participants. L’initiative avait été lancée par le ministre allemand des Affaires intérieures, Wolfgang Schäuble, en 2005.
Étendre le traité de Prüm pour y inclure des images de reconnaissance faciale avait été envisagé dans des conclusions du Conseil de l’UE en 2018, qui invitaient alors les experts des États membres à « évaluer le déroulement de la procédure Prüm dans l’optique d’une évolution future intégrant éventuellement de nouvelles technologies biométriques, par exemple des systèmes d’identification faciale. »
Afin d’évaluer la faisabilité du projet, les rapports suggèrent que la Commission européenne aurait chargé le cabinet Deloitte de mener une évaluation sur ce type de technologie, pour un coût total de 700 000 euros.
Livre blanc sur l’intelligence artificielle
Cette fuite de documents survient à un moment où l’UE est plongée dans le débat de la réglementation des technologies de reconnaissance faciale dans l’UE.
Précédemment, des documents obtenus par Euractiv montraient que la Commission européenne réfléchissait à un éventuel moratoire de cinq ans sur la technologie dans le contexte de son Livre blanc sur l’intelligence artificielle, une feuille de route sur la manière dont l’exécutif compte atténuer les risques futurs dans ce domaine.
Ces projets ont toutefois été enterrés dans la version finale du Livre blanc publié la semaine dernière, la Commission préférant plutôt opter pour « un débat européen sur l’utilisation de l’identification biométrique à distance ».
L’exécutif a aussi souligné le fait que dans le cadre de la loi européenne sur la protection des données, le traitement des données biométriques pour identifier des personnes était interdit, sauf des conditions spécifiques ayant trait à la sécurité nationale ou à l’intérêt public.
L’article 6 du règlement européen sur la protection des données expose les conditions dans lesquelles des données personnelles peuvent être traitées en toute légalité. L’une d’entre elles impose à l’utilisateur de donner son consentement explicite. L’article 4 (14) du règlement couvre quant à lui le traitement des données biométriques.
Malgré tout, ces derniers mois, les États membres de l’UE ont élaboré des plans dans le domaine des technologies de reconnaissance faciale.
L’Allemagne a fait part de son intention de déployer des outils automatiques de reconnaissance faciale dans 134 gares et 14 aéroports, alors que la France prévoit aussi de mettre en place un cadre légal permettant d’intégrer des technologies de reconnaissance faciale aux systèmes de vidéo surveillance.
Plus largement, le Livre blanc de l’UE sur l’intelligence artificielle met l’accent sur une série de technologies à « haut risque » pouvant servir à une future surveillance. Ces technologies tombent dans deux catégories : celles qui seraient utilisées dans « des secteurs critiques » et celles qui auraient un « usage critique ».
Ces secteurs comprennent la santé, le transport, la police, le recrutement, et le système juridique. Les applications critiques concernent quant à elles les technologies comportant un danger de mort ou de blessures, ou celles ayant des retombées juridiques.
Clearview AI
Partout ailleurs, l’UE a fermement pris position sur l’emploi de la reconnaissance faciale ailleurs dans le monde.
Suite aux récentes révélations selon lesquelles la société technologique américaine Clearview AI a amassé plus de trois milliards de photos de visages d’utilisateurs sur les réseaux sociaux comme YouTube, Facebook et Twitter sans obtenir leur autorisation, la Commission est en discussion avec les autorités européennes de protection des données pour déterminer si les données des citoyens européens auraient pu être en danger.
Clearview AI met à disposition des forces de l’ordre une base de données capable de faire correspondre des images de visages avec plus de trois milliards d’autres images de visages récupérées sur des réseaux sociaux.
« La Commission est au courant des rapports de la presse, nous suivons le dossier de près et restons en contact avec les autorités nationales de protection des données ainsi qu’avec le Comité européen de la protection des données », a assuré un porte-parole de l’exécutif.
« Ces technologies n’opèrent pas dans un vide juridique. L’utilisation de données personnelles est soumise aux règles strictes du RGPD. [Celui-ci] prescrit une base juridique bien définie et un objectif légitime ; la personne concernée doit être au courant de la procédure, elle doit pouvoir obtenir réparation et [posséder] des moyens de vérification ».
Reconnaissance faciale : la police européenne envisage une base de données massive