Mon visage ou le vôtre ?
L’utilisation croissante des technologies de reconnaissance faciale place les entreprises face à un sérieux dilemme en matière de confidentialité et de conformité réglementaire.
La technologie de reconnaissance faciale peut être utilisée pour identifier ou confirmer l'identité d'une personne à l'aide de son visage. La technologie identifie et mesure les traits du visage dans une image ou une vidéo avant de comparer les informations avec une base de données de visages connus pour trouver une correspondance.
Espaces publics
La technologie de reconnaissance faciale peut être utilisée avec la vidéosurveillance pour la sécurité publique, notamment autour des aéroports et des gares. Pourtant, les déploiements dans les deux US et Europe ont parfois été controversées.
La reconnaissance faciale dans des environnements non contrôlés n’est pas fiable, affirment les défenseurs de la vie privée.
Outre les menaces potentielles pour la vie privée des individus dues à la surveillance de masse basée sur la reconnaissance faciale, on craint également que la technologie, dans le contexte des espaces publics, puisse conduire à des préjugés sexistes et à des discriminations. le profilage racial – notamment parce que certains algorithmes présentent davantage faux positifs contre les personnes de couleur.
L'Union européenne a proposé trois ans auparavant un moratoire sur la reconnaissance faciale dans les espaces publics. abandonner l'idée.
En revanche, l’utilisation de la technologie dans les contrôles aux frontières tels que les aéroports ou dans les installations sécurisées pour appliquer des contrôles d’accès stricts est beaucoup plus fiable. La biométrie de reconnaissance faciale bien conçue peut également être utilisée comme mécanisme d'authentification pour des systèmes ou des applications logiques.
L'UE Règlement Général de Protection des Données (RGPD) impose des exigences strictes sur le traitement des données biométriques, notamment le consentement, la transparence, la limitation des finalités et l'évaluation de l'impact sur la vie privée (pour se prémunir contre la dérive de la mission), ainsi que des règles de conservation et de minimisation des données.
Authentification sécurisée
Les entreprises grand public s'appuient de plus en plus sur la reconnaissance faciale pour contrôler l'accès aux espaces physiques ou authentifier les utilisateurs via des services de vérification d'identité. Celles-ci peuvent s'aligner sur la conformité au RGPD, mais seules des évaluations minutieuses de l'impact sur la protection des données prenant en compte les exigences en matière de confidentialité et de conformité sont réalisées en premier.
« Face aux progrès technologiques rapides, les entreprises doivent rester agiles non seulement dans l'adoption mais également dans la compréhension des risques associés. » Dave Holloway, directeur marketing d'ISMS.online, a commenté.
Declan Goodwin, partenaire d'Acuity Law, a ajouté : « J'ai vu des exemples dans lesquels des fournisseurs de logiciels/matériel de reconnaissance faciale ont vendu des systèmes à des entreprises sans que l'acheteur n'ait d'abord pleinement pris en compte les exigences de conformité.
« Une fois les exigences de conformité respectées, l’acheteur s’est rendu compte qu’il ne pouvait pas mettre en œuvre le système qu’il avait acheté de manière conforme ou qu’il était défectueux. »
Goodwin a expliqué : « Par exemple, le consentement des employés est requis avant que le système puisse être utilisé pour pointer les employés à l'entrée et à la sortie du travail, et ce consentement peut être retiré à tout moment, ce qui rend les avantages de la nouvelle technologie très limités. L'ICO essaie d'aider contrôleurs de données avec une telle technologie via leur [récent] consultation sur un projet de lignes directrices sur les données biométriques. »
Les cadres de conformité offrent un modèle
Alex Wilkins, directeur et expert en confidentialité des données chez ProCompliance, a déclaré à ISMS.online que « les cadres et les normes, notamment ISO 27001, ISO 27701 et NIST CSF, jouent un rôle crucial pour aider les entreprises à se positionner pour se conformer » lors du déploiement de la reconnaissance faciale. les technologies.
Par exemple, Norme ISO 27001 fournit une approche systématique de la gestion et de la protection des informations sensibles, y compris les données utilisées par la technologie de reconnaissance faciale. « La mise en œuvre de la norme ISO 27001 peut aider les entreprises à identifier les risques, à établir des contrôles et à créer un système de gestion de la sécurité de l'information (ISMS) robuste », selon Wilkins.
ISO 27701 propose une extension de confidentialité à la norme ISO 27001 qui traite explicitement de la gestion de la confidentialité.
Entreprises qui utilisent la technologie de reconnaissance faciale pour garantir qu'elles traitent les données personnelles conformément aux réglementations en matière de confidentialité, telles que le RGPD.
« Bien qu'il ne soit pas spécifique à la reconnaissance faciale, le NIST CSF constitue un cadre complet pour gérer les risques de cybersécurité », a conclu Wilkins.
Matt Lewis, directeur de recherche technique chez NCC Group, a étudié l'impact de la technologie de reconnaissance faciale et ses implications sur la vie privée des entreprises.
Risques et controverses liés à la reconnaissance faciale
Il y a eu plusieurs controverses liées à la technologie de reconnaissance faciale.
En février 2023, le Madison Square Garden a annoncé qu'il interdirait l'utilisation de la technologie de reconnaissance faciale dans ses sites après la réaction des militants et des clients qui s'opposaient à la surveillance de masse sur le site.
En 2022, il a été révélé que Clearview AI avait constitué une base de données de plus de trois milliards d’images faciales sans le consentement des personnes représentées. Le bureau du commissaire à l'information du Royaume-Uni a infligé une amende de plus de 7.5 millions de livres sterling à la société de reconnaissance faciale pour violation des lois sur la protection de la vie privée.
Conformité et reconnaissance faciale
Même si les inquiétudes concernant une utilisation abusive de la reconnaissance faciale doivent être prises au sérieux, cette technologie peut avoir des applications bénéfiques.
Clarence, un spécialiste de la conformité financière, traite environ 6 milliards de dollars par an en paiements transfrontaliers et utilise la technologie de reconnaissance faciale pour l'assurance et la conformité.
La technologie offre l'inclusion financière aux régions exclues et aux membres de la société qui ont été historiquement exclus des services financiers, selon Clarency.
"Un grand nombre de nos transactions impliquent des régions que les banques excluent largement", a déclaré Jem Shaw, responsable de la communication chez Clarency, à ISMS.online. « La reconnaissance faciale fait partie d'un programme de diligence raisonnable amélioré qui nous permet d'effectuer des transactions en toute conformité dans ces régions.
Clarency capture régulièrement une photo d'identité et, dans certains cas, une vidéo en direct des contreparties impliquées pour la vérification de l'identité.
"Les sujets acceptent facilement cette exigence car elle leur permet d'effectuer des transactions commerciales légales, sûres et conformes, ce qui serait autrement impossible", a ajouté Shaw.
Clarency utilise également la technologie de reconnaissance faciale pour les transferts de fonds à domicile et les paiements en espèces.
"Nous fournissons une méthode de traçage des espèces depuis leur paiement jusqu'à leur numérisation pour leur transmission ultérieure au destinataire", a expliqué Shaw. "Cela est dû à la reconnaissance faciale au point de paiement."
Les réglementations de conformité bancaire, qui exigent généralement que les données soient conservées pendant au moins six ans, entrent en conflit avec les exigences du RGPD. Clarency utilise la technologie du coffre-fort de données pour concilier ces exigences apparemment contradictoires.
"Nous pouvons faire expirer, supprimer ou modifier les informations contenues dans le coffre-fort conformément aux exigences du RGPD", a expliqué Shaw. « Si une personne demande l’effacement de ses données personnelles, nous pouvons le faire immédiatement. L’accès peut être contrôlé avec une granularité illimitée, jusqu’aux individus, aux organisations, aux dates d’expiration, au nombre de vues, etc. à l’infini.
La technologie de reconnaissance faciale « soulève toutes sortes de questions quant à savoir si cette technologie pourrait porter atteinte aux droits fondamentaux à la vie privée et comment elle peut être contrôlée », selon Natalie Cramp, directrice générale du cabinet de conseil en science des données Profusion.
Cramp a poursuivi : « Cependant, la technologie de reconnaissance faciale offre de nombreux avantages – depuis l’amélioration des mesures de sécurité, l’amélioration des expériences numériques et la protection des entreprises contre le vol, jusqu’à même l’aide à retrouver les personnes disparues. »
Rebecca Harper, responsable de l'analyse de la cybersécurité chez ISMS.online, a conclu : « La reconnaissance faciale a ses mérites, mais comme tout outil, tout dépend de la façon dont vous l'utilisez. La conformité ne peut pas être une réflexion après coup.
