La surveillance biométrique s’impose comme une réalité incontournable dans nos sociétés contemporaines. Des empreintes digitales aux reconnaissances faciales, en passant par l’analyse de l’iris ou la reconnaissance vocale, ces technologies transforment profondément notre rapport à l’identification et au contrôle. Face à cette montée en puissance, une tension fondamentale émerge entre impératifs sécuritaires et protection des droits fondamentaux. Les systèmes biométriques, tout en promettant une sécurité renforcée, soulèvent des interrogations majeures concernant la vie privée, la dignité humaine et les libertés individuelles. Cette confrontation s’intensifie à mesure que les technologies se perfectionnent et que leur déploiement s’étend, appelant à une réflexion juridique approfondie sur leurs limites et leur encadrement.
La biométrie face au cadre juridique des droits fondamentaux
Le développement accéléré des technologies de surveillance biométrique se heurte à un socle de droits fondamentaux établis bien avant leur apparition. Ce décalage temporel crée une tension inhérente entre innovation technologique et préservation des libertés. La Déclaration Universelle des Droits de l’Homme, la Convention Européenne des Droits de l’Homme et la Charte des Droits Fondamentaux de l’Union Européenne constituent les piliers normatifs face à ces nouvelles technologies.
Le droit à la vie privée, consacré par l’article 8 de la Convention Européenne, se trouve directement confronté aux dispositifs biométriques qui captent et analysent nos caractéristiques corporelles les plus intimes. La jurisprudence de la Cour Européenne des Droits de l’Homme a progressivement reconnu que la collecte et le stockage de données biométriques constituaient une ingérence dans la vie privée nécessitant des justifications solides.
Le principe de dignité humaine, fondement de tous les autres droits, pose la question fondamentale de la réduction de l’être humain à ses caractéristiques biologiques quantifiables. La Cour constitutionnelle allemande a notamment souligné ce risque dans sa décision du 15 décembre 2018 relative à la reconnaissance faciale.
Le cadre spécifique du RGPD
En droit européen, le Règlement Général sur la Protection des Données (RGPD) apporte un encadrement spécifique en classant les données biométriques parmi les données sensibles à l’article 9. Cette qualification entraîne un régime de protection renforcé:
- Interdiction de principe du traitement sauf exceptions limitativement énumérées
- Obligation de réaliser une analyse d’impact relative à la protection des données (AIPD)
- Nécessité d’obtenir un consentement explicite des personnes concernées
- Application du principe de minimisation des données
La Commission Nationale de l’Informatique et des Libertés (CNIL) en France a précisé ces exigences dans plusieurs délibérations, notamment celle du 10 janvier 2019 concernant les dispositifs biométriques sur les lieux de travail. Elle y rappelle que le consentement des salariés ne peut être considéré comme librement donné en raison du lien de subordination.
Au niveau international, l’harmonisation reste incomplète. Si l’Union européenne s’est dotée d’un cadre relativement protecteur, d’autres régions comme l’Asie ou les États-Unis adoptent des approches plus fragmentées, créant des disparités normatives problématiques à l’heure de la mondialisation numérique. Cette fragmentation pose la question de l’effectivité des protections face à des technologies qui ignorent largement les frontières nationales.
L’essor de la reconnaissance faciale et ses défis juridiques spécifiques
Parmi les technologies biométriques, la reconnaissance faciale occupe une place singulière par son caractère non-intrusif et sa capacité de déploiement à grande échelle. Contrairement aux empreintes digitales qui nécessitent un contact physique, elle peut s’appliquer à l’insu des personnes, dans l’espace public, sans interaction directe. Cette spécificité technique engendre des problématiques juridiques inédites.
Le Conseil d’État français, dans sa décision du 19 juin 2020, a suspendu l’utilisation de drones de surveillance par la Préfecture de Police de Paris, considérant que ces dispositifs pouvaient être équipés de technologies de reconnaissance faciale sans cadre légal adéquat. Cette décision illustre l’exigence d’un fondement juridique clair pour tout déploiement de telles technologies.
Le principe de proportionnalité s’impose comme critère central d’évaluation de la légalité des dispositifs de reconnaissance faciale. La Cour de Justice de l’Union Européenne applique un test en trois volets:
- L’adéquation: la mesure permet-elle d’atteindre l’objectif poursuivi?
- La nécessité: existe-t-il des moyens moins intrusifs d’atteindre le même objectif?
- La proportionnalité stricto sensu: les avantages l’emportent-ils sur les inconvénients?
Les expérimentations controversées
Les expérimentations de reconnaissance faciale se multiplient dans différents contextes. En France, l’expérimentation ALICEM (Authentification en Ligne Certifiée sur Mobile) a fait l’objet d’un recours devant le Conseil d’État par l’association La Quadrature du Net, qui contestait l’absence d’alternative à la reconnaissance faciale pour créer une identité numérique.
Dans le domaine scolaire, le lycée Ampère de Marseille avait tenté d’instaurer un contrôle d’accès par reconnaissance faciale via le projet THÉSÉE. La CNIL s’y est opposée en décembre 2019, jugeant ce dispositif disproportionné par rapport à l’objectif de sécurisation des accès, qui pouvait être atteint par des moyens moins intrusifs comme les badges.
Le secteur privé n’est pas en reste. Les magasins Carrefour ont expérimenté en 2019 un système d’analyse des expressions faciales des clients en caisse pour évaluer leur satisfaction. Suite aux réactions négatives, l’enseigne a rapidement mis fin à ce test, illustrant la sensibilité sociale autour de ces technologies.
Au niveau européen, la proposition de règlement sur l’intelligence artificielle présentée par la Commission en avril 2021 prévoit d’interdire l’identification biométrique à distance en temps réel dans l’espace public à des fins répressives, sauf exceptions strictement encadrées comme la recherche de personnes disparues ou la prévention d’attaques terroristes imminentes. Cette approche restrictive témoigne d’une prise de conscience des risques spécifiques liés à la reconnaissance faciale pour les libertés fondamentales.
Le consentement à l’épreuve des systèmes biométriques
Le consentement, pilier traditionnel de la protection des données personnelles, se trouve profondément remis en question par les technologies biométriques. Face à des dispositifs souvent invisibles ou obligatoires, la notion même de consentement « libre, spécifique, éclairé et univoque » exigée par le RGPD semble parfois relever de la fiction juridique.
Dans les contextes d’asymétrie de pouvoir, comme les relations employeur-employé ou administration-citoyen, la liberté du consentement devient particulièrement problématique. Le Comité Européen de la Protection des Données (CEPD) a clarifié dans ses lignes directrices 05/2020 que le consentement ne peut constituer une base légale valable lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement.
L’arrêt Bărbulescu c. Roumanie de la Cour Européenne des Droits de l’Homme (2017) a posé des critères d’évaluation applicables à la surveillance au travail, y compris biométrique: information préalable, légitimité de l’objectif, existence d’alternatives moins intrusives, et garanties contre les abus.
Les alternatives au consentement
Face aux limites du consentement, d’autres bases légales prennent une importance croissante:
- L’intérêt légitime du responsable du traitement, qui nécessite une mise en balance avec les droits fondamentaux
- L’obligation légale, lorsque le législateur impose explicitement le recours à la biométrie
- La mission d’intérêt public, notamment pour les dispositifs de sécurité nationale
Le Tribunal administratif de Marseille, dans son jugement du 27 février 2020, a invalidé un système de contrôle d’accès biométrique dans une cantine scolaire, considérant que ni le consentement des parents (qui n’avaient pas d’alternative réelle) ni l’intérêt légitime de l’établissement ne pouvaient justifier un tel traitement de données sensibles chez des mineurs.
La question du retrait du consentement pose des défis particuliers pour les données biométriques. Contrairement à d’autres données personnelles, les caractéristiques biométriques sont permanentes et non modifiables. Une fois compromises, elles le sont potentiellement pour toujours. Cette irréversibilité exige des garanties renforcées concernant la possibilité effective de retirer son consentement à tout moment, comme l’exige l’article 7 du RGPD.
Le droit à l’oubli, consacré par l’article 17 du RGPD, se heurte également à des obstacles pratiques dans le domaine biométrique. Comment garantir l’effacement effectif de données qui peuvent avoir été dupliquées ou intégrées dans des modèles d’apprentissage automatique? La CNIL recommande des mesures techniques spécifiques comme le chiffrement des gabarits biométriques et leur stockage sur un support individuel sous le contrôle exclusif de la personne concernée.
En pratique, certaines juridictions comme l’Illinois aux États-Unis ont adopté des législations spécifiques (le Biometric Information Privacy Act) exigeant un consentement écrit préalable à toute collecte de données biométriques. Ces approches sectorielles témoignent de la nécessité d’adapter les régimes classiques du consentement aux particularités des technologies biométriques.
Discriminations algorithmiques et biais dans les systèmes biométriques
Les technologies biométriques soulèvent des préoccupations majeures en termes de discriminations, tant dans leur conception que dans leur déploiement. De nombreuses études scientifiques ont démontré l’existence de biais algorithmiques affectant particulièrement certains groupes démographiques.
Le National Institute of Standards and Technology (NIST) américain a publié en 2019 une étude évaluant 189 algorithmes de reconnaissance faciale provenant de 99 développeurs. Les résultats révèlent des taux de faux positifs jusqu’à 100 fois plus élevés pour les visages de personnes d’origine asiatique ou africaine par rapport aux visages caucasiens. Ces disparités techniques se traduisent par des risques accrus d’erreurs d’identification pour certaines populations.
Sur le plan juridique, ces biais posent la question de la conformité des systèmes biométriques avec le principe de non-discrimination consacré par l’article 21 de la Charte des Droits Fondamentaux de l’Union Européenne. La discrimination algorithmique, même non intentionnelle, peut constituer une discrimination indirecte prohibée par le droit européen.
Cadres juridiques émergents
Face à ces risques, de nouveaux cadres normatifs émergent:
- La proposition de règlement européen sur l’intelligence artificielle classe les systèmes biométriques parmi les applications à haut risque, imposant des évaluations préalables des biais potentiels
- La loi n°2021-1109 du 24 août 2021 en France a introduit l’obligation pour les opérateurs de plateformes en ligne de rendre compte des moyens mis en œuvre pour lutter contre les discriminations algorithmiques
- Le Algorithmic Accountability Act aux États-Unis propose d’imposer des évaluations d’impact pour les systèmes automatisés à haut risque
L’affaire Williams v. Detroit Police Department illustre les conséquences concrètes de ces biais. En janvier 2020, Robert Williams, un homme afro-américain, a été arrêté à tort devant sa famille sur la base d’une identification erronée par un système de reconnaissance faciale. Cette erreur a donné lieu à une plainte et contribué au débat sur les moratoires concernant ces technologies.
Au-delà des biais techniques, la question du ciblage disproportionné de certaines populations se pose. Une étude de l’Université de Cardiff a montré que les systèmes de reconnaissance faciale déployés au Royaume-Uni étaient plus fréquemment utilisés dans les quartiers à forte diversité ethnique, soulevant des questions d’équité dans le déploiement même de ces technologies.
Le Défenseur des droits français a alerté dans son rapport de 2020 sur les risques de renforcement des discriminations systémiques par les technologies biométriques, notamment lorsqu’elles sont utilisées comme outils d’aide à la décision dans des contextes sensibles comme l’accès aux services publics ou le maintien de l’ordre.
La transparence des algorithmes devient ainsi un enjeu majeur de l’État de droit. Le Conseil constitutionnel français, dans sa décision n° 2020-834 QPC du 3 avril 2020, a reconnu que l’opacité des algorithmes utilisés par l’administration pouvait porter atteinte au droit à un recours effectif. Cette jurisprudence ouvre la voie à une exigence de transparence accrue pour les systèmes biométriques utilisés par les autorités publiques.
Vers une gouvernance éthique de la biométrie
Face aux tensions entre innovations technologiques et protection des droits fondamentaux, l’élaboration d’une gouvernance éthique de la biométrie s’impose comme une nécessité. Cette approche dépasse le cadre strictement juridique pour intégrer des considérations axiologiques et sociétales plus larges.
Le principe de précaution, traditionnellement appliqué aux risques environnementaux et sanitaires, trouve une nouvelle pertinence face aux technologies biométriques. Plusieurs municipalités comme San Francisco, Boston ou Portland ont ainsi adopté des moratoires sur l’utilisation de la reconnaissance faciale par les services publics, considérant que les risques pour les libertés civiles justifiaient une suspension temporaire en attendant un encadrement adéquat.
L’approche dite « Ethics by Design » prône l’intégration des considérations éthiques dès la conception des systèmes biométriques. Cette méthodologie s’inspire du « Privacy by Design » consacré par l’article 25 du RGPD, mais élargit son champ aux questions de dignité humaine, d’équité et de transparence. Le Comité consultatif national d’éthique (CCNE) français a recommandé cette approche dans son avis n°129 sur l’intelligence artificielle.
Mécanismes de certification et d’audit
Les mécanismes de certification émergent comme outils de gouvernance:
- Le label CNIL « Gouvernance RGPD » peut s’appliquer aux organisations déployant des systèmes biométriques
- La norme ISO/IEC 24745:2022 établit un cadre pour la protection des informations biométriques
- Le Conseil de l’Europe développe un cadre de certification éthique pour les systèmes d’IA, incluant les applications biométriques
L’implication de la société civile constitue un pilier fondamental d’une gouvernance légitime. Des organisations comme la Ligue des droits de l’Homme, La Quadrature du Net en France, ou l’Electronic Frontier Foundation aux États-Unis jouent un rôle crucial de vigilance et de contre-pouvoir. Leur action contentieuse a permis des avancées jurisprudentielles significatives, comme l’arrêt de la Cour d’appel de Versailles du 8 septembre 2021 annulant un système de reconnaissance faciale dans un centre commercial.
La question de la souveraineté numérique se pose avec acuité dans le domaine biométrique. La dépendance européenne vis-à-vis de technologies développées par des acteurs américains ou chinois soulève des enjeux stratégiques et juridiques. Le Parlement européen, dans sa résolution du 20 janvier 2021, a souligné la nécessité de développer une filière européenne de biométrie respectueuse des valeurs fondamentales de l’Union.
Les expériences de co-régulation entre pouvoirs publics, industriels et société civile offrent des pistes prometteuses. Au Canada, le Conseil de l’innovation en matière de réglementation a mis en place un bac à sable réglementaire permettant d’expérimenter des cadres normatifs adaptés aux nouvelles technologies biométriques tout en garantissant un niveau élevé de protection des droits.
La formation des magistrats et des avocats aux enjeux techniques et éthiques de la biométrie devient un impératif pour garantir une justice effective. L’École Nationale de la Magistrature a intégré depuis 2019 un module spécifique sur les technologies numériques et leurs implications pour les libertés fondamentales.
Cette gouvernance éthique doit trouver un équilibre délicat entre l’anticipation des risques futurs et l’adaptation aux réalités présentes. La Commission européenne, dans sa stratégie pour l’intelligence artificielle publiée en février 2020, a adopté une approche fondée sur les risques qui pourrait servir de modèle pour une régulation proportionnée des technologies biométriques.
L’avenir des libertés à l’ère de la biométrie omniprésente
L’accélération du déploiement des technologies biométriques dessine les contours d’un futur où l’identification permanente pourrait devenir la norme. Cette perspective soulève des questions fondamentales sur la transformation de nos libertés et l’évolution de nos cadres juridiques.
Le concept d’anonymat dans l’espace public, longtemps considéré comme une composante implicite des libertés démocratiques, se trouve directement menacé par la généralisation de la reconnaissance faciale. La Cour Suprême allemande a reconnu dès 1983, dans son arrêt fondateur sur le recensement, un véritable « droit à l’autodétermination informationnelle » incluant la possibilité de se déplacer sans être systématiquement identifié.
Les technologies de reconnaissance des émotions, extension récente de la biométrie, soulèvent des questions inédites. Ces systèmes prétendent déduire des états émotionnels à partir d’expressions faciales ou de variations physiologiques. Le Contrôleur européen de la protection des données a recommandé en avril 2021 leur interdiction complète, considérant qu’elles portent atteinte à la dignité humaine et au droit à la vie privée psychique.
Vers des droits numériques fondamentaux
Face à ces défis, l’émergence de nouveaux droits fondamentaux spécifiques au numérique se dessine:
- Le droit à la déconnexion biométrique, permettant de refuser temporairement ou définitivement l’identification automatisée
- Le droit à l’explicabilité des décisions prises sur base de données biométriques
- Le droit à la contestation humaine d’une identification biométrique erronée
La Charte du numérique proposée par la France à l’UNESCO en 2018 incluait certains de ces droits émergents. Plusieurs juristes plaident pour leur constitutionnalisation afin de leur conférer une protection renforcée face aux évolutions technologiques.
L’interaction entre biométrie et intelligence artificielle ouvre des perspectives vertigineuses. Les systèmes de reconnaissance faciale couplés à l’analyse comportementale permettent désormais d’identifier non seulement qui nous sommes, mais ce que nous faisons, voire ce que nous ressentons. Le Parlement européen, dans sa résolution du 6 octobre 2021, a appelé à un encadrement strict de ces technologies hybrides particulièrement intrusives.
Le concept de souveraineté biométrique individuelle émerge comme principe structurant pour l’avenir. Il s’agit de reconnaître à chaque personne un contrôle effectif sur ses données biométriques, incluant le droit de savoir quand et comment elles sont utilisées. Ce principe pourrait se concrétiser par des dispositifs techniques comme les « personal data stores » permettant aux individus de gérer centralement leurs consentements biométriques.
Les approches différenciées selon les contextes s’imposent comme voie d’équilibre. Si la biométrie peut sembler légitime pour sécuriser l’accès à des infrastructures critiques ou faciliter certaines démarches administratives, son utilisation à des fins commerciales ou de surveillance de masse appelle des restrictions plus sévères. Le Groupe Européen d’Éthique des Sciences et des Nouvelles Technologies a recommandé cette approche contextuelle dans son avis de mars 2021.
La question de l’acceptabilité sociale devient centrale dans le débat sur la biométrie. Au-delà de la légalité stricte, l’adhésion des citoyens conditionne la légitimité de ces technologies. Des mécanismes de démocratie participative comme les conventions citoyennes pourraient contribuer à définir collectivement les limites acceptables de l’identification biométrique dans une société démocratique.
La coopération internationale apparaît indispensable face à des technologies qui transcendent les frontières. L’UNESCO a adopté en novembre 2021 une Recommandation sur l’éthique de l’intelligence artificielle qui inclut des principes applicables aux systèmes biométriques. Cette soft law pourrait préfigurer l’émergence d’un droit international de la biométrie, nécessaire pour éviter les risques de forum shopping et garantir une protection universelle des droits fondamentaux.
L’enjeu ultime réside peut-être dans notre capacité collective à préserver des espaces de liberté non médiatisés par la technologie. Le philosophe Giorgio Agamben évoque le risque d’une « biométrisation de l’existence » où chaque interaction humaine serait soumise à une authentification préalable. Face à cette perspective, le droit devra non seulement encadrer les usages légitimes de la biométrie, mais aussi garantir la persistance d’espaces sociaux où l’identification n’est pas requise, préservant ainsi les conditions d’exercice des libertés démocratiques fondamentales.