Une plainte déposée cette semaine met en lumière une pratique jugée pour le moins problématique : le Bundeskriminalamt (BKA), la police fédérale allemande, aurait remis à des chercheurs des clichés biométriques de visages sans obtenir le consentement des personnes concernées. Derrière cette affaire se dessine une bataille juridique autour du respect de la vie privée et de l’encadrement de la reconnaissance faciale en Allemagne.
Contexte de l’affaire
Le BKA collabore depuis plusieurs années avec un institut de recherche spécialisé dans les technologies de reconnaissance biométrique. L’objectif affiché : améliorer la précision des algorithmes capables d’identifier une personne à partir de son visage, en analysant des milliers d’images. Selon la plainte, les visages utilisés proviendraient de bases de données internes, récoltés notamment lors d’enquêtes ou de contrôles d’identité.
Or, ces images sont assimilables à des données biométriques sensibles, soumises au Règlement général sur la protection des données (RGPD). Toute collecte ou partage exige un cadre légal strict et, surtout, l’accord explicite des individus photographiés. C’est précisément ce consentement qui fait défaut dans le cas dénoncé.
Les visages concernés et leur utilisation
Plusieurs milliers de clichés – sous forme de portraits ou d’extraits de vidéos – auraient été transmis par le BKA pour « fins de recherche ». Voici les points clés :
- Origine : images issues de fichiers de police, souvent capturées lors d’interpellations ou de confrontations.
- Finalité : entraînement d’IA pour détecter et reconnaître un individu dans des flux vidéo, par exemple dans les gares ou aéroports.
- Format : chaque photo est accompagnée de métadonnées (âge, origine présumée, contexte de la prise de vue) pour affiner l’apprentissage automatique.
Si l’intention de développer des outils plus performants contre la criminalité peut sembler légitime, l’absence d’information et de permission pose une question fondamentale de légitimité.
Les arguments des plaignants
À l’initiative de la plainte, on trouve le Chaos Computer Club (CCC), principal porte-parole des libertés numériques en Allemagne, épaulé par des associations de protection de la vie privée. Leurs griefs :
- Violation du RGPD : partage de données biométriques sans base légale ni consentement, alors que ces informations sont particulièrement protégées.
- Manque de transparence : les personnes concernées n’ont jamais été informées de l’usage scientifique de leurs visages.
- Risques de dérives : une fois intégrées dans un modèle d’IA, ces données peuvent circuler, être fuyantes et utilisées à des fins de surveillance de masse.
Le CCC réclame l’arrêt immédiat de tout transfert d’images et la suppression des données déjà partagées. Il demande également des garanties pour encadrer toute future collaboration entre forces de l’ordre et laboratoires privés ou publics.
Enjeux légaux et perspectives pour la reconnaissance faciale
Cette affaire tombe au moment où le Parlement européen débat d’un cadre plus strict pour les technologies de reconnaissance faciale. Plusieurs pays membres envisagent d’interdire ou de limiter ces outils dans les espaces publics. En Allemagne, la jurisprudence avance déjà dans ce sens :
- Décisions de justice récente : des tribunaux régionaux ont condamné l’usage de caméras « intelligentes » non signalées.
- Révisions législatives en cours : le ministère de l’Intérieur planche sur un projet de loi imposant une autorisation judiciaire préalable pour toute analyse biométrique automatisée.
- Pressions citoyennes : pétitions et actions de lobbying du CCC ont contribué à sensibiliser l’opinion sur les risques d’atteinte aux droits fondamentaux.
Pour les chercheurs, trouver un compromis entre innovation et respect de la vie privée est devenu incontournable. Des pistes émergent : recours à des images volontairement fournies par des volontaires, anonymisation plus poussée ou utilisation d’avatars synthétiques pour entraîner les algorithmes.
L’issue de ce procès pourrait établir un précédent déterminant pour l’avenir de la reconnaissance faciale en Europe. Elle rappelle qu’à l’heure du numérique, la protection des données personnelles doit demeurer un pilier non négociable, même dans la quête d’outils technologiques performants pour la sécurité.