La biométrie a d'abord été définie comme une science, celle qui "
étudie, à l'aide des mathématiques, les variations biologiques à l'intérieur d'un groupe déterminé". Aujourd'hui, la biométrie est davantage perçue comme une technique d'identification de la personne à partir de ses caractères physiologiques reconnaissables et vérifiables, qu'il s'agisse de la paume de la main, de l'ADN, de l'identification par l'iris de l'oeil ou encore par la voix. Quant à ses utilisations, elles sont potentiellement d'une extrême diversité, allant de l'authentification des paiements au démarrage d'une voiture, en passant par l'accès des élèves à la cantine ou le contrôle du temps de travail. Ce glissement de la science à la technique a été perçu comme positif, dans la mesure où la biométrie était d'abord un instrument d'accroissement de la sécurité et de la fiabilité de certains échanges.
Aujourd'hui, le danger pour la vie privée apparaît au grand jour, alors que Facebook fait une utilisation de la biométrie qui ne présente qu'un intérêt ludique, voire pas d'intérêt du tout. En l'espèce, il s'agit d'utiliser un logiciel de reconnaissance faciale qui permet d'identifier les visages et d'y associer une identité. En soi, un tel logiciel peut être très utiles, par exemple pour les services de police, lorsqu'ils ont besoin d'identifier un suspect sur des photographies. Mais Facebook ne l'utilise que pour permettre à ses abonnés d'être "reconnus" lorsqu'ils apparaissent sur une photo diffusée sur le réseau social, le cliché étant alors automatiquement envoyé à leurs "amis". Chaque utilisateur de Facebook est présumé avoir accepté ce système de reconnaissance faciale. C'est donc à lui de prendre l'initiative de le désactiver, s'il parvient à trouver l'endroit où il peut cocher cette case…
Cette utilisation de la biométrie constitue une nouvelle incitation à la prudence vis-à-vis des données que nous laissons circuler sur les réseaux sociaux. Mais au-delà de cette observation de bon sens, on doit observer que, en l'état actuel du droit, cette fonction de reconnaissance faciale n'est pas conforme aux standards juridiques des Etats européens.
L'Union européenne
L'Union européenne, en tant que telle, n'éprouve aucune réticence à l'égard de la biométrie, dès lors que les fichiers sont dotés de systèmes de protection des données, et que leurs finalités sont parfaitement précisées . Le
réglement du Conseil adopté le 13 décembre 2004 pose ainsi un certain nombre de principes gouvernant l'utilisation des passeports biométriques. De même, l'Union utilise désormais une base de données biométriques pour la gestion des demandeurs d'asile, qui utilise les empreintes digitales (
Eurodac). Pour le reste, l'Union européenne considère que l'utilisation de la biométrie relève de la compétence des Etats membres. C'est donc au regard des droits internes des Etats que le reconnaissance faciale de Facebook pose d'abord problème.
L'Allemagne, le précurseur
L'Allemagne a été le premier pays à manifester son opposition à cet outil nouveau. Ce n'est guère surprenant si on se souvient que la toute première loi au monde sur la protection des données a été votée par le Land de Hesse, en 1970. Depuis cette date, la vie privée est devenu l'objet d'un militantisme associatif particulièrement actif. C'est ainsi qu'une véritable levée de boucliers a accueilli la création, à l'été 2010, du service de cartographie interactive Google Street View, finalement contraint de "flouter" 200 000 bâtiments, à la demande de leurs occupants. A la même époque, des associations allemandes de consommateurs avaient déjà appelé à un boycott de Facebook, accusé de ne pas être suffisamment attentif à la protection de la vie privée.
En ce qui concerne la reconnaissance faciale mise en place par Facebook, son illégalité ne fait guère de doute au regard du droit allemand, ou plus exactement des droits allemands dès lors que la protection de la vie privée relève de la compétence des Länder. Ces législations ont toutes en commun de poser comme principe qu'une information nominative, y compris biométrique, ne peut être collectée qu'avec l'accord des intéressés. Or, Facebook a mis en place un système dans lequel l'utilisateur est présumé avoir donné son consentement, puisqu'il lui incombe, le s'il le souhaite, de désactiver le système.
L'agence de protection des données de la ville de Hambourg a été la première à réagir, et elle demande aujourd'hui à l'entreprise américaine de supprimer les informations collectées sans l'accord des internautes. Facebook dispose de deux semaines pour répondre, et risque une importante amende en cas de refus de modifier le système.
Et la France ?
Et en France ? L'illégalité ne fait pas davantage de doute, dès lors que
l'article 25 de la loi du 6 janvier 1978 soumet la collecte et le stockage de données relatives à la vie privée à autorisation de la CNIL. Et la jurisprudence française considère depuis bien longtemps que le droit à l'image est indissociable du droit au respect de la vie privée.
Une finalité liée à un "enjeu majeur dépassant l'intérêt de l'organisme" (protection de l'intégrité physique des personne ou protection des biens). En l'espèce, on ne voit pas très bien l'"enjeu majeur poursuivi" par la reconnaissance faciale de Facebook, son seul objet étant de permettre des échanges de photographies à des fins de loisirs.
La proportionnalité de la finalité du dispositif par rapport à l'atteinte à la vie privée qu'il implique. Là encore, la condition n'est pas remplie, dès lors que cet outil biométrique porte atteinte au droit à l'image, sans aucun motif d'intérêt général.
L'existence d'un "impératif fort de sécurité", qui, à l'évidence n'existe pas.
L'information préalable des personnes concernées sur les données collectées et stockées. En l'espèce, la technologie commence à fonctionner sans que l'internaute en soit informé.
Dès lors que ces données portent atteinte à la vie privée, le régime légal est donc celui de l'autorisation de l'article 25 de la loi du 6 janvier 1978. La CNIL n'a d'ailleurs pas hésité à refuser certaines autorisations, notamment lorsque l'impératif de sécurité ne lui semblait pas suffisamment "fort". Par une
délibération du 26 juin 2008, elle a ainsi refusé à un établissement scolaire l'autorisation d'utiliser les empreintes digitales pour permettre le contrôle de l'accès et de la présence des élèves.
De cet ensemble normatif, on doit déduire que Facebook n'a pas d'autre choix que de faire une demande d'autorisation à la CNIL. A ce jour, il ne semble pourtant pas qu'une telle demande ait été déposée… L'entreprise américaine serait-elle au-dessus de la loi française ?