Le recours à la reconnaissance faciale séduit de plus en plus d'entreprises privées et de gouvernements. Dans la cité-État de Singapour, ce dispositif technologique pernicieux fait déjà partie de la vie quotidienne.
À Singapour, le visage est devenu un précieux sésame. Depuis décembre 2020, les 5,7 millions de citoyens de la cité-État peuvent accéder à plus de 400 services publics en ligne en s’identifiant à l’aide d’un logiciel de reconnaissance faciale. Baptisé SingPass Verification, ce système fait le lien entre l’application SingPass – qui centralise l’accès aux services gouvernementaux – et la base de données biométriques de l’État. Pour payer ses impôts ou faire une demande de logement social, un simple regard vers la caméra permet de s’authentifier. À terme, de nombreux guichets de services publics devraient être dotés de caméras à reconnaissance faciale, annonçait en décembre dernier GovTech, l’agence nationale responsable des innovations technologiques. Au printemps, plusieurs banques ont adopté ce logiciel, l’intégrant à leurs distributeurs automatiques.
Cette réalité n’étonne ni n’interroge plus grand monde à Singapour, commente Yi. Selon, Ting Lee, activiste impliquée dans la défense des droits numériques et humains : « Depuis des années, le gouvernement a élaboré son discours sur l’idée que la survie de notre petite nation passerait par l’innovation ». La reconnaissance faciale n’est que la dernière étape en date de la Smart Nation Initiative. Un plan d’investissement de plus de 1,5 milliard d’euros lancé en 2014.
La reconnaissance faciale est un outil terriblement dangereux, entre les mains d’un gouvernement qui ne peut être tenu responsable devant la justice et n’a aucun besoin politique de rendre des comptes
Indulekshmi Rajeswari, avocate spécialiste du droit à la vie privée
L’authentification par reconnaissance faciale est dans la droite ligne des « efforts du gouvernement pour construire une société numériquement inclusive », vantait GovTech dans un communiqué de presse, assurant que cette technologie simplifierait la vie de nombreux utilisateurs peu à l’aise avec les usages numériques, comme les personnes âgées. Plus besoin de naviguer entre cartes, mots de passe et codes d’accès à usage unique envoyés par SMS, le visage est une clé que personne ne peut égarer. Mais qui peut être aisément suivie à la trace dans l’espace public.
L’incitation se transformerait en obligation
Face aux interrogations des médias internationaux s’inquiétant des dérives possibles de la reconnaissance faciale, le gouvernement de Singapour s’est voulu rassurant. « Ce n’est pas de la surveillance. Il s’agit d’un usage très spécifique », affirmait ainsi, à l’AFP, un responsable de GovTech, Kwok Quek Sin, à l’automne 2020, insistant sur la différence entre l’authentification, une démarche active et consentie de l’utilisateur dans un but précis, et l’identification à distance. Et de rappeler que les citoyens peuvent choisir une autre option, comme un mot de passe, pour parvenir aux différents services.
« L’authentification faciale n’est certes pas obligatoire aujourd’hui, mais nous ne savons pas ce qu’il en sera à l’avenir, réplique Yi Ting Lee. Ce qui est probable, c’est qu’il sera de plus en plus difficile dans le futur d’accéder à certains services sans passer par ce processus ». Et que l’incitation se transforme ainsi en obligation qui ne dit pas son nom.
Or, la reconnaissance faciale est un instrument pernicieux « dans un pays où une technologie en principe dédiée à un but précis est très susceptible d’être utilisée à d’autres fins », ajoute l’activiste. Lancé à la fin de l’année 2020, le dispositif TraceTogether devait être uniquement affecté au contrôle de la pandémie de Covid-19. Disponible sur smartphone, l’application enregistre les déplacements de son propriétaire. S’appuyant sur la technologie Bluetooth, elle capte la proximité avec d’autres appareils, afin de remonter la trace de possibles cas contacts. Près de 80 % de la population avait accepté de l’utiliser, le gouvernement assurant que ces données ne seraient consultées qu’à des fins de prévention sanitaire. Jusqu’à ce que le ministre de l’Intérieur admette, quelques mois plus tard, que la police pouvait y avoir accès, dans le cadre d’enquêtes criminelles. « Nous ne sommes que très peu informés sur le temps de conservation de ces informations, sur les personnes qui peuvent y avoir accès, encore moins sur leurs usages possibles », dénonce Yi Ting Lee.
Le risque de fuite de données
À Singapour, les possibilités de contrôle citoyen et de recours en justice sont presque inexistantes,indique Indulekshmi Rajeswari, avocate spécialiste du droit à la vie privée. Si la cité-État dispose bien de lois sur le droit à l’intimité, celles-ci ne concernent que le secteur privé – les agences d’État en sont exemptées. Dans ce contexte, « la reconnaissance faciale est un outil terriblement dangereux, entre les mains d’un gouvernement qui ne peut être tenu responsable devant la justice et n’a aucun besoin politique de rendre des comptes », tranche l’avocate, rappelant que le même parti politique est au pouvoir depuis l’indépendance. Et de l’authentification à la surveillance, il n’y a qu’un tout petit pas.
Vous pouvez changer votre mot de passe, mais vous ne pouvez pas changer votre visage
Indulekshmi Rajeswari, avocate spécialiste du droit à la vie privée
En 2018, le gouvernement a ainsi lancé l’expérimentation de caméras à reconnaissance faciale sur les lampadaires de la ville afin, notamment, « de soutenir les enquêtes en cas d’incident terroriste ». Des systèmes d’identification en temps réel ont également été testés dans la prison de Selarang, pour gérer automatiquement les déplacements de détenus.
Par ailleurs, la centralisation à outrance de multiples données personnelles n’est pas sans risque, prévient Indulekshmi Rajeswari. Les fichiers gouvernementaux n’en sont pas à leur première fuite. En 2018, les informations médicales de 1,5 million de citoyens – centralisées dans une même base de données – avaient été dérobées. Qu’importe le niveau de sécurité informatique, « les fuites et les vols sont inéluctables », assure l’avocate. Et à cet égard, la collecte de données biométriques et l’usage de la reconnaissance faciale à des fins d’authentification sont particulièrement sensibles. « Vous pouvez changer votre mot de passe, mais vous ne pouvez pas changer votre visage, insiste Indulekshmi Rajeswari. Qu’arrive-t-il s’il ne vous appartient plus ? »
ABONNEZ-VOUS À LA CHRONIQUE
Recevez chaque mois le magazine d’Amnesty International France offrant une information fiable, des actions concrètes, des outils de réflexion.