Download_on_the_App_Store_Badge_FR_RGB_blk_100517

Face ID, Facebook, Google Photos... comment fonctionne la reconnaissance faciale de vos applis


© Getty Images

Il y a dix ans, la technologie de reconnaissance faciale existait déjà, mais sa démocratisation dans la société relevait presque de la science fiction, à la "Big Brother vous regarde". Aujourd'hui, elle est partout, dans les aéroports jusqu'à sur nos smartphones. Si son usage dans la sphère publique inquiète toujours autant — comme en Chine où elle sert à surveiller la population — la reconnaissance faciale s'est peu à peu fait une place dans notre quotidien, parfois sans même que l'on ne s'en rende compte.

Facebook, l'application Photos iOS ou encore Google Photos peuvent ainsi reconnaître votre visage, mais aussi celui de vos amis, de votre famille, et même de votre chien, et ce n'est pas anodin. "Il faut être très vigilant avec ces données biométriques car ce sont des données particulièrement sensibles, met en garde Félicien Vallet, ingénieur au service de l’expertise technologique de la Commission nationale de l'informatique et des libertés (CNIL). Elles sont uniques, discriminantes et permanentes dans le temps, donc elles vous caractérisent très fortement en tant que personne."

Sans pour autant avoir peur de la reconnaissance faciale, il ne faut pas perdre de vue ses potentiels dangers. L'important est d'avoir conscience que telle application se sert de cette technologie, et d'avoir au préalable donné votre accord : "Le règlement général sur la protection des données (RGPD) interdit le traitement des données biométriques, sauf exception, et la première de ces exceptions c’est le consentement", rappelle Félicien Vallet.

Pour mieux protéger vos données biométriques, le mieux reste encore de comprendre comment fonctionne la reconnaissance faciale, et qui s'en sert. Voici les principales applications et services qui utilisent la reconnaissance faciale au quotidien, et comment ils protègent vos données.

Face ID sur iPhone et son équivalent sur Samsung

Apple

Sur les modèles de smartphones les plus récents, notamment ceux d'Apple et de Samsung, la reconnaissance faciale a remplacé l'empreinte digitale pour déverrouiller l'écran. Ce nouveau mode d'authentification biométrique n'est bien sûr pas obligatoire, une alternative avec un code clavier existe toujours, mais il peut s'avérer pratique. Pour autant, la reconnaissance faciale peut en effrayer certains. Est-ce vraiment sécurisé ? Le téléphone prend-t-il une photo de vous à chaque fois que vous déverrouillez votre appareil ?

En réalité, Face ID d'Apple et son équivalent Samsung n'enregistrent pas vraiment la photo de votre visage, seulement sa représentation mathématique. Lorsque vous décidez d'activer l'authentification par reconnaissance faciale, votre téléphone vous demande en effet de prendre plusieurs selfies, pour "apprendre" au système à quoi vous ressemblez.

"À partir de ces photos, le système va dégager les invariants mathématiques qui sont censés 'encoder' les caractéristiques de votre visage, pour en extraire un gabarit. Le challenge c’est de trouver une représentation dans un espace mathématique qui fait que les gabarits calculés à partir de différentes images d’un même visage sont très proches, alors que ceux calculés pour des visages différents sont très éloignés", explique Félicien Vallet.

Par la suite, dès que vous essaierez de déverrouiller votre téléphone, le système comparera le visage que vous lui montrez au gabarit déjà enregistré. Il s'agit d'un des deux grands modes de fonctionnements de la reconnaissance faciale, appelé "vérification".

Comme son nom l'indique, "le but est de vérifier qu’une personne est bien celle qu’elle prétend être en analysant ses données biométriques et en les comparant à une référence", détaille l'ingénieur de la CNIL. Les portiques d'aéroport, où il faut scanner son passeport sur une zone de lecture et regarder la caméra, fonctionnent de la même manière.

Qu'en est-t-il en terme de protection des données ? "La CNIL recommande que le gabarit soit conservé à la main de l’utilisateur, donc par exemple dans son téléphone, et pas accessible par le constructeur du téléphone", précise Félicien Vallet.

Chez Apple, la représentation mathématique de votre visage est bien conservée sur une enclave du téléphone, à laquelle l'entreprise n'a pas accès. Apple promet que "les données de Face ID ne sortent jamais de votre appareil et ne sont jamais sauvegardées sur iCloud ni ailleurs." Il en va de même chez Samsung, qui stocke les données biométriques dans la plateforme sécurisée Knox au sein de l'appareil.

Facebook DeepFace

Facebook

La reconnaissance faciale de Facebook, appelée DeepFace, permet d'identifier plus facilement vos amis sur les photos que vous mettez sur le réseau, et à l'inverse de vous prévenir si vous semblez apparaître dans une photo publiée par un autre utilisateur.

Contrairement à Face ID, Facebook DeepFace utilise le deuxième grand mode de fonctionnement de la reconnaissance faciale : l'identification. "Il faut avoir enregistré au préalable un gabarit du visage des personnes qui l’intéressent, ensuite le système va passer en revue tous les visages à sa disposition et dire de qui il s’agit. C’est une tâche qui est beaucoup plus compliqué que la vérification car il ne s’agit plus de répondre à la question 'Suis je bien X?' mais 'Qui suis-je ?'", explique Félicien Vallet.

Pour pouvoir reconnaître le visage de vos amis sur vos photos, et votre visage sur les leurs, DeepFace a besoin de stocker toutes les données biométriques au même endroit, pour les passer en revue ensemble. Les gabarits sont donc directement conservés chez Facebook, et non pas sur votre téléphone.

Sans être forcément dangereux, cela signifie que Facebook possède quelque part sur un serveur les visages de millions d'utilisateurs. Avant d'activer la reconnaissance faciale sur le réseau, il faut donc faire confiance au géant de la tech pour protéger vos données biométriques.

Mais même sans activer la fonction, DeepTrace peut dans tous les cas analyser votre visage : "Même si je n’ai pas consenti à être reconnu par l’analyse de reconnaissance faciale de Facebook, si je suis présent sur une photo, on va me comparer à ceux qui ont accepté. Donc il y aura quand même un traitement biométrique sur ma personne, vraisemblablement pour m’écarter, mais néanmoins il y en aura un", soulève Félicien Vallet.

L'application Photos d'iOS

Apple

Si vous avez un iPhone, un iPad ou un Mac, vous avez sûrement remarqué qu'Apple créé pour vous des "albums intelligents" dans votre galerie photos, en triant vos clichés par lieu, date, ou encore selon qui apparaît dessus. Cette fonctionnalité utilise la reconnaissance faciale, avec le même mode de fonctionnement que le système de Facebook : l'identification.

Mais contrairement au réseau social, les données biométriques sont stockées localement, sur l'iPhone, comme pour Face ID, et les noms associés aux visages viennent des données déjà enregistrées dans l'appareil (vos contacts par exemple).

Selon Félicien Vallet, "d’un point de vue de la protection de la vie privée, une telle façon de procéder réduit les risques car les données restent sous votre contrôle."

Google Photos avec FaceNet

Google

Le service Google Photos créé lui aussi des albums intelligents, en se servant de sa fonctionnalité "regroupement des visages" basée sur la reconnaissance faciale. Longtemps interdite en France, il est désormais possible de l'activer dans les paramètres.

Le système détecte la présence de visages sur les photos, puis regroupe ces dernières si elles semblent comporter le même visage. C'est ensuite à l'utilisateur de passer en revue ces regroupements d'images, et d'ajouter des "libellés" pour chaque visage.

Google précise que "les libellés de visage sont privés et ne sont pas partagés entre les comptes". Mais cela ne veut pas dire que le système de reconnaissance faciale est indépendant pour chaque compte. Si vous choisissez d'ajouter le libellé "moi" sur une photo de vous, l'application Google Photos pourra suggérer à vos contacts de vous partager les clichés sur lesquels vous semblez apparaître.

Pour pouvoir être autorisé dans un maximum de pays, dont les membres de l'Union européenne qui font appliquer le RGPD, Google demande désormais noir sur blanc le consentement de ses utilisateurs : "en activant le regroupement des visages, vous nous autorisez à créer un modèle de votre visage", peut-on lire dans les paramètres. Ce modèle peut bien évidemment être supprimé à tout moment.

Les applis photos virales comme FaceApp, Reface App ou Gradient

FaceApp

Les applications qui utilisent la reconnaissance faciale sont trop nombreuses pour être toutes citées, mais généralement, lorsqu'une appli demande l'accès à l'appareil photo de votre téléphone, cela doit vous mettre la puce à l'oreille.

Ces dernières années, plusieurs applications de ce type sont devenues virales sur les réseaux sociaux. C'est le cas de FaceApp qui vieillit votre visage, de Gradient qui vous dit à quelle star vous ressemblez, ou plus récemment de Reface App, qui incruste votre tête sur le corps de célébrités dans des vidéos.

Souvent dépassées par leur succès, ces petites applications risquent de moins sécuriser vos données biométriques que les grosses. "Pour les entreprises comme Google et Facebook, ça a vraiment été un enjeu majeur de se mettre à la page sur le RGPD, et cela le demeure. Ils ne sont pas forcément dans les clous mais ils ont connaissance du cadre et essaient de s’adapter à ce que demande le texte, compare Félicien Vallet. En revanche avec des petits acteurs viraux comme FaceApp, ce qui se passe est parfois un peu plus fou."

Par précaution, il faut toujours chercher à connaître les informations essentielles : l'application enregistre-t-elle vos données biométriques ? Si oui, où sont-elles conservées, et surtout, à quelles fins sont-elles utilisées ? Si l'application ne vous indique pas clairement ces informations, dès son installation, il faut être vigilant.

"Demander à l'utilisateur d'autoriser l'accès à l'appareil photo n’équivaut pas à un consentement pour la CNIL", rappelle l'ingénieur de la CNIL. Pour consentir à la reconnaissance faciale, l'utilisateur doit être informé en détails du fonctionnement du système, comme c'est le cas dans les paramètres de Facebook, iOS, Google et autres géants de la tech.

Alors avant d'installer la prochaine application à la mode et de lui fournir vos données biométriques à vie, prudence est de mise. Comme le rappelle Félicien Vallet, "contrairement à un mot de passe, on ne peut pas changer son visage."

A lire aussi — Ce logiciel gratuit modifie vos photos pour que vous ne soyez pas identifié par reconnaissance faciale