Reconnaissance faciale et vidéoprotection en Suisse : cadre légal, technologies et enjeux de sécurité
L’intégration de l’intelligence artificielle (IA) dans les systèmes de vidéoprotection transforme profondément la sécurité des entreprises. Les technologies de reconnaissance faciale permettent aujourd’hui d’identifier automatiquement des personnes à partir d’images captées par des caméras ou des photos enregistrées dans la base de données du système. Dans certains environnements recevant du public – agences bancaires, bureaux de poste, cabinets médicaux, administrations ou commerces – ces systèmes pourraient permettre de détecter la présence d’individus déjà impliqués dans des incidents de sécurité dûment répertoriés à l'interne. Cependant, la mise en œuvre d’un tel dispositif en Suisse soulève d’importantes questions juridiques et éthiques, notamment au regard de la Loi fédérale sur la protection des données (LPD). A noter qu'aujourd'hui, cette question ne pourrait pas être adressée selon la RGPD qui est bien plus restrictive. Cet article propose une analyse des enjeux techniques, juridiques et opérationnels liés à la détection faciale dans les espaces privés accessibles au public.
Reconnaissance faciale : comment fonctionne la technologie ?
Les systèmes modernes de reconnaissance faciale fonctionnent généralement en quatre étapes :
- détection du visage par la caméra
- extraction de caractéristiques biométriques
- création d’un modèle mathématique du visage
- comparaison avec une base de données de visages connus
Si une correspondance est trouvée, une alerte peut être envoyée au personnel de sécurité.
Les technologies utilisées dans ce domaine incluent notamment :
- SAFR (RealNetworks)
- caméras i-PRO avec plateforme Genetec
- Verkada
Ces solutions combinent vidéoprotection, intelligence artificielle et gestion centralisée des alertes.
Les données biométriques : un traitement sensible selon la LPD
En Suisse, les données biométriques permettant d’identifier une personne sont considérées comme des données personnelles sensibles.
Leur traitement est encadré par plusieurs principes fondamentaux :
> proportionnalité
La surveillance doit être justifiée par un besoin réel de sécurité.
> finalité déterminée
Les données doivent être collectées pour un objectif précis et légitime.
> transparence
Les personnes doivent être informées de l’existence du dispositif.
Lieux concernés : espaces privés accessibles au public
Le débat est particulièrement sensible dans les lieux privés ouverts au public, par exemple :
- agences bancaires
- offices postaux
- cabinets médicaux
- offices de l’emploi
- commerces
- gares privées
- centres commerciaux
Dans ces contextes, les exploitants doivent trouver un équilibre entre :
- protection du personnel
- prévention des incidents
- respect de la sphère privée.
Les principaux risques juridiques
> surveillance disproportionnée
L’analyse biométrique systématique de tous les visiteurs peut être jugée excessive.
> faux positifs
Une erreur d’identification peut entraîner des conséquences importantes pour la personne concernée.
> atteinte à la personnalité
Une base de données mal gérée peut constituer une violation du droit à la protection des données.
Mesures de réduction des risques
Dans la pratique, plusieurs mesures peuvent améliorer la conformité :
> base de données restreinte
Limiter l’enregistrement aux personnes ayant fait l’objet d’incidents documentés. traitement local et éviter le stockage dans des infrastructures cloud situées à l’étranger.
> validation humaine
Les alertes générées par l’algorithme doivent toujours être confirmées par un opérateur.
> analyse d’impact
Réaliser une DPIA (Data Protection Impact Assessment) avant la mise en service.
Une question de gouvernance technologique
La reconnaissance faciale n’est pas seulement une question technologique.
Elle implique également :
- gouvernance des données
- procédures opérationnelles
- responsabilité juridique
- acceptabilité sociale.
La mise en place d’un tel système nécessite donc une approche multidisciplinaire associant sécurité, IT, juridique et protection des données.
Conclusion
La reconnaissance faciale dans la vidéoprotection représente un outil puissant pour la gestion des risques et la protection de vos collaborateurs.
Toutefois, son utilisation dans les espaces accessibles au public doit rester :
- strictement encadrée
- proportionnée
- transparente.
La question fondamentale reste la suivante :
Jusqu’où une organisation peut-elle aller pour améliorer la sécurité sans compromettre les libertés individuelles ?
Certaines personnes ont fait l’objet d’une interdiction formelle d’entrée dans les locaux, signifiées notamment par la hashtag#police pour une personne inconnue et par courrier recommandé pour un client ou assuré. L’entreprise envisage un système de détection faciale par caméras à l’entrée du bâtiment pour :
• identifier les personnes faisant l’objet d’une interdiction
• alerter la sécurité
• éviter de nouveaux incidents.
Le système serait limité à :
• une base de données restreinte aux personnes concernées
• un délai de conservation d'une année au maximum
• un traitement local
• une validation humaine avant toute action.
👉 Question aux hashtag#DPO : Dans ce contexte, la reconnaissance faciale pourrait-elle être considérée comme proportionnée au sens de la LPD ? Ou reste-t-elle incompatible avec un lieu privé accessible au public ?