De l’analyse faciale dopée à l’IA dans les bureaux de tabac, « des produits illégaux »

Souriez, vous êtes analysé par une intelligence artificielle ! Que vous fassiez vos courses, que vous marchiez dans la rue ou, dorénavant, que vous achetiez des cigarettes, une caméra vous observe. Intitulé MyCheckr Mini, cet appareil se déploie dans les bureaux de tabac français depuis quelques mois et est testé dans une quinzaine d’entre eux en Île-de-France depuis le jeudi 12 décembre. Le petit boîtier, équipé d’une caméra, utilise l’intelligence artificielle (IA) pour déterminer l’âge des clients lors de la vente. Si la lumière est verte : la personne est majeure, si elle est rouge : elle est potentiellement mineure, et il est recommandé de vérifier ses papiers d’identité.

Le concept du MyCheckr Mini a été imaginé par la start-up savoyarde Bergens. Créée en 2022 par Stephan Rosseneu, elle est spécialisée dans la « gestion des ventes aux mineurs » et assure que la technologie qu’elle propose est « anonyme », « sans enregistrements d’images » et « sans reconnaissance faciale ». Une étiquette jaune contenant ces mentions ainsi qu’un QR code permettant d’accéder à la politique de confidentialité de l’entreprise sont supposés être placés à proximité du dispositif.

Ces dispositifs ne sont pas anodins. Ils peuvent, en effet, comporter des risques pour la vie privée.

Cnil

Pourtant, ce dispositif n’est pas sans poser de questions. Contactée par Politis, la Commission nationale de l’informatique et des libertés (Cnil) alerte : « Ces dispositifs ne sont pas anodins. Ils peuvent, en effet, comporter des risques pour la vie privée, et leur déploiement nécessite une vigilance accrue. La Cnil va donc mener des travaux sur les enjeux de ces dispositifs et leur conformité au regard de la réglementation en matière de protection des données personnelles (RGPD, loi « informatique et libertés ») à laquelle ils sont soumis. »

« Analyse faciale »

Le gérant de la start-up, lui, se défend de toute non-conformité vis-à-vis du RGPD : « Ce qu’on propose ce n’est pas de la reconnaissance faciale, non conforme au RGPD, mais de l’analyse faciale, ce qui est complètement différent. » Selon Pablo Rauzy, maître de conférences en informatique à Paris 8, « l’analyse faciale va consister à détecter des émotions, une estimation de l’âge etc., sans chercher à identifier les personnes, contrairement à la reconnaissance faciale ».

Pour nous, ces produits sont totalement illégaux.

N. Levain

Néanmoins, l’association spécialiste des libertés fondamentales dans l’environnement numérique la Quadrature du Net émet des réserves. « Pour nous, ces produits sont totalement illégaux, affirme Noémie Levain, juriste de l’association. Le traitement de données est particulièrement intrusif étant donné que cela concerne une analyse des traits du visage à des fins de classifications, c’est-à-dire déterminer si la personne est majeure ou non. »

Pour tenter de balayer ces inquiétudes, Bergens assure ne stocker aucune donnée et que tout est supprimé instantanément après l’estimation d’âge. Une affirmation qui interroge d’un point de vue de la cybersécurité. Une analyse d’impact relative à la protection des données a été commanditée par la start-up à un cabinet juridique spécialisé nommé IFORI.

Or, dans le rapport final que Politis a consulté en exclusivité, le cabinet estime « important » la probabilité d’un accès illégitime aux données et recommande la mise en place de mesures de sécurité complémentaires. « Aucun produit de ce genre ne doit être raisonnablement considéré comme sécurisé, a minima tant qu’il n’a pas été audité et validé par des équipes de sécurité, explique Pablo Rauzy. Ce qui implique une coopération complète de l’entreprise et, idéalement, que le produit soit entièrement open source. »

Doit-on nécessairement accepter d’être analysé par ce genre d’outil quand on entre chez un buraliste ?

P. Rauzy

Stephan Rosseneu explique que le logiciel offert aux buralistes avec le MyCheckr Mini « permet aussi de visionner la vue de la caméra pour les aider au bon positionnement de l’appareil lors de l’installation ». Il se défend en assurant que s’ils « pourraient en théorie enregistrer la vue de la caméra affichée sur l’écran de l’ordinateur avec des captures d’écran », il n’y aurait « aucun intérêt pour les buralistes » à faire cela et déclare que « IFORI est prudent dans ses déclarations ». Le risque d’une attaque extérieure n’a pas été évoqué.

Surveillance disproportionnée

« Les organismes doivent se demander si ces dispositifs sont vraiment nécessaires et s’ils ne portent pas une atteinte disproportionnée aux droits des clients », insiste la Cnil. Sachant que dans ce cas de figure, il est possible de contrôler les documents d’identité des clients. « L’utilisation d’une technologie d’estimation de l’âge conduit au traitement des données de l’ensemble des clients, y compris ceux souhaitant acheter un produit dont l’achat n’est pas interdit aux mineurs », d’après la Commission. Et Pablo Rauzy de confirmer : « Doit-on nécessairement accepter d’être analysé par ce genre d’outil quand on entre chez un buraliste ? »

La vente de tabac ou de jeux d’argent aux personnes mineures est passible d’une amende pouvant aller jusqu’à 750 euros et c’est au commerçant de s’assurer de l’âge des clients. Cette nouvelle technologie est donc accueillie positivement par un certain nombre de buralistes, qui voient en elle la possibilité de se décharger, au moins en partie, de cette lourde responsabilité. « Il nous arrive souvent d’avoir une interrogation » : l’appareil « aide donc à la décision » et « à appliquer la réglementation », déclare à l’AFP Philippe Alauze, à la tête de la fédération des buralistes d’Île-de-France. La fédération déclare aussi qu’il aurait un effet dissuasif.

« En 2021, en parlant aux ingénieurs, j’ai vu qu’on arrivait à faire une estimation d’âge à l’aide d’algorithmes, alors je suis allé dans un bureau de tabac à côté de chez moi et j’ai collé la caméra prototype avec du scotch sur la vitre au niveau de la caisse, raconte Stéphane Rosseneu. La buraliste a dit que c’était une très bonne idée. En 2022, j’ai fait une trentaine de prototypes en impression 3D pour tester encore le produit. Puis on a décidé de lancer la production. » Selon lui, les ventes du produit en France ont déjà passé la barre des 400 exemplaires.

Pour La Quadrature du Net, cette technologie rentre dans la définition de la vidéosurveillance algorithmique. C’est-à-dire du traitement d’image automatisé par IA, comme ce qui a été mis en place pendant les Jeux Olympiques et Paralympiques de Paris 2024, ou encore le logiciel Briefcam, utilisé illégalement par la police française. La Cnil, reste prudente sur ces technologies : « l’usage de ces dispositifs est susceptible de conduire à une accoutumance des personnes à des dispositifs intrusifs, banalisant l’analyse automatisée des actes de la vie courante. »

Une base de données de 5 millions de photos

Un autre point de vigilance selon la CNIL, « les risques de biais ou d’erreurs pouvant résulter de ces technologies et qui pourraient conduire à des discriminations, notamment si l’algorithme ne fonctionne pas de manière égale pour tous les types de visages ou groupes d’âge. » Stephan Rosseneu assure avoir « commencé le développement des algorithmes avec une base de données de 5 millions de photos certifiées, de différents sexes et différentes couleurs de peaux. » Il n’a pas souhaité nous communiquer l’origine précise de la base de données.

Pour ce qui est de la fiabilité de la décision rendue par l’appareil, il faut croire sur parole l’entreprise. « Si le système dit d’une personne qu’elle est majeure à tort et que le buraliste lui vend des cigarettes ou de l’alcool, la question se pose de qui est en tort juridiquement », prévient Pablo Rauzy. D’autant que sur le site de Bergens, il est indiqué que si le voyant est vert, « aucune vérification de document [n’est] recommandé ».

Au motif de favoriser l’innovation, de nombreuses entreprises font preuve de négligence, voire de mépris.

N. levain

« Pour nous, ça rentre dans une dynamique qu’on observe depuis des années où des entreprises utilisent l’IA et le traitement d’images à tort et à travers, assène Noémie Levain. Ça a commencé avec les comportements suspects, les déchets, etc, sans jamais se poser la question de l’efficacité, de l’utilité, et surtout de la proportionnalité. Au motif de favoriser l’innovation, de nombreuses entreprises font preuve de négligence, voire de mépris, à l’égard des droits fondamentaux et prennent à la légère les questions démocratiques de protection de la vie privée. » La juriste conclut : « La question que l’on est en droit de se poser c’est pourquoi la Cnil n’a pas tout de suite tapé du poing sur la table. »