Qu’est-ce qu’un template facial / faceprint (gabarit facial) ?

Template facial / faceprint (gabarit facial) – définition

Le template facial, aussi appelé faceprint ou gabarit facial, est une représentation numérique des caractéristiques du visage calculée par un algorithme de reconnaissance faciale à partir d’une image ou d’une trame vidéo. Il ne s’agit pas d’une simple photo. En pratique, il s’agit d’un vecteur de caractéristiques, d’une carte de points distinctifs ou d’une autre représentation mathématique permettant de comparer un visage à un autre. Un tel gabarit est généré après la détection du visage, l’alignement de l’image et l’extraction des caractéristiques par un modèle d’apprentissage automatique, le plus souvent fondé sur le deep learning.

Dans le contexte de la protection des données, le gabarit facial revêt une importance particulière. Lorsqu’il est traité afin d’identifier de manière univoque une personne physique, il entre en principe dans le champ des données biométriques. Cela découle de l’article 4, point 14, du RGPD, qui définit les données biométriques comme des données à caractère personnel résultant d’un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que l’image faciale ou les données dactyloscopiques. L’image du visage, à elle seule, n’est pas toujours une donnée biométrique, mais un template facial utilisé à des fins d’identification ou de vérification sera généralement qualifié comme tel.

Pour les responsables du traitement de photos et d’enregistrements, cette distinction est très concrète. Un système qui se contente de détecter un visage pour le flouter n’a pas nécessairement besoin de créer un gabarit facial durable associé à une personne. En revanche, si la solution crée et conserve des faceprints pour suivre une même personne d’une séquence à l’autre, la comparer à une base de référence ou permettre la recherche par visage, le niveau de risque juridique et technique augmente sensiblement.

Comment un gabarit facial est créé dans le traitement d’images et de vidéos

Dans le traitement d’image, le template facial n’apparaît pas au stade du simple enregistrement du contenu. Il est créé par une chaîne analytique. Ce point est important, car dans les systèmes d’anonymisation de photos et de vidéos, il est possible de distinguer la simple détection de visage de la reconnaissance biométrique d’une personne.

Le processus technique typique comprend les étapes suivantes :

• détection du visage dans l’image – localisation de la zone contenant le visage ;
• landmark detection – repérage des points caractéristiques, par exemple les yeux, le nez et les commissures des lèvres ;
• alignment – normalisation de la position, de l’échelle et de l’orientation du visage ;
• feature extraction – calcul d’un vecteur de caractéristiques par un réseau neuronal ;
• matching – comparaison du gabarit avec un autre gabarit au moyen d’une mesure de similarité.

Dans les systèmes modernes, le vecteur de caractéristiques comporte généralement entre 128 et 1024 dimensions, selon l’architecture du modèle. La comparaison s’effectue le plus souvent par similarité cosinus ou par distance euclidienne. Plus la distance est faible ou la similarité cosinus élevée, plus la probabilité qu’il s’agisse de la même personne est importante. Cela ne constitue toutefois pas une certitude d’identité, mais un résultat dépendant du seuil de décision et des caractéristiques du modèle.

En pratique, dans l’anonymisation des images et des vidéos, le deep learning est essentiel pour une autre raison. Ce sont aujourd’hui les modèles d’apprentissage profond qui constituent la norme pour une détection efficace des visages dans des conditions variées : visage partiellement occulté, changement d’éclairage, angle de prise de vue ou faible qualité de l’enregistrement. Un tel modèle peut servir uniquement à détecter le visage et à appliquer un masque de flou, sans créer de base de faceprints.

Statut juridique du template facial dans le RGPD et en pratique de conformité

Du point de vue de la conformité RGPD, la question essentielle est celle de la finalité du traitement. Le RGPD n’interdit pas toute opération technique sur l’image d’un visage, mais il encadre de manière particulièrement stricte les données biométriques utilisées pour identifier une personne de façon univoque. Cela a des conséquences importantes pour les systèmes vidéo, la vidéosurveillance, l’archivage des contenus et la communication d’enregistrements.

Les principales conséquences juridiques sont les suivantes :

• si le template facial sert à identifier une personne, il peut en principe constituer une catégorie particulière de données à caractère personnel au sens de l’article 9, paragraphe 1, du RGPD ;
• le responsable du traitement doit démontrer une base juridique au titre de l’article 6 du RGPD et, lorsque l’article 9 s’applique, également une exception relevant de l’article 9, paragraphe 2, du RGPD ;
• une évaluation de la nécessité, de la proportionnalité et de la finalité du traitement est indispensable ;
• dans de nombreux cas, la réalisation d’une AIPD conformément à l’article 35 du RGPD sera requise, notamment en cas de surveillance systématique à grande échelle ou d’utilisation de nouvelles technologies ;
• il convient de mettre en œuvre les principes de privacy by design et de privacy by default conformément à l’article 25 du RGPD.

Les lignes directrices du Comité européen de la protection des données indiquent que le traitement biométrique exige une analyse du contexte, de la finalité et des effets pour la personne concernée. De même, la jurisprudence et les positions des autorités de contrôle distinguent l’enregistrement ordinaire de l’image d’une personne de son traitement à des fins d’identification. Pour un responsable du traitement de contenus vidéo, cela signifie que la simple présence d’un visage dans le cadre n’équivaut pas à la création d’un faceprint, mais que l’ajout de fonctionnalités de reconnaissance de personnes modifie sensiblement la qualification juridique de l’opération.

Importance du gabarit facial pour l’anonymisation des visages

Dans les systèmes d’anonymisation des contenus visuels, le modèle le plus sûr est celui qui se limite à détecter les objets devant être masqués, et non à reconnaître biométriquement les personnes. Cette distinction est également importante sur le plan organisationnel, car elle influe sur l’étendue des données traitées, leur conservation et le risque de violation.

En pratique, il faut distinguer trois cas :

• détection de visage – le système repère l’emplacement du visage dans l’image afin de le flouter, sans créer d’identifiant durable associé à la personne ;
• suivi du visage – le système suit le même objet d’une image à l’autre pour assurer un floutage stable ; cela ne signifie pas encore nécessairement une identification biométrique, mais suppose une évaluation technique prudente ;
• reconnaissance faciale – le système crée et compare des faceprints afin de déterminer s’il s’agit d’une personne donnée ou si le visage est déjà apparu auparavant.

Dans des solutions comme Gallio PRO, l’automatisation de l’anonymisation concerne les visages et les plaques d’immatriculation sur des photos et des vidéos enregistrées, et non l’anonymisation d’un flux vidéo en direct. Du point de vue de la conformité, il est essentiel de limiter le traitement à la seule finalité de floutage et d’éviter la création de données biométriques superflues. En outre, le logiciel ne devrait pas collecter de journaux contenant des données à caractère personnel ou des données relevant de catégories particulières, sauf si cela est nécessaire et dûment justifié, ce qui soutient le principe de minimisation des données prévu à l’article 5, paragraphe 1, point c), du RGPD.

Paramètres et métriques clés d’un template facial

L’évaluation d’un système utilisant des gabarits faciaux ne peut pas reposer uniquement sur les déclarations du fournisseur. Des paramètres mesurables sont nécessaires, idéalement présentés selon des méthodes d’essai reconnues. Dans un environnement réglementaire, la relation entre performance et risque d’erreur d’identification revêt une importance particulière.

Dans les standards biométriques, les notions de presentation attack detection et de quality score sont également importantes, car une mauvaise qualité d’entrée réduit la fiabilité des comparaisons. Pour un responsable de traitement vidéo, cela présente un intérêt à la fois probatoire et en matière d’audit. Le résultat du modèle dépend de la qualité de l’enregistrement, de la compression, de l’angle du visage, des occultations et de l’éclairage.

Références normatives et standards

Lorsqu’on décrit un gabarit facial, il est utile de se référer à des textes juridiques et à des standards techniques qui structurent la terminologie et les modalités d’évaluation des systèmes. Tous ne réglementent pas directement l’anonymisation, mais ils définissent le cadre de la biométrie et du traitement de l’image faciale.

• RGPD – règlement (UE) 2016/679, en particulier l’article 4, point 14, ainsi que les articles 5, 9, 25 et 35 ;
• ISO/IEC 2382-37:2022 – terminologie biométrique ;
• ISO/IEC 19795-1:2021 – Biometric performance testing and reporting – Part 1: Principles and framework ;
• ISO/IEC 30107-1:2023 et ISO/IEC 30107-3:2023 – cadre et essais de résistance aux presentation attacks ;
• ISO/IEC 39794-5:2019 – format d’échange des données biométriques faciales ;
• NIST Face Recognition Vendor Test – programme d’essai continu évaluant la précision des algorithmes de reconnaissance faciale dans des scénarios 1:1 et 1:N.

Il convient de souligner une divergence d’interprétation observée en pratique. Certaines opérations techniques sur le visage peuvent être qualifiées de simple traitement d’image dès lors qu’elles ne conduisent pas à identifier la personne. En revanche, lorsqu’un template facial est créé et utilisé pour distinguer ou confirmer une identité, l’approche réglementaire dominante conduit à considérer cet ensemble de données comme des données biométriques.

Risques et bonnes pratiques pour les responsables de traitement de contenus vidéo

Le gabarit facial constitue une donnée à forte sensibilité opérationnelle. À la différence d’un mot de passe, il ne peut pas être réellement « changé » en cas de fuite. C’est pourquoi la décision de le créer devrait toujours être précédée d’une analyse visant à déterminer si cet élément est réellement nécessaire à la finalité du traitement.

En pratique, les actions suivantes sont recommandées :

• éviter de créer et de conserver des faceprints si la finalité consiste uniquement à flouter un visage sur une photo ou un enregistrement ;
• limiter la durée de conservation des données intermédiaires et supprimer les artefacts analytiques temporaires ;
• documenter l’architecture du modèle, les seuils d’appariement et l’étendue des données d’entrée ;
• tester l’efficacité de la détection et le niveau d’erreur sur des données proches de l’environnement réel d’utilisation ;
• séparer les fonctions d’anonymisation des fonctions d’identification lorsque l’organisation utilise les deux catégories d’outils ;
• mettre en place un contrôle d’accès, le chiffrement et la traçabilité des opérations administratives.

Dans le contexte des photos et vidéos publiées ou communiquées à des tiers, l’objectif est généralement de réduire l’identifiabilité des personnes. De ce point de vue, le template facial est une notion frontière. Il peut servir à la reconnaissance faciale, mais il n’est pas nécessaire au simple floutage d’un visage. Pour respecter le principe de minimisation des données, le modèle le plus sûr est celui dans lequel le système détecte la zone du visage et applique un masque, sans créer de gabarit biométrique durable de la personne.