12/05/2020

Première application du RGPD à la reconnaissance faciale par un tribunal français

Le tribunal administratif de Marseille a, le 27 février 2020, annulé une décision du conseil régional de Provence-Alpes-Côte d’Azur (PACA) autorisant une expérimentation du dispositif de contrôle d’accès virtuel utilisant la reconnaissance faciale à l’entrée de deux lycées de Marseille et de Nice, estimant ce procédé illégal.

Il s’agit de la première décision d’un tribunal français faisant application du règlement général sur la protection des données (RGPD) aux technologies de reconnaissance faciale.

En novembre 2018, la région PACA a autorisé l’installation de portiques de reconnaissance faciale à l’entrée de deux lycées pour s’assurer que seuls les élèves de ces établissements pouvaient y entrer.

Trois associations, la Quadrature du Net, la Ligue des droits de l’Homme et la fédération des conseils des parents d’élèves des écoles publiques des Alpes-Maritimes ainsi que le syndicat CGT Educ’Action des Alpes-Maritimes ont contesté la légalité de cette décision.

Alors que l’affaire était encore pendante devant le tribunal administratif de Marseille, la Commission nationale de l’informatique et des libertés (CNIL) a exprimé dans un avis publié le 29 octobre 2019, ses grandes inquiétudes concernant un tel système mettant en œuvre une authentification par reconnaissance faciale de mineurs dans le but de contrôler l’accès aux écoles. La CNIL a déclaré que les mécanismes de reconnaissance faciale utilisant des données biométriques sont particulièrement intrusifs et comportent des risques importants pour la vie privée et les libertés civiles surtout lorsque les personnes concernées sont des mineurs. L’autorité a également considéré que le dispositif projeté est contraire aux principes de proportionnalité et de minimisation des données posés par le RGPD et que les objectifs de sécurisation et la fluidification des entrées dans ces lycées peuvent être atteints par des moyens moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge.

La décision rendue le 27 février 2020 par le tribunal administratif de Marseille confirme entièrement la position de la CNIL et annule la délibération du conseil régional PACA autorisant l’expérimentation.

Le tribunal a justifié sa décision d’abord sur le fait que la responsabilité de la sécurité des écoles incombe au chef d’établissement et non à la région, si bien que cette dernière a agi en excédant ses compétences, qu’elle tient de l’article L.214-6 du Code de l’éducation.

Concernant les données personnelles, la région entendait utiliser comme base légale des traitements le consentement préalable des lycéens et de leurs responsables légaux pour les mineurs alors même que le public visé se trouve dans une relation d’autorité à l’égard des responsables des lycées. Ainsi, la région PACA ne justifie par avoir prévu des garanties suffisantes afin d’obtenir des personnes concernées qu’elles donnent leur consentement à la collecte de leurs données personnelles de manière libre et éclairée au sens des articles 4 (11), 7 et 9 du RGPD.

Enfin, le tribunal reprend le raisonnement de la CNIL et estime que le dispositif mis en place apparait disproportionné quant aux objectifs poursuivis et à la protection des droits et libertés des personnes concernées dans la mesure où :

  • –  La signature d’un simple formulaire ne suffit pas à garantir le recueil d’un consentement libre et éclairé (article 7 du RGPD) ;
  • –  Qu’il n’était pas démontré que les finalités poursuivies ne pouvaient pas être atteintes de manière aussi efficace par des moyens moins intrusifs tels qu’un contrôle par badge assortis, le cas échéant de l’usage de la vidéosurveillance ;
  • –  Qu’en outre, aucune analyse d’impact n’avait été réalisée.

 

Lien utile : https://www.legalis.net/jurisprudences/tribunal-administratif-de-marseille-9eme-ch-jugement-du-27-fevrier-2020/