Première application du RGPD à la reconnaissance faciale par un tribunal français

Le tribunal administratif de Marseille a, le 27 février 2020, annulé une décision du conseil régional de Provence-Alpes-Côte d’Azur (PACA) autorisant une expérimentation du dispositif de contrôle d’accès virtuel utilisant la reconnaissance faciale à l’entrée de deux lycées de Marseille et de Nice, estimant ce procédé illégal.

Il s’agit de la première décision d’un tribunal français faisant application du règlement général sur la protection des données (RGPD) aux technologies de reconnaissance faciale.

En novembre 2018, la région PACA a autorisé l’installation de portiques de reconnaissance faciale à l’entrée de deux lycées pour s’assurer que seuls les élèves de ces établissements pouvaient y entrer.

Trois associations, la Quadrature du Net, la Ligue des droits de l’Homme et la fédération des conseils des parents d’élèves des écoles publiques des Alpes-Maritimes ainsi que le syndicat CGT Educ’Action des Alpes-Maritimes ont contesté la légalité de cette décision.

Alors que l’affaire était encore pendante devant le tribunal administratif de Marseille, la Commission nationale de l’informatique et des libertés (CNIL) a exprimé dans un avis publié le 29 octobre 2019, ses grandes inquiétudes concernant un tel système mettant en œuvre une authentification par reconnaissance faciale de mineurs dans le but de contrôler l’accès aux écoles. La CNIL a déclaré que les mécanismes de reconnaissance faciale utilisant des données biométriques sont particulièrement intrusifs et comportent des risques importants pour la vie privée et les libertés civiles surtout lorsque les personnes concernées sont des mineurs. L’autorité a également considéré que le dispositif projeté est contraire aux principes de proportionnalité et de minimisation des données posés par le RGPD et que les objectifs de sécurisation et la fluidification des entrées dans ces lycées peuvent être atteints par des moyens moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge.

La décision rendue le 27 février 2020 par le tribunal administratif de Marseille confirme entièrement la position de la CNIL et annule la délibération du conseil régional PACA autorisant l’expérimentation.

Le tribunal a justifié sa décision d’abord sur le fait que la responsabilité de la sécurité des écoles incombe au chef d’établissement et non à la région, si bien que cette dernière a agi en excédant ses compétences, qu’elle tient de l’article L.214-6 du Code de l’éducation.

Concernant les données personnelles, la région entendait utiliser comme base légale des traitements le consentement préalable des lycéens et de leurs responsables légaux pour les mineurs alors même que le public visé se trouve dans une relation d’autorité à l’égard des responsables des lycées. Ainsi, la région PACA ne justifie par avoir prévu des garanties suffisantes afin d’obtenir des personnes concernées qu’elles donnent leur consentement à la collecte de leurs données personnelles de manière libre et éclairée au sens des articles 4 (11), 7 et 9 du RGPD.

Enfin, le tribunal reprend le raisonnement de la CNIL et estime que le dispositif mis en place apparait disproportionné quant aux objectifs poursuivis et à la protection des droits et libertés des personnes concernées dans la mesure où :

– La signature d’un simple formulaire ne suffit pas à garantir le recueil d’un consentement libre et éclairé (article 7 du RGPD) ;
– Qu’il n’était pas démontré que les finalités poursuivies ne pouvaient pas être atteintes de manière aussi efficace par des moyens moins intrusifs tels qu’un contrôle par badge assortis, le cas échéant de l’usage de la vidéosurveillance ;
– Qu’en outre, aucune analyse d’impact n’avait été réalisée.

Lien utile : https://www.legalis.net/jurisprudences/tribunal-administratif-de-marseille-9eme-ch-jugement-du-27-fevrier-2020/

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».