Le 29 octobre 2019, la Commission nationale de l’informatique et des libertés (CNIL) a publié un avis défavorable sur l’expérimentation de la reconnaissance faciale dans deux lycées de la région Provence-Alpes-Côte-d’Azur (PACA), projet destiné à sécuriser l’accès aux lycées, conduit entre autres par Christian Estrosi, en tant que Président délégué du conseil régional de PACA. Selon la CNIL, ce dispositif, fondé sur des traitements de données biométriques (art 4 RGPD), est contraire aux principes de proportionnalité et de minimisation des données prévus par le Règlement général sur la protection des données (RGPD). Pour autant, Christian Estrosi a déclaré qu’ « avec Renaud Muselier, président de la Région PACA, nous ne nous arrêterons pas à cette décision et continuerons de travailler sur cet outil efficace et moderne qui doit permettre de mieux sécuriser nos établissements tout comme l’espace public ». Bien que l’avis de la CNIL n’ait pas force obligatoire à l’égard des initiateurs du projet, la mise en œuvre de ce dernier n’est pas sans risques juridiques.   

D’abord, le projet se heurte à un risque de sanction administrative de la CNIL. L’entrée en vigueur du RGPD a marqué le passage d’une logique d’autorisation à une logique de responsabilisation des acteurs, qui s’exposent à des sanctions en cas de traitement illicite de données à caractère personnel (art 20 Loi Informatique et Libertés). Conséquence, si l’avis défavorable de la CNIL n’est pas contraignant en tant que tel, cette même CNIL peut sanctionner l’opérateur qui ne s’y conforme pas, y compris lorsque ce sont des collectivités territoriales : la CNIL n’hésite pas à sanctionner des personnes publiques, comme en témoigne cet avertissement adressé à la ville de Saint-Etienne à propos d’un dispositif expérimental d’écoutes sur la voie publique. En août 2019, l’équivalent suédois de la CNIL a infligé une sanction pécuniaire à un lycée ayant utilisé de la reconnaissance faciale, en raison d’un traitement illégal des données biométriques des élèves. Or, Suède et France sont liées par le même RGPD.

Ensuite, le projet n’est pas à l’abri d’une annulation par le juge administratif. Il faut savoir qu’un recours a d’ores et déjà été formé par plusieurs organisations de défense des droits fondamentaux devant le tribunal administratif de Marseille, contre la délibération du conseil régional de PACA autorisant la mise en œuvre de cette expérimentation. Si le juge administratif n’est pas lié par les avis défavorables de la CNIL, il en tient compte. 

D’autant que, enfin, l’avis défavorable de la CNIL sur le projet pourrait bien être confirmé dans ses principes par le Comité européen de la protection des données, qui travaille à l’élaboration d’une doctrine commune des autorités de protection des données à l’échelle de l’Union européenne. Il a ainsi vocation à émettre des lignes directrices censées inspirer la CNIL et ses homologues européens. Or, ce Comité s’interroge également sur la conformité de la reconnaissance faciale avec le principe de minimisation des données (billet du Contrôleur européen de la protection des données du 28 octobre 2019). 

Pour toutes ces raisons, la région PACA a décidé de présenter un nouveau dossier auprès de la CNIL, afin de mieux se conformer au RGPD.

Une erreur dans ce contenu ? Vous souhaitez soumettre une information à vérifier ? Faites-le nous savoir en utilisant notre formulaire en ligne. Retrouvez notre politique de correction et de soumission d'informations sur la page Notre méthode.