Lancement du projet par le Conseil régional PACA

Par une délibération (n°13-893) du 14 décembre 2018, le Conseil régional de la région Provence Alpes Côte d’Azur a lancé un projet expérimental de contrôle d’accès virtuel dans deux lycées de Marseille et Nice, qui reposait sur des données biométriques.

Il s’agissait en effet, dans le cadre d’un partenariat avec la société Cisco, d’expérimenter un dispositif de reconnaissance faciale au sein des établissements avec un contrôle d’accès biométrique et un suivi de trajectoire des lycéens et visiteurs.

Sous l’angle du droit de la protection des données, il était donc question de mettre en place un traitement de données sensibles (données biométriques) à grande échelle (tout un lycée), sur une population vulnérable car majoritairement mineure (lycéens).

La Région mentionnait au titre de la finalité poursuivie le fait « d’apporter une assistance aux agents en charge du contrôle d’accès au lycée et de l’accueil afin de faciliter et réduire la durée des contrôles (pour les usagers réguliers du site comme pour les visiteurs occasionnels), lutter contre l’usurpation d’identité et détecter un déplacement non souhaité ».

Le projet prévoyait la collecte du consentement préalable des personnes concernées, au titre de la base légale justifiant le traitement.

Une analyse d’impact sur la vie privée (AIPD) avait également été réalisée et transmise à la CNIL.

Avis défavorable de la CNIL

Saisie d’une demande de conseil, la CNIL a estimé par un avis du 17 octobre 2019 que le projet porté par la Région était contraire aux principes de proportionnalité et de minimisation des données posés par le RGPD.

En effet, dans le cadre d’un dispositif de reconnaissance faciale, particulièrement sensible, appliqué à une population mineure laquelle est particulièrement vulnérable, avec un risque accru face aux conséquences potentielles d’une fuite de données biométriques des lycéens, l’autorité de contrôle a considéré que le degré de criticité du traitement n’était pas justifié par les finalités poursuivies (objectifs de sécurisation et de fluidification des entrées des lycées), par rapport à d’autres moyens alternatifs moins intrusifs pour la vie privée et les droits fondamentaux, comme par exemple le contrôle d’accès par badges.

Elle a rappelé à cette occasion que « les dispositifs de reconnaissance faciale sont particulièrement intrusifs et présentent des risques majeurs d’atteinte à la vie privée et aux libertés individuelles des personnes concernées. Ils sont par ailleurs de nature à créer un sentiment de surveillance renforcé ».

Au termes de l’article 4 du RGPD, on entend comme consentement de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Annulation par le Tribunal

Par une décision du 27 février (n°1901249), le Tribunal administratif de Marseille a tranché : la délibération du conseil régional PACA qui avait lancé l’expérimentation est annulée.

Ce sont la Quadrature du Net et d’autres associations de défense des droits qui ont introduit une requête en annulation contre la délibération du Conseil régional qui avait décidé le lancement de l’expérimentation du dispositif.

Le Tribunal a décidé, notamment au visa du RGPD et de la Loi informatique et Libertés modifiée, que les modalités de recueil du consentement des personnes concernées ne suffisaient pas à justifier le traitement des données sensibles impliqué par le dispositif de reconnaissance faciale projeté.

En effet, l’article 6 de la Loi informatique et Libertés modifiée et l’article 9 du RGPD prévoient un principe d’interdiction de traitement des données sensibles, au titre desquelles figurent les données biométriques. Toutefois, les textes prévoient par dérogation la possibilité de traiter ce type de données, notamment soit lorsque la personne concernée y a consenti dans les conditions prévues par l’article 4 11) du Règlement, soit lorsque le traitement opéré est nécessaire à des intérêts publics majeurs, sous condition de proportionnalité au regard des droits et libertés des personnes.

Si la CNIL avait choisi de fonder son avis sur la question de la proportionnalité et de la minimisation du traitement, le juge administratif aborde le débat sous l’angle de la validité du consentement, que la Région avait avancé comme fondement juridique du projet de traitement. Ainsi, le Tribunal décide que le recueil du consentement des lycéens et / ou de leurs parents via un simple formulaire à signer ne permet pas d’assurer le caractère libre et éclairé du consentement des personnes concernées, lesquelles se trouvent sous une relation d’autorité vis-à-vis du responsable de traitement.

Conclusion : la fin du projet ?

La CNIL et le juge s’accordent donc à refuser le projet en l’état, ce qui n’exclut pas que la Région puisse à terme obtenir l’autorisation souhaitée à condition de revoir les modalités du traitement et de consolider son argumentation juridique.

On peut toutefois en conclure d’une part que la CNIL se fait efficacement entendre dans sa mission de protection des droits des personnes sur leurs données personnelles, et d’autre part que la reconnaissance faciale demeure un sujet sensible, lequel nécessite une réflexion poussée sur ses enjeux en termes de vie privée.

Affaire à suivre donc ?

CNIL – Commission Nationale Informatique et Libertés, autorité de contrôle française de la protection des données personnelles

RGPD – Règlement Général sur la Protection des Données, texte européen entré en application en 2018 et visant à renforcer une protection uniformisée des données personnelles en Europe

AIPD – Analyse d’impact relative à la protection des données, méthode d’étude des risques face à un traitement de données personnelles présentant un risque élevé pour les droits et libertés des personnes concernées

Pour approfondir

>> Contribution de la CNIL sur le débat sur la reconnaissance faciale

>> Loi Informatique et Libertés – Article 6 sur le traitement des données sensibles

>> RGPD – Article 9 sur le traitement des données sensibles

>> RGPD – Article 4 11) sur la définition du consentement