La région Paca envisageait d’installer deux portiques ayant recours à la reconnaissance faciale à l’entrée du lycée Les Eucalyptus à Nice et du lycée Ampère à Marseille. Ce dispositif permettrait d’assister les agents en charge du contrôle d’accès aux lycées afin de prévenir les intrusions et les usurpations d’identité et de réduire la durée de ces contrôles.
La ville de Saint-Etienne avait, de son côté, mis en place une expérimentation sur un dispositif d’écoute de l’espace public, reposant sur des capteurs sonores installés au sein d’un quartier en politique de la ville.
Dans les deux cas, la Cnil a jugé les dispositifs expérimentés inadaptés. Paul Hebert, adjoint au directeur de la conformité, explique pourquoi.
Pourquoi l’expérimentation de la région Paca est-elle jugée illégale par la Cnil ?
Pour pouvoir être légalement mis en œuvre, les dispositifs de reconnaissance faciale, qui traitent des données personnelles, doivent respecter les principes du RGPD. Un de ces principes dit que tout traitement de données personnelles doit être nécessaire et proportionné par rapport à sa finalité. Ici, la CNIL a estimé qu’il était possible de sécuriser et fluidifier les accès dans les lycées par des moyens moins intrusifs, que ce soit grâce à des badges ou par une présence accrue de surveillants.
Nous avons également tenu à rappeler que tout traitement de reconnaissance faciale présentait des risques d’atteinte majeure à la vie privée et aux libertés individuelles. Ce qui, de plus, est de nature à créer un sentiment de surveillance renforcé.
Car il faut bien rappeler que les données biométriques sont des données sensibles, qui ont la particularité d’être uniques et qui identifient les individus selon des caractéristiques propres. L’impact de la reconnaissance faciale est d’autant plus important qu’il concerne ici des mineurs, nécessitant une protection spécifique.
Il y a enfin un enjeu de sécurité de ces données. La possibilité d’un détournement de finalité doit être prise en compte. Si demain ces données circulent dans la nature, d’autres usages pourront en être faits.
Dans quelle situation un dispositif de reconnaissance faciale est-il légal ?
Cela dépend des finalités et des cas d’usages. La Cnil a déjà eu l’occasion de reconnaitre la légitimité et la proportionnalité de dispositifs de reconnaissance faciale. Elle peut entre autres être utilisée pour vérifier l’identité des personnes souhaitant accéder à un service ou une application. L’exemple dont on parle beaucoup en ce moment est Alicem.
Autres situations fréquentes, l’utilisation de la reconnaissance faciale, à titre expérimental ou de manière pérenne, pour l’accessibilité du personnel à un lieu sensible, notamment les sites Seveso.
La Cnil a également adressé un avertissement à la ville de Saint-Etienne concernant son dispositif d’écoute de l’espace public. Pourquoi ?
La ville de Saint-Etienne envisageait de mettre en œuvre un dispositif d’analyses de sons : quand un son correspond à telle signature numérique, il est transmis au centre de supervision urbaine, la police municipale prend alors le relais et vérifie l’élément détecté, notamment en orientant manuellement des caméras de vidéo protection. Dans le cadre de cette expérimentation, le son ne devait être enregistré quelques secondes avant d’être effacé.
Il s’agissait bien d’un traitement de données à caractère personnel, puisqu’en croisant les sons, même de basse intensité, avec la vidéo protection, il est possible d’identifier des personnes.
Ce dispositif comporte des risques par nature pour les libertés. Il repose sur une captation continue indifférenciée, peut capter des conversations privées et donc potentiellement des données sensibles (opinion politique ou religieuse etc). Le couplage vidéo contribue à renforcer cet impact sur la vie privée des personnes.
Ce dispositif était aussi susceptible de porter atteinte à d’autres droits fondamentaux comme la liberté d’expression et la liberté d’aller et venir. Il était également susceptible d’altérer le comportement des personnes qui pouvaient censurer leurs propos.
La Cnil estime qu’un encadrement législatif est nécessaire pour ce type d’outils, à l’instar de ce qu’a fait le législateur en matière de vidéoprotection.
Cet article est en relation avec le dossier
Domaines juridiques
