Le reconnaissance faciale en France dans les écoles et les lycées.
Dans le contexte actuel d’expérimentation des systèmes de reconnaissance faciale, le tribunal administratif de Marseille a, le 27 février 2020, invalidé l’expérimentation d’un tel dispositif dans deux lycées. La reconnaissance faciale consiste en une technologie alliant la mise en place d’un système de vidéosurveillance et l’installation d’un logiciel permettant d’identifier une personne grâce aux données biométriques de son visage, recueillies par les caméras. Elle a pour but de prévenir et de réprimer les troubles à l’ordre public, et s’inscrit donc dans un objectif global de sécurité. Ainsi, un système de reconnaissance faciale a pu être expérimenté sur la voie publique à l’occasion du Carnaval de Nice, mais également dans les aéroports de Nice et de Paris pour contrôler les passeports des passagers. Ces expérimentations ont pu avoir lieu sur la base du consentement des usagers. C’est dans ce contexte que la région PACA a souhaité mettre en place un tel système dans deux lycées. Néanmoins, si la reconnaissance faciale répond à des impératifs sécuritaires, certains droits et libertés fondamentaux peuvent être atteints par le développement d’une telle technologie.
La délibération de la région PACA sur la reconnaissance faciale jugée illégale par le tribunal administratif de Marseille
Le 14 décembre 2018, la région PACA a, par le biais d’une délibération, autorisé la mise en oeuvre d’une expérimentation de reconnaissance et de comparaison faciales au sein de deux lycées de sa circonscription (Nice et Marseille). Bien évidemment, les élèves (ou leurs représentants légaux) ont dû donner leur consentement afin que le dispositif soit mis en oeuvre. En outre, un réseau de vidéosurveillance existait déjà dans les établissements ; seule l’installation d’un logiciel de reconnaissance faciale était à effectuer. Saisi d’un recours dirigé contre cette décision, le tribunal administratif de Marseille a décidé d’invalider cette délibération. D’une part, le tribunal considère qu’il ne relevait pas de la compétence de la région de prendre une telle décision. Au vu de l’article L214-6 du Code de l’éducation : « La région assure l’accueil, la restauration, l’hébergement ainsi que l’entretien général et technique, à l’exception de missions d’encadrement et de surveillance des élèves, dans les établissements dont elle a la charge ». Or, cette expérimentation, ou en tout cas la décision de la mettre en place, s’inscrit dans les missions d’encadrement et de surveillance des élèves, missions relevant de la compétence des chefs d’établissements. Par ailleurs, si la région fait état du recueil du consentement des élèves, le tribunal administratif estime que ce dernier ne répond pas aux exigences du Règlement Général sur la Protection des Données (RGPD). Les articles 9 du RGPD et 6 de la Loi Informatique et Libertés (LIL) imposent aux acteurs de la mise en place d’un système d’exploitation de données personnelles de recueillir le consentement explicite au traitement des données des personnes visées. L’article 4 du RGPD définit le consentement comme étant la « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». En ce qui concerne la convention signée entre la région, l’établissement scolaire et le fournisseur du logiciel de reconnaissance faciale, celle-ci indique que la participation à cette expérimentation est facultative et basée sur le consentement individuel de l’élève ou de son représentant légal, mais également que chacun dispose de la liberté d’accepter ou de refuser de participer à cette expérimentation (ceci en ne signant pas le formulaire de recueil du consentement). C’est ainsi que le tribunal administratif de Marseille a pu juger que la délibération de la région PACA ne respectait pas le RGPD car le consentement donné par les élèves, ou leurs représentants légaux, ne pouvait être totalement libre du fait de l’existence d’un rapport d’autorité entre l’établissement et ces derniers. Egalement, le tribunal estime que le refus de participer à l’expérimentation ne pouvait s’analyser en un acte négatif, tel que le fait de ne pas signer le formulaire de consentement. Par conséquent, le tribunal administratif de Marseille a considéré que le dispositif n’était pas proportionné aux finalités qu’il avait pour objectif d’atteindre, d’autres techniques permettant de garantir la sécurité de l’établissement pouvant être mises en oeuvre.
La position de la CNIL sur la reconnaissance faciale.
Quelques mois avant la décision du tribunal administratif de Marseille, la CNIL avait déjà fait part de son opposition à la mise en place d’un système de reconnaissance faciale dans les deux lycées. En outre, la Commission considère que si le dispositif avait pour but de permettre la fluidification et la sécurisation de l’accès aux établissements, sa mise en place n’est ni nécessaire, ni proportionnée à la poursuite de ces objectifs. La CNIL souligne que ce dispositif permettrait d’assister les agents en charge du contrôle d’accès aux lycées afin de prévenir les intrusions et les usurpations d’identité, et ainsi réduire la durée des contrôles. Néanmoins, elle estime qu’il existe des moyens alternatifs moins intrusifs, tels que le contrôle par badge par exemple. La Commission rappelle d’ailleurs que le traitement des données biométriques est particulièrement sensible, ce qui justifie une protection renforcée des personnes. Cette technologie permet donc d’assurer la sécurité des personnes, mais peut induire une atteinte à certains droits et libertés, tels que le droit au respect de la vie privée (consacré par les articles 9 du Code civil et 8 de la Convention européenne des droits de l’Homme), la liberté d’aller et venir, etc. La CNIL émet donc des doutes quant au respect de ces droits et libertés, ce type de dispositif étant très intrusif, et pouvant même être de nature à créer un sentiment de surveillance.
Conclusion : l’exploitation de données sensibles, technologie positive ou menace pour la vie privée des individus ?
La LIL et le RGPD imposent un cadre assez strict en matière de recueil et d’exploitation de données personnelles. C’est en ce sens que la personne concernée par le dispositif dispose du droit de décider que ses données personnelles soient recueillies et exploitées ou non (consentement), mais également du droit de contrôler l’usage fait de ses données. Il existe également un droit au retrait de son consentement, pouvant intervenir à tout moment, ou encore un droit de modification de ses données. Les données biométriques sont des données sensibles, qui ne sont donc pas exploitées de la même manière les autres données personnelles. Les règles relatives à leur recueil et à leur exploitation sont plus strictes. En effet, ces données ne sont pas censées être collectées, sauf exceptions (définies dans le RGPD). Le jugement rendu par le tribunal administratif de Marseille correspond à l’avis de la CNIL ainsi qu’aux prescriptions du RGPD.Dans son raisonnement, le tribunal administratif reprend, en effet, les exigences du RGPD (consentement, proportionnalité, traitement particulier des données considérées comme étant sensibles). Dans notre société, où les données personnelles sont de plus en plus exploitées, on s’aperçoit qu’il n’est pas toujours pris conscience de l’impact et de l’importance de l’exploitation de telles données.
<