Le déploiement des dispositifs de reconnaissance faciale n’est qu’exceptionnellement autorisé et doit répondre à des besoins spécifiques et proportionnés.
Reconnaissance faciale en milieu scolaire
Les juges administratifs ont annulé pour excès de pouvoir la délibération n° 18-893 du 14 décembre 2018 par laquelle le conseil régional de Provence-Alpes-Côte d’Azur a approuvé l’expérimentation menée entre la région et Cisco relative d’un contrôle d’accès par comparaison faciale et de suivi de trajectoire au sein des lycées Ampère (Marseille) et Les Eucalyptus (Nice).
Expérimentation hors du champ de compétence de la région
Cette expérimentation comportait, d’une part, un volet « contrôle d’accès biométrique » concernant les personnes identifiées (lycéens) et, d’autre part, un volet « suivi de trajectoire » concernant les personnes identifiées et non identifiées (visiteurs occasionnels). Une telle expérimentation, dont l’un des objectifs était le renforcement de la sécurité dans les établissements scolaires, relevait ainsi non des missions d’accueil, d’hébergement ou d’entretien des lycées, mais des missions d’encadrement et de surveillance des élèves. En outre, contrairement à ce qu’elle fait valoir, la région PACA ne s’est pas bornée à munir les lycées en cause des équipements de reconnaissance faciale ou même à leur proposer l’adoption d’un dispositif expérimental de reconnaissance faciale, mais a elle-même pris la décision d’initier cette expérimentation. Dès lors, en engageant cette expérimentation, alors même qu’elle s’inscrit dans les missions d’encadrement et de surveillance des élèves qui ressortissent à la compétence des chefs d’établissements, la région PACA a excédé les compétences qu’elle tient des dispositions précitées de l’article L. 214-6 du code de l’éducation, quand bien même les établissements scolaires retenus auraient eu donné leur consentement. Par suite, la délibération était entachée d’incompétence.
Atteinte aux données personnelles et consentement des élèves
En second lieu, l’article 6 de la loi du 6 janvier 1978 pose qu’il est interdit de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique. Les exceptions à l’interdiction sont fixées dans les conditions prévues par le 2 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 (RGDP). Aux termes de cet article, le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, est autorisé si : a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques (…) ; g) le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée (…).
Le 11) de l’article 4 du RGDP définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairé et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». En outre, l’article 7 du même règlement relatif aux conditions applicables au consentement dispose que dans les cas où le traitement repose sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.
La région PACA a entendu justifier légalement le traitement de données biométriques en cause par le consentement préalable des lycéens concernés ou, dans le cas où ces derniers sont mineurs, par celui de leurs représentants légaux. En se bornant toutefois à prévoir que ce consentement serait recueilli par la seule signature d’un formulaire, alors que le public visé se trouve dans une relation d’autorité à l’égard des responsables des établissements publics d’enseignement concernés, la région ne justifie pas avoir prévue des garanties suffisantes afin d’obtenir des lycéens ou de leurs représentants légaux qu’ils donnent leur consentement à la collecte de leurs données personnelles de manière libre et éclairée.
Par ailleurs, la région PACA n’établissait pas que les finalités poursuivies s’attachant à la fluidification et la sécurisation des contrôles à l’entrée des lycées concernés constituent un motif d’intérêt public ni même que ces finalités ne pourraient être atteintes de manière suffisamment efficace par des contrôles par badge, assortis, le cas échéant, de l’usage de la vidéosurveillance. Téléchargez la décision