A l’origine, il s’agissait d’une expérimentation de reconnaissance faciale pour le contrôle d’accès menée par la région PACA durant toute une année scolaire dans deux lycées marseillais et niçois.
La finalité de ce traitement était de prévenir les intrusions et les usurpations d’identité et de réduire la durée des contrôles à l’entrée des lycées.
Le dispositif de reconnaissance faciale
Le dispositif de « portique virtuel » mis en place permettait au personnel en charge du contrôle d’accès d’être prévenu si la forme du visage (écartement des yeux, forme de la bouche) ne correspondait pas à une forme figurant dans la base de données de reconnaissance faciale des lycéens.
S’agissant d’un traitement biométrique, le dispositif a fait l’objet d’une analyse d’impact relative à la protection des données (AIPD) par la région PACA, et dont la version finalisée a été transmise à la Cnil fin juillet 2019.
Le bilan de l’expérimentation s’est avéré négatif. Les principales oppositions de la Cnil portent sur l’atteinte à deux grands principes posés par le RGPD : la « proportionnalité » et la « minimisation » des données.
Rappelons que l’utilisation de données biométriques, et en particulier la reconnaissance faciale, implique des risques accrus pour les droits des personnes concernées. Il est crucial que le recours à de telles technologies se déroule dans le respect des principes de licéité, nécessité, proportionnalité et minimisation des données telles qu’énoncées dans le RGPD.
Les principes de proportionnalité et de minimisation
Le principe de proportionnalité a été introduit dans la loi Informatique et libertés dès 2004, afin d’assurer un équilibre entre les prérogatives du responsable du traitement et les droits des personnes concernées. Le RGPD réaffirme ce principe sous le couvert du principe de minimisation des données qui consiste à ne traiter que des informations adéquates, pertinentes et nécessaires à la finalité du traitement.
Le principe de proportionnalité a été mis en œuvre par la Cnil pour refuser notamment la géolocalisation des jeunes conducteurs pour un service d’assurance basé sur le concept « pay as you drive » et l’usage de la biométrie dite « de confort » pour l’entrée des enfants dans un centre de loisirs.
Elle estime que de tels dispositifs mis en œuvre en dehors de forts enjeux de sécurité, ne peuvent être imposés aux personnes concernées, y compris au titre de l’intérêt légitime du responsable du traitement.
Dans le cas présent, la Cnil considère qu’en présence de moyens alternatifs moins intrusifs, tel qu’un contrôle par badge, le recours à un dispositif de reconnaissance faciale pour contrôler les accès à un lycée apparaît disproportionné.
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications