1. Accueil
  2. /
  3. Actualites
  4. /
  5. Droit affaires societes
  6. /
  7. La reconnaissance faciale dans des lycées est illégale au regard du RGPD

BLOG / Droit des affaires et des sociétés

La reconnaissance faciale dans des lycées est illégale au regard du RGPD

Par jugement du 27 février 2020, le Tribunal administratif de Marseille a annulé, au vu notamment du Règlement général sur la protection des données (RGPD), la délibération du conseil régional PACA permettant l’expérimentation d’un dispositif de reconnaissance faciale dans deux lycées.

 

Le conseil régional PACA avait approuvé, par délibération du 14 décembre 2018, la convention d’expérimentation d’un dispositif de reconnaissance faciale et son lancement au sein de deux lycées (Marseille et Nice) aux fins de sécurisation et de fluidification de leurs entrées.

Remarque : Rappelons que la reconnaissance faciale peut selon la CNIL remplir deux fonctions distinctes : l’authentification d’une personne qui vise à vérifier qu’une personne est bien celle qu’elle prétend être (dans le cadre d’un contrôle d’accès), l’identification d’une personne, qui vise à retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données.

Par requête du 14 février 2019, plusieurs associations (dont la Quadrature du Net et la Ligue des droits de l’Homme) ont demandé au Tribunal l’annulation pour excès de pouvoir de cette délibération au regard notamment des dispositions du RGPD.

Après le respect du contradictoire, outre le fait de considérer que la délibération du conseil régional est entachée d’incompétence au regard du code de l’éducation, le tribunal a décidé que le dispositif envisagé n’a pas respecté les dispositions du RGPD.

En effet, un dispositif de reconnaissance faciale est un traitement de données biométriques soit un traitement de données personnelles particulières (sensibles) soumis au droit de la protection des données personnelles. Ce traitement est en principe interdit sauf exceptions telles que le consentement de la personne concernée ou un motif d’intérêt public. Or, la région PACA n’a pas démontré avoir prévu de garanties suffisantes quant au consentement libre et éclairé des lycéens ou de leurs représentants légaux (en cas de lycéens mineurs) à la collecte de données personnelles par la seule signature d’un formulaire alors que ces personnes se trouvent dans une situation d’autorité à l’égard des responsables des lycées concernés. De plus, ce dispositif de « contrôle d’accès virtuel » n’est ni nécessaire (pas de motif d’intérêt public) ni proportionné aux finalités notamment de sécurisation des entrées des lycées. La délibération du conseil régional a donc été jugée illégale au regard des dispositions du RGPD et a été annulée.

Remarques : Cette décision du tribunal administratif de Marseille confirme la position de la CNIL sur le dispositif. En effet, saisie d’une demande de conseil par la région PACA sur l’expérimentation en question, la CNIL a, dans son communiqué du 29 octobre 2019, indiqué au vu de l’analyse d’impact sur la protection des données (AIPD), que le dispositif envisagé était illégal et contraire aux principes de proportionnalité et de minimisation des données posés par le RGPD. Par ailleurs, la CNIL a appelé à un débat démocratique sur le sujet et y a contribué fin 2019 en présentant les éléments techniques, juridiques et éthiques à prendre en compte.

Tribunal administratif de Marseille, 9ème ch., 27 février 2020, n°1901249

Vanessa Younès-Fellous, avocate en droit de la protection des données personnelles