La reconnaissance faciale pour le contrôle d’accès avait en l’espèce été expérimentée dans deux lycées marseillais et niçois, et ce durant toute une année scolaire. La finalité d’un tel traitement était de renforcer la sécurité (prévenir les intrusions et les usurpations d’identité) et de réduire la durée des contrôles à l’entrée des lycées (fluidifier les entrées) : un dispositif de « portique virtuel » permettait au personnel en charge du contrôle d’accès aux lycées d’être prévenu si la forme du visage (écartement des yeux, forme de la bouche) ne correspondait pas à une forme figurant dans la base de données de reconnaissance faciale des lycéens. Ce dispositif avait fait l’objet d’une analyse d’impact relative à la protection des données (AIPD) par la région PACA et les deux lycées expérimentateurs, dont la version finalisée a été transmise à la Cnil fin juillet 2019. Le bilan de l’expérimentation par l’autorité de protection des données s’est avéré négatif, les principales oppositions de la Cnil portant sur l’atteinte à deux grands principes posés par le Règlement Général sur la Protection des Données (RGPD) entré en application le 25 mai 2018 : la « proportionnalité » et la « minimisation » des données.
Le principe de proportionnalité a en réalité été introduit dans la loi Informatique et libertés dès 2004, afin d’assurer un équilibre entre les prérogatives du responsable du traitement et les droits des personnes concernées. Le RGPD est venu réaffirmer ce principe sous le couvert du principe de minimisation des données qui consiste à ne traiter que des informations « adéquates, pertinentes et nécessaires » à la finalité du traitement. La Cnil estime que de tels dispositifs mis en œuvre en dehors de forts enjeux de sécurité, ne peuvent être imposés aux personnes concernées, y compris au titre de l’intérêt légitime du responsable du traitement.
Dans le cas présent, elle a considéré qu’en présence de moyens alternatifs moins intrusifs, tel qu’un contrôle par badge, le recours à un dispositif de reconnaissance faciale pour contrôler les accès à un lycée apparaissait disproportionné. La Commission rappelle enfin qu’une vigilance stricte s’impose compte tenu des dommages que pourraient entraîner d’éventuels incidents de sécurité sur de telles données biométriques.
Les dispositifs de reconnaissance faciale soulèvent également d’autres problématiques importantes en termes de sécurisation des données ou encore de consentement des mineurs, l’âge du consentement des mineurs étant fixé à 15 ans en France. Pour un mineur âgé de moins de 15 ans, l’accord doit être donné par le titulaire de l’exercice de l’autorité parentale. De tels dispositifs ne peuvent être mis en œuvre qu’avec le consentement des personnes concernées, entendu comme la manifestation de leur volonté « libre, spécifique et éclairée ». De façon générale, ces risques que rappelle la cnil, se trouvent accrus lorsque les dispositifs de reconnaissance faciale sont appliqués à des mineurs, qui font l’objet d’une protection particulière dans les textes nationaux et européens. La liberté du consentement suppose que la personne concernée dispose d’un choix réel et non contraint. Elle ne doit donc pas être influencée dans son choix par les conséquences négatives qui pourraient résulter de son refus d’utiliser un contrôle d’accès par reconnaissance faciale. Pour qu’un consentement à la mise en œuvre de ce traitement puisse être qualifié de libre, il faut donc qu’une alternative au dispositif soit proposée aux personnes concernées (par exemple, un accès par badge), puisqu’en effet, le consentement conditionne la capacité à accéder aux locaux . On sait combien les technologies de reconnaissance faciale peuvent être utiles en terme de sûreté et de sécurité des personnes. Cependant, elles sont aussi porteuses d’un risque important d’atteinte aux libertés individuelles en raison de leur caractère particulièrement intrusif. Or, à l’heure actuelle, en dehors de la loi Informatique et libertés, les technologies de reconnaissance faciale n’ont pas vraiment de point d’ancrage dans notre législation malgré tentative tendant à les encadrer, dont aucune n’a abouti à ce jour.
En vous inscrivant à la newsletter vous acceptez de recevoir des mails de Digital Mag sur son actualité et ses offres en cours. Vous pouvez à tout moment vous désinscrire dans la partie basse des Newsletters envoyées.