Mardi 29 octobre, la Commission nationale informatique et libertés (CNIL) a précisé sa position quant à l’utilisation de technologies de reconnaissance faciale à l’entrée de deux lycées de la Région Provence-Alpes-Côte d’Azur (PACA). Ce dispositif est considéré comme disproportionné et non nécessaire au regard de ses finalités.

• Qu’est-ce que la reconnaissance faciale ? Quelle définition peut-on en donner ?

La CNIL considère la reconnaissance faciale comme « une technique qui à partir des traits du visage d’un individu permet d’authentifier (…) ou d’identifier une personne ». Attention, à ne pas confondre la reconnaissance faciale et la simple détection d’un visage qui sont deux techniques bien distinctes.

• Quelles dates clefs retenir ? 

Dans une lettre datée du 20 octobre 2017, adressée à la présidente de la CNIL, Renaud Muselier faisait un état des lieux de sa politique sécuritaire et des investissements fait par la Région dans un but de « mise en sureté́ des lycées et centres de formation des apprenti de la Région ». Il exprimait le fait de vouloir amplifier ses efforts avec l’expérimentation d’un dispositif de reconnaissance faciale permettant de contrôler l’entrée les lycées. 

Par la suite, la réalisation de cette expérimentation a été validée par les conseils d’administrations des deux lycées et, le 14 décembre 2018, le conseil régional de la Région PACA a donné son feu vert quant à l’utilisation temporaire d’un dispositif de reconnaissance et de comparaison faciale dans ces lycées afin de faciliter les contrôles à l’entrée.

Contre ce projet la Quadrature du net, dans la continuité de sa lutte contre la Technopolice, et trois autres organisations ont déposé un recours devant le tribunal administratif de Marseille afin d’obtenir l’annulation de la délibération du conseil régional. 

Fin juillet 2019, la région a choisi de saisir la CNIL afin de connaître sa position quant à l’utilisation de la reconnaissance faciale à l’entrée des lycées. Réunis en séance plénière le 17 octobre, les membres de la CNIL se sont prononcés à ce sujet. 

• Comment devait fonctionner l’expérimentation ?

Il s’agissait d’un « portique virtuel » dont le but était de fluidifier l’entrée des élèves dans les lycées, mais aussi et surtout de mieux contrôler l’accès des visiteurs occasionnels à l’établissement. Le but étant de répondre à une exigence de sécurité. Ce nouveau type de contrôle ne devait en aucun cas entrainer la suppression des postes d’agents de sécurité. En effet, Renaud Muselier dans sa lettre adressée à la présidente de la CNIL, le 20 octobre 2017, expliquait que l’expérimentation « associerait des moyens classiques d’identification à un dispositif biométriques utilisant des technologies de comparaison faciale ». Cela aurait permis, selon le conseil régional, de « prévenir les intrusions extérieures de personnes extérieures à l’établissement » et d’« orienter les personnes non identifiées en s’assurant de leur cheminement vers l’accueil ». Cette expérimentation devait durer une année scolaire et le consentement des élèves souhaitant participer à celle-ci avait été préalablement recueilli. 

Le système en lui-même était composé de deux bases de données et d’un logiciel d’identification. La première dite « identité » et la seconde biométrique. Les données collectées pendant le passage ne devait pas, en principe, être stockées. 

Lors du passage des individus, le dispositif devait les classer en 3 profils. Le premier « vert » devait être attribué aux personnes autorisées à rentrer dans le lycée et authentifiées. Le deuxième « jaune » devait concerner les personnes non authentifiées autorisées à pénétrer dans l’enceinte et se présenter à l’accueil.  Enfin, un profil « rouge » devait être associé aux personnes autorisées à entrer ne se dirigeant pas vers l’accueil. Les agents connaissant le profil des personnes entrant et sortant de l’établissement auraient été en capacité d’interpeller facilement ces individus.  

• Que dit la CNIL ? 

La CNIL rappelle que la reconnaissance faciale est une méthode de contrôle des allées et venues particulièrement intrusives et qu’elle expose les personnes concernées à des risques importants d’atteinte à la vie privée et aux libertés individuelles. 

Dans le cadre de l’expérimentation en Région PACA, les personnes concernées, parfois mineures, rendaient ces risques plus importants encore au regard de la protection particulière qui leur est attachée. Ces données étant biométriques, les dommages en cas d’incidents de sécurité auraient pu être majeurs.

La CNIL a considéré qu’il existait de nombreux autres moyens d’atteindre les finalités qui justifiaient l’expérimentation et donc elle n’était pas nécessaire et proportionnée. Elle conclue qu’un « tel dispositif ne saurait donc être légalement mis en œuvre et il appartient désormais à la région et aux lycées concernés, responsables du dispositif envisagé, d’en tirer les conséquences. » tout en ajoutant que des réflexions supplémentaires quant à la reconnaissance faciale serait apportée prochainement. 
Le raisonnement de la CNIL n’est en aucun cas surprenant et s’inscrit dans la continuité de ce que son homologue suédoise avait conclu au regard du RGPD en août dernier quant à une expérience similaire obligeant la municipalité à payer une amende de 20 000€.

Emma Duchesne
M2 Cyberjustice – Promotion 2019- 2010

Sources :
CNIL, Reconnaissance Faciale, consulté le 29/10/19 : https://www.cnil.fr/fr/definition/reconnaissance-faciale

La Quadrature du Net, Lettre à la présidente de la CNIL,
consulté le 29/10/19:  https://www.laquadrature.net/wp-content/uploads/sites/8/2018/12/1545041938824-1_dc-17021806-20-oct-2017.pdf 

La Quadrature du Net, Demande de compléments projet « portiques virtuels » Provence-Alpes-Côte d’Azur – 7/3/2018,
consulté le 29/10/19 : https://www.laquadrature.net/wp-content/uploads/sites/8/2018/12/1545041927219-dem-compl-projet-portique-virtuel-lycées.pdf

Swedish Data Protection Authority, Supervision pursuant to the General Data Protection Regulation (EU) 2016/679 – facial recognition used to monitor the attendance of students,
consulté le 29/10/19 : https://www.datainspektionen.se/globalassets/dokument/beslut/facial-recognition-used-to-monitor-the-attendance-of-students.pdf