Un enfant dans un monde virtuel
25
Juin

Reconnaissance faciale et RGPD : et si la reconnaissance faciale pénétrait dans les écoles ?

Depuis peu, le RGPD a soufflé sa première bougie. Avec ce nouveau texte européen et l’apparition de sanctions colossales (20 millions d’euros ou 4% du chiffre d’affaires mondial), l’idéal voudrait que toutes les entités traitant de données personnelles soient à 100 % conformes. Or, ce n’est pas le cas et la protection des données personnelles continue de faire l’actualité du droit des nouvelles technologies. En atteste par exemple la dernière décision de la CNIL, datant du 6 juin 2019, qui sanctionne, à hauteur de 400.000 euros, une société de promotion immobilière pour atteinte à la sécurité des données et non-respect des durées de conservation. D’autres lancent de nouveaux produits, de nouveaux projets qui heurtent parfois les règles applicables en matière de protection des données. C’est le sujet de notre focus d’aujourd’hui, consacré à l’installation en cours d’un dispositif de reconnaissance faciale au lycée des Eucalyptus à Nice.

Lycée et reconnaissance faciale : rappel des faits

La Quadrature du Net est à l’origine de ce coup de projecteur sur ce dispositif de reconnaissance faciale au lycée des Eucalyptus de Nice. Plus particulièrement, elle a formé un recours devant le tribunal administratif de Marseille. En cause ? La délibération du Conseil régional de PACA qui a autorisé l’expérimentation d’un dispositif « de contrôle d’accès utilisant des techniques biométriques ». La région a justifié l’expérimentation d’un tel dispositif compte tenu du « différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées ».

Rappelons que la reconnaissance faciale est une technique qui permet, à partir des traits de visage, d’authentifier ou d’identifier une personne. Pour l’authentification d’une personne, il s’agit de vérifier si une personne est bien celle qu’elle prétend être. En revanche, l’identification d’une personne vise à retrouver une personne au sein d’un groupe d’individus. Dans les deux cas, la reconnaissance se réalise à partir d’images fixes ou animées (photos, vidéos etc.). Grâce aux images captées, il est ensuite possible de réaliser un modèle. Ce modèle représente, d’un point de vue informatique, les caractéristiques du visage. Vient ensuite la phase de reconnaissance véritable, où les modèles préalablement créés et les modèles calculés en direct sont comparés.

Les données extraites pour effectuer les modèles sont des données à caractère personnel. Plus particulièrement, il s’agit de données biométriques au sens du RGPD. La réglementation doit donc être respectée. C’est d’ailleurs sur ce texte que se fonde en grande partie le recours porté par la Quadrature du Net.

Reconnaissance faciale : quelles règles à respecter ?

Les dispositifs de reconnaissance faciale, parce qu’utilisant des données à caractère personnel, doivent respecter les règles issues du RGPD (de la loi Informatique et Libertés en France). Surtout, ces dispositifs d’identification utilisent des données biométriques, qualifiées de données sensibles par le RGPD. Or, le RGPD interdit en principe les traitements de données sensibles. Par conséquent, les dispositifs de reconnaissance faciale ne devraient pas pouvoir exister. Sauf que le RGPD prévoit certaines exceptions. Par exemple, un traitement de données sensibles est possible si la personne concernée à donner un consentement explicite. Dans le cadre d’un dispositif de reconnaissance faciale, il faudrait donc que les personnes concernées donnent leur consentement via une déclaration expresse. Le consentement se doit également d’être libre, éclairé, spécifique et univoque. Ce consentement doit pouvoir être retiré à tout moment et prouvé par le responsable du traitement.

De plus, la technologie de reconnaissance faciale est en plein essor. Face à ce constat, la CNIL a rappelé que les risques d’atteintes aux libertés individuelles que de tels dispositifs sont susceptibles d’induire sont considérables, dont notamment la liberté d’aller et venir anonymement. Dans le cadre du RGPD, un tel traitement doit donc faire l’objet, compte tenu des risques, d’une analyse d’impact. Cette analyse d’impact doit être menée avant la mise en place du traitement. Elle doit permettre d’identifier les risques et de présenter les mesures à adopter afin de les réduire. Récemment, la nécessité de mener une analyse d’impact pour les reconnaissances faciales a été confirmée par la CNIL dans une de ses délibérations, en ciblant notamment « les traitements de données biométriques aux fins de reconnaissance des personnes, parmi lesquelles figurent des personnes dites vulnérables (élèves, personnes âgées, patients etc.). »

Le RGPD précise également que le recours à une identification biométrique ne peut pas être imposé à un individu. En effet, un individu dispose du droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé si cela provoque des effets juridiques ou affecte la personne de manière significative. Dans le cadre d’une reconnaissance faciale, il est donc nécessaire de proposer une autre alternative. Le cas de Boursorama est un parfait exemple. En effet, cette banque permet l’ouverture d’un compte bancaire par reconnaissance faciale. Toutefois, elle offre également la possibilité de s’orienter vers un parcours de souscription en ligne classique. Ainsi, cette double possibilité est un process à mettre en place dans le cadre d’un dispositif de reconnaissance faciale.

Enfin, les dispositifs de reconnaissance faciale doivent remplir les principes généraux du RGPD. On rappellera simplement qu’un tel dispositif doit être prévu pour des finalités déterminées, explicites et légitimes. Les personnes concernées doivent bénéficier d’une information claire et intelligible sur les finalités des traitements. Surtout, les données collectées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies. Ainsi, si un autre moyen, moins intrusif ou moins risqué, permet de réaliser l’objectif poursuivi, il sera préférable d’utiliser ce moyen plutôt que la reconnaissance faciale.

Lycée et reconnaissance faciale : qu’est-ce qui est reproché ?

Sur le cas précis de l’expérimentation d’un dispositif de reconnaissance faciale dans un lycée de Nice, le recours s’appuie sur une violation de certaines dispositions du RGPD. Le premier argument phare est celui de l’absence d’une analyse d’impact menée avant la délibération du Conseil régional qui autorise pourtant l’expérimentation et ensuite la généralisation. Le deuxième argument tient du fait que les finalités du dispositif de reconnaissance faciale seraient ni explicites ni légitimes. Le recours soulève notamment le problème de l’extension d’un tel dispositif et alerte sur le caractère libre du consentement au sens du RGPD. Enfin, le recours insiste sur l’absence de caractère adéquat et pertinent, et du caractère manifestement excessif de la collecte des données litigieuses. Pour soutenir son argumentaire, le recours expose quelques décisions de la CNIL, considérant que la mise en œuvre d’un traitement de données biométriques au sein d’un établissement scolaire afin de contrôler l’accès des élèves à cet établissement ou à un service de cet
établissement était excessive au regard de la finalité poursuivie.

Toutes ces questions soulevées devront être tranchées par le tribunal administratif de Marseille. Affaire à suivre donc…

 

Laisser une réponse

Le Droit Pour Moi