Recevez chaque jour toute l'actualité du numérique

x

La Cnil s'oppose fermement aux dispositifs de reconnaissance faciale dans les lycées

Pour la Commission nationale de l'informatique et des libertés (Cnil), l'expérimentation de reconnaissance faciale dans deux lycées niçois et marseillais doit immédiatement cesser. Le dispositif serait contraire aux principes de proportionnalité et de minimisation des données protégés par le RGPD.  
Twitter Facebook Linkedin Flipboard Email
×

La Cnil s'oppose fermement aux dispositifs de reconnaissance faciale dans les lycées
Les travaux devant le lycée Les Eucalyptus à Nice. © La Quadrature du Net

La Cnil a tranché dans une délibération publiée le 29 octobre 2019. L'expérimentation de technologie de reconnaissance faciale prévue dans deux lycées de la Région Sud n'est "ni nécessaire, ni proportionnée".

 

Prévenir les intrusions

Le "portique virtuel de sécurité" devait être installé à l'entrée des établissements scolaires. A l'aide d'un badge ou d'un QR code, les élèves devaient passer par un portique composé d'un lecteur et d'une caméra. Ainsi, le dispositif capterait le visage de l'élève pour le comparer au profil numérique contenu dans le badge ou le QR code. En cas d'intrusion, un message devait être immédiatement envoyé aux personnes responsables de la sécurité.

 

Le projet avait été lancé en décembre 2018 par un vote formalisant un test d'un an dans le lycée Les Eucalyptus (Nice) et le lycée Ampère (Marseille). Le but poursuivi était de prévenir les intrusions et les usurpations d'identité et de réduire la durée des contrôles devant les établissements scolaires. "L'expérimentation a pour objectif d'évaluer la valeur ajoutée mais aussi les contraintes opérationnelles qu'impliqueraient la mise en œuvre d'un dispositif de comparaison faciale au sein d'un lycée", est-il écrit dans la présentation du projet par la Région, document obtenu par Mediapart.

 

Cisco tentait de rassurer

Le fournisseur de cette technologie est le géant américain Cisco, qui avait ouvert ses portes à plusieurs médias pour effectuer une démonstration et surtout rassurer. Interrogé sur France Culture, Gaëtan Feige, responsable de projet et en charge de l'innovation chez Cisco France, distinguait la reconnaissance et la comparaison faciale en estimant que la seconde était beaucoup moins intrusive. "Alors que la comparaison faciale, on ne va pas chercher à qui cela correspond, on le sait déjà et on compare exactement avec celui à qui c'est censé correspondre. La personne à qui l'on fait cette comparaison est au courant que cette comparaison s'effectue." Contacté par L'Usine Digitale, Cisco a refusé de commenter cette décision.

 

Ces explications n'ont pas suffi à convaincre le gendarme français de la vie privée, saisi quelques mois auparavant par la Région elle-même pour une demande de conseil. "Le dispositif projeté est contraire aux grands principes de proportionnalité et de minimisation des données personnelles posés par le RGPD", tranche-t-elle d'emblée. Conséquence de quoi, "il appartient désormais à la région et aux lycées concernés, responsables du dispositif envisagé, d'en tirer les conséquences". La Cnil n'interdit pas en tant que tel le dispositif car elle ne fait que donner un avis. Mais si les lycées continuent à utiliser cet outil, elle pourra imposer une interdiction du traitement des données.

 

Les politiques montent au créneau

Mais, de son côté, le président de la Région Sud, Renaud Muselier, ne compte pas s'arrêter là. "La Région déposera un nouveau dossier dans les plus brefs délais", a-t-il confié dans un communiqué. Eric Ciotti, député et conseiller départemental des Alpes Maritimes a tweeté "la sécurité des lycéens et du personnel éducatif doit prévaloir sur des blocages idéologiques d'un autre temps". Sauf qu'au-delà de toute idéologie présupposée, la Cnil repose sa décision sur des principes juridiques.

 

 

En effet, la Cnil invoque le principe de proportionnalité et de minimisation qui sont très proches dans leur finalité. Ils ont pour but de commander au responsable de traitement de ne traiter que les données qui sont indispensables aux finalités déterminées. Pour le gendarme de la vie privée, cela signifie que les objectifs poursuivis de sécurisation et de fluidification pourraient être atteints par "des moyens biens moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge".

 

La Cnil a également pris en considération le statut légal des lycéens, qui sont mineurs pour la plupart. Une catégorie d'individus qui fait "l'objet d'une protection particulière dans les textes nationaux et européens". Mais surtout l'autorité s'inquiète "d'éventuels incidents de sécurité sur de telles données biométriques".

 

"Un sentiment de surveillance renforcé"

Le gendarme de la vie privée conclut sur des remarques plus générales sur les technologies de reconnaissance faciale. "Les dispositifs de reconnaissance faciale sont particulièrement intrusifs et présentent des risques majeurs d’atteinte à la vie privée et aux libertés individuelles des personnes concernées. Ils sont par ailleurs de nature à créer un sentiment de surveillance renforcé."

 

Les technologies de reconnaissance faciale ne cessent de faire parler d'elles, surtout lorsqu'elles émanent d'acteurs étatiques. Récemment, c'est l'application Alicem qui a défrayé la chronique. Développé par le ministère de l'Intérieur et l'Agence Nationale des Titres Sécurisés (ANTS), cet outil doit permettre d'accéder à des services publics en ligne grâce à la reconnaissance faciale.

 

La Quadrature du Net a déposé un recours devant le Conseil d'Etat. "Le Gouvernement participe à la banalisation de la reconnaissance faciale", peut-on lire sur leur site. Les membres de cette association sont clairs : cet outil viole le RGPD car il ne peut exister de consentement "libre" si l'administré n'a pas d'autres choix que d'utiliser la biométrie pour accéder à des services publics en ligne. Ces critiques n'ont pas eu l'air d'ébranler le Gouvernement, qui n'a pas modifié une ligne du décret.

 

Une réglementation floue ?

Juridiquement, la reconnaissance faciale est un "traitement automatisé" de l'image d'une personne, laquelle constitue une donnée personnelle. A ce titre, un organisme souhaitant mettre en place un tel système devra respecter toute la réglementation relative au traitement des données personnelles (le RGPD et la Directive du 27 avril 2016 relative au traitement des données en matière pénale).

 

Ces règles interdisent les traitements de données biométriques aux fins d'identification d'une personne physique de manière unique. Mais elles prévoient, dans le même temps, trois exceptions : lorsque la personne concernée donne son consentement, lorsque le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée et lorsque le traitement est nécessaire pour des "motifs d'intérêt public important".

 

Cet arsenal paraît assez clair, mais pourtant de nombreuses voix s'élèvent pour renforcer cet encadrement afin de créer la meilleure visibilité possible pour les industriels du secteur. En effet, il sera de plus en plus difficile de vendre des technologies de reconnaissance faciale si derrière les autorités en empêchent le déploiement concret.

 

C'est en ce sens que John Frank, vice-président de Microsoft en charge des affaires gouvernementales de l'Union européenne, a récemment déclaré à L'Usine Digitale que le RGPD est "une bonne base de protection", mais qu'il ne suffit pas. Les choses vont peut être changer. En effet, dans son avis, la Cnil confie qu'elle est en train de travailler sur les différents usages de cette technologie et communiquera la portée de ces travaux prochainement.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media