le 21/11/2019

L’avis négatif de la CNIL sur l’expérimentation de la reconnaissance faciale dans deux lycées de la Région Sud

Communiqué de la CNIL en date du 29 octobre 2019 précisant sa position sur l’expérimentation de la reconnaissance faciale dans deux lycées

La Région Sud a souhaité mettre en place un dispositif de reconnaissance faciale afin de contrôler les entrées de deux lycées de la région dans un objectif de sécurisation et de fluidification de ces entrées. La Région Sud a saisi la CNIL pour avis. L’autorité de contrôle vient de rendre un avis négatif sur ce projet en estimant que le dispositif projeté est contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD.

Le projet de la Région Sud reposait sur le consentement préalable des lycéens pour une expérimentation d’une année scolaire. La CNIL indique que ce projet a fait l’objet d’une analyse d’impact, par la Région Sud et les deux lycées, qui a été transmise à l’autorité de contrôle fin juillet.

Dans son communiqué, la CNIL estime que « les dispositifs de reconnaissance faciale sont particulièrement intrusifs et présentent des risques majeurs d’atteinte à la vie privée et aux libertés individuelles des personnes concernées. Ils sont par ailleurs de nature à créer un sentiment de surveillance renforcé ».

La commission ajoute que ces risques d’atteintes à la vie privée sont plus importants s’agissant de mineur comme dans l’expérimentation proposée, et rappelle par ailleurs que les mineurs font l’objet d’une protection renforcée dans le droit européen et national.

Ainsi, l’autorité de contrôle estime qu’une vigilance importante s’impose, en raison des dommages que pourrait entrainer un incident de sécurité sur ces données. Ce risque n’est pas hypothétique, en atteste la récente découverte d’une fuite de millions de données biométriques et de reconnaissance faciale au Royaume-Unis provenant de l’entreprise de sécurité Suprema.

Dans son communiqué, la CNIL indique que l’objectif poursuivi par cette expérimentation peut tout aussi bien être atteint par des moyens moins intrusifs et permettant d’assurer le respect de la vie privée et des libertés individuelles des élèves comme par exemple le contrôle par badge. Ainsi, le contrôle des accès d’un lycée par un dispositif de reconnaissance faciale apparait comme disproportionné et apparait contraire aux dispositions du RGPD.

En conséquence, la CNIL conclut qu’un « tel dispositif ne saurait donc être légalement mis en œuvre » et que, dès lors, les responsables de cette expérimentation doivent « en tirer les conséquences ».

Pour conclure, cet avis négatif de la CNIL peut être analysé au regard de la décision du 20 août 2019 de la Datainspektionen, i.e. l’autorité de contrôle suédoise en matière de protection des données, qui a condamné un établissement scolaire à une amende de 200 000 SEK (environ 18 500 euros). L’établissement scolaire avait testé pendant trois semaines la reconnaissance faciale pour remplacer le système d’appel des élèves. L’établissement n’avait pas consulté préalablement l’autorité de contrôle, ni effectué une étude d’impact préalable. Dans le cadre de cette expérimentation, l’établissement avait obtenu le consentement de 22 élèves. A ce sujet, la Datainspektionen estime que le consentement n’était pas le bon fondement de la licéité du traitement en raison du déséquilibre manifeste entre la personne concernée et le responsable du traitement.

La Datainspektionen conclut, tout comme la CNIL, que la reconnaissance faciale est un traitement particulièrement sensible et que ce dispositif est susceptible d’enfreindre les articles 5 et 9 du RGPD si l’établissement décidait de poursuivre cette expérimentation.