Expérimentation de la reconnaissance faciale dans deux lycées : la CNIL précise sa position
Réunis en séance plénière le 17 octobre, les membres de la CNIL se sont prononcés sur une expérimentation qui prévoit le recours à la reconnaissance faciale à l’entrée de deux lycées. Ils ont considéré que ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’apparaît ni nécessaire, ni proportionné pour atteindre ces finalités.
La CNIL a été saisie par la région PACA d’une demande de conseil portant sur l’expérimentation d’un « portique virtuel » de contrôle d’accès par reconnaissance faciale à l’entrée de deux lycées de la région (lycée les Eucalyptus à Nice et lycée Ampère à Marseille).
Ce dispositif, qui ne devait concerner que les lycéens ayant préalablement consenti, et être expérimenté durant toute une année scolaire, devait permettre d’assister les agents en charge du contrôle d’accès aux lycées afin de prévenir les intrusions et les usurpations d’identité et de réduire la durée de ces contrôles.
La solution envisagée a fait l’objet d’une analyse d’impact relative à la protection des données (AIPD) par la région PACA et les deux lycées expérimentateurs, dont la version finalisée a été transmise à la CNIL fin juillet 2019.
Après un examen attentif du projet, la CNIL a considéré que le dispositif projeté est contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD (Règlement général sur la protection des données).
En effet, les objectifs de sécurisation et la fluidification des entrées dans ces lycées peuvent être atteints par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge.
La Commission a rappelé que les traitements de données biométriques sont d’une sensibilité particulière, justifiant une protection renforcée des personnes.
Notamment, les dispositifs de reconnaissance faciale sont particulièrement intrusifs et présentent des risques majeurs d’atteinte à la vie privée et aux libertés individuelles des personnes concernées. Ils sont par ailleurs de nature à créer un sentiment de surveillance renforcé.
Ces risques se trouvent accrus lorsque les dispositifs de reconnaissance faciale sont appliqués à des mineurs, qui font l’objet d’une protection particulière dans les textes nationaux et européens.
La Commission rappelle enfin qu’une vigilance stricte s’impose compte tenu des dommages que pourraient entraîner d’éventuels incidents de sécurité sur de telles données biométriques.
Dans ce contexte, et en présence de moyens alternatifs moins intrusifs, tel qu’un contrôle par badge, le recours à un dispositif de reconnaissance faciale pour contrôler les accès à un lycée apparaît disproportionné.
Un tel dispositif ne saurait donc être légalement mis en œuvre et il appartient désormais à la région et aux lycées concernés, responsables du dispositif envisagé, d’en tirer les conséquences.
De manière plus générale, les différents cas d’usage de la reconnaissance faciale font l’objet actuellement de travaux au sein de la CNIL, sur lesquels la Commission communiquera prochainement.