Par une décision du 27 février 2020 faisant suite à un recours pour excès de pouvoir déposé par plusieurs associations, le tribunal administratif de Marseille a annulé une délibération par laquelle le Conseil régional de Provence-Alpes-Côte-d’Azur approuvait l’expérimentation d’un dispositif de reconnaissance faciale dans deux lycées de la Région.
La décision de la juridiction administrative s’est en partie fondée sur des dispositions du Règlement Général de Protection des Données Personnelles (ci-après « RGPD »).
L’expérimentation controversée d’un dispositif intrusif
Dans sa délibération n° 18-893 du 14 décembre 2018, la Région PACA avait décidé d’approuver deux conventions tripartites entre la Région, chacun des lycées concernés et la société Cisco International Limited afin de mettre en œuvre l’expérimentation d’un dispositif de vidéosurveillance avec reconnaissance faciale dans deux lycées, l’un marseillais et l’autre niçois.
Ce dispositif avait pour effet de contrôler l’accès aux établissements par comparaison faciale et de suivre les trajectoires des personnes scannées. L’objectif poursuivi était l’assistance des agents en charge du contrôle d’accès aux lycées afin de prévenir les intrusions et les usurpations d’identité et de réduire la durée de ces contrôles.
Le 14 février 2019, plusieurs associations – dont la Quadrature du Net et la Ligue des Droits de l’Homme – ont déposé auprès du tribunal administratif de Marseille un recours pour excès de pouvoir contre cette délibération.
Cette requête soulevait :
-
- une illégalité externe de la décision, à savoir un problème d’incompétence car, selon les requérants et au regard des dispositions légales applicables, la sécurité à l’entrée des lycées relève des seuls chefs d’établissements et non de la Région ;
- ainsi qu’une illégalité interne, à savoir la méconnaissance dans le cadre de la mise en place de ce dispositif des dispositions du RGPD, car les finalités avancées pour justifier le traitement n’étaient ni explicites, ni légitimes et les données collectées étaient manifestement excessives au regard des finalités poursuivies.
Parallèlement à cette action, le 17 octobre 2019, les membres de la Commission Nationale Informatique et Libertés (ci-après « CNIL ») se sont réunis en assemblée plénière afin de se prononcer sur cette expérimentation au sujet de laquelle ils avaient été saisis pour avis.
Après examen de l’analyse d’impact réalisée, la CNIL avait émis un avis défavorable à la mise en œuvre d’une telle expérimentation, estimant que le dispositif projeté était contraire aux principes de proportionnalité et de minimisation des données à caractère personnel tels que prévus par le RGPD.
En effet, s’agissant des finalités poursuivies, l’autorité de contrôle française précisait, dans son avis précité, que « les objectifs de sécurisation et la fluidification des entrées dans ces lycées peuvent être atteints par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge ».
Rappelant la sensibilité particulière des données biométriques ainsi que le public particulier concerné par le dispositif mis en œuvre -en majorité des mineurs-, l’autorité de contrôle a donc estimé qu’en présence de moyens alternatifs permettant d’atteindre les mêmes objectifs, le recours à un dispositif de reconnaissance faciale et la collecte des données qu’il engendre n’apparaissaient ni nécessaires, ni proportionnées.
Des dispositions du RGPD parmi les fondements retenus pour justifier l’illégalité de la délibération
Illégalité interne de la délibération
Dans sa décision du 27 février précitée, le juge administratif, au visa de l’article 9, a) et g) complété par la lecture des articles 4 et 7 du RGPD, prend note du fait que la Région retient pour fondement légal de la collecte et du traitement des données biométriques le consentement préalable des lycéens concernés ou de leurs représentants légaux (pour les élèves mineurs).
Il estime cependant qu’il n’existe pas de garanties suffisantes permettant l’obtention d’un consentement conforme aux prescriptions de l’article 7 du RGPD. En pratique, le consentement est recueilli par la seule signature d’un formulaire, ce qui n’est selon le tribunal pas suffisant pour établir son caractère libre et éclairé en raison de la relation d’autorité dans laquelle se trouvent les lycéens majeurs à l’égard des responsables d’établissements et celle particulière des parents qui, en cas de refus (par leurs soins ou par leur enfant), devaient nécessairement changer leur enfant d’établissement.
En outre et au regard des mêmes dispositions, le tribunal administratif considère que la Région ne démontrait pas en quoi les finalités poursuivies (fluidification et sécurisation des contrôles à l’entrée des lycées concernés) constituaient le motif d’intérêt public requis par le g) de l’article 9 précité, ni en quoi ces finalités ne pourraient pas être atteintes par d’autres moyens tels que le contrôle par badge éventuellement assorti d’une vidéosurveillance.
Par ce dernier point, la décision du tribunal administratif de Marseille s’inscrit dans la lignée de l’avis défavorable émis par la CNIL quelques mois plus tôt.
L’illégalité de la décision du Conseil régional résulte donc notamment de :
- l’absence de consentement libre et éclairé des personnes concernées ;
- le fait qu’il ne soit pas établi que le traitement biométrique soit nécessaire aux finalités poursuivies par la Région, ces dernières n’étant par ailleurs pas de nature à constituer l’une des exceptions prévues à l’interdiction de traitement de données sensibles.
Illégalité externe de la délibération
Outre le fait que la mise en œuvre du dispositif de reconnaissance faciale dont il était question constituait un manquement aux dispositions précitées du RGPD, le tribunal administratif a également retenu l’incompétence du Conseil régional dans la décision de mise en œuvre de cette expérimentation.
S’appuyant sur l’article L. 214-6 du code de l’éducation, il précise que si la Région assure l’accueil, l’hébergement ainsi que l’entretien général et technique des établissements dont elle a la charge, les missions d’encadrement et de surveillance des élèves relèvent des seuls chefs d’établissements.
Par conséquent, le tribunal administratif a constaté que la Région ne s’est pas bornée à proposer un équipement aux lycées mais a pris la décision organisant l’expérimentation, ce qui ne relevait pas de sa compétence.
*
* *
Bien que cette décision soit susceptible d’appel dans un délai de deux mois – ce qui lui confère une portée à prendre avec précaution –, elle est néanmoins intéressante pour deux raisons.
En premier lieu car l’illégalité externe tirée de l’incompétence de la Région à prendre une décision relative à la sécurité à l’entrée des lycées aurait suffi à faire annuler la délibération.
Pourtant, le tribunal administratif est allé plus loin en se prononçant sur l’illégalité de l’acte en lui-même, au regard de la législation en matière de protection des données à caractère personnel, ce qui constitue l’originalité de la décision.
En second lieu car elle intervient à un moment où la reconnaissance faciale est au cœur de l’actualité. A ce titre, la CNIL a produit le 15 novembre 2019 une contribution intitulée « Reconnaissance faciale : pour un débat à la hauteur des enjeux », signe que ce sujet complexe recouvre de nombreuses réalités dont il est nécessaire d’avoir conscience avant toute prise de décision pratique, politique et/ou démocratique.
La Région a annoncé qu’elle refusait d’abandonner le projet et qu’elle s’était d’ores et déjà rapprochée de la CNIL en vue de mettre le dispositif expérimental en conformité aux dispositions applicables. Affaire à suivre…
AGIL’IT continue de suivre de près cette thématique et ne manquera pas de vous informer de son évolution.
Par AGIL’IT – Pôle IT, Telecoms & Data protection
Laure LANDES-GRONOWSKI, Avocate associée