Dans un jugement du 27 février 2020, le tribunal administratif de Marseille annule la délibération du Conseil régional de la région PACA organisant l'expérimentation d'un "dispositif de contrôle d'accès par comparaison faciale et de suivi de trajectoire" dans deux lycées de la région, l'un à Marseille et l'autre à Nice. Il s'agissait donc, non seulement de contrôler les entrées des élèves, mais aussi leurs déplacements dans l'établissement, par exemple l'accès à la cantine.
Une convention tripartite avait été passée à cette fin entre la région, l'entreprise Cisco International, et les deux établissements. En l'espèce, le juge de l'excès de pouvoir, saisi par un tiers, n'est pas compétent pour apprécier la partie de la délibération approuvant la convention. Saisi par la Quadrature du Net, la Ligue des droits de l'homme, et différentes associations de parents d'élèves, il ne se prononce donc que sur l'acte décidant l'expérimentation.
La reconnaissance faciale
La biométrie a d'abord été définie comme une science, celle qui "étudie, à l'aide des mathématiques, les variations biologiques à l'intérieur d'un groupe déterminé".
Aujourd'hui, la biométrie est davantage perçue comme une technique
d'identification de la personne à partir de ses caractères
physiologiques reconnaissables et vérifiables, qu'il s'agisse de la forme du visage, de la
paume de la main, de l'ADN, de l'identification par l'iris de l'oeil ou
encore par la voix. Ses utilisations sont potentiellement
d'une extrême diversité, allant de l'authentification des paiements au
démarrage d'une voiture, en passant par l'accès des élèves au lycée. Ce glissement de la science à la
technique a été perçu comme positif, dans la mesure où la biométrie
était d'abord un instrument d'accroissement de la sécurité et de la
fiabilité de certains échanges. Il n'en demeure pas moins que les données biométriques sont des données personnelles et que leur collecte et leur conservation sont, comme telles, soumises à certaines conditions.
Le tribunal administratif aurait pu se borner à annuler la délibération pour incompétence, moyen d'ordre public. En effet, l'article L 214-6 du code de l'éducation énonce, dans son alinéa 2, que "la région assure l'accueil, la restauration, l'hébergement ainsi que
l'entretien général et technique, à l'exception des missions
d'encadrement et de surveillance des élèves, dans les établissements
dont elle a la charge". La mise en place de portiques de reconnaissance faciale relève, à l'évidence, de la mission d'encadrement et de surveillance des élèves qui sont de la compétence exclusive des chefs d'établissement. Or, en l'espèce, la région PACA ne s'est pas bornée à proposer un équipement aux lycées, mais a pris une décision formelle organisant l'expérimentation. Cette incompétence était suffisante pour annuler la délibération.
Mais le tribunal va plus loin et s'engager dans le contrôle de la légalité interne de la délibération. L'article 6 de la loi du 6 janvier 1978, dans son actuelle rédaction, précise que les données biométriques sont des données à caractère personnel. Le principe est alors l'interdiction du traitement de ces données, sauf exceptions définies dans l'article 9 du règlement général de protection des données (RGPD).
Dans le cas présent, la reconnaissance faciale est concernée par deux conditions précisées dans l'article 9. La première est l'exigence d'un "consentement explicite" de la personne concernée, consentement donné pour des finalités spécifiques. La seconde est que ce traitement biométrique doit apparaître comme une "nécessité" justifiée par des motifs d'intérêt public importants. De fait, le traitement de données personnelles doit être proportionné à ces motifs, ce qui signifie qu'il doit prévoir des mesures de protection des droits de la personne concernée.
Consentement
Le problème en l'espèce est que le "consentement explicite" n'en est pas un. La région PACA s'est bornée à exiger la signature d'un formulaire par tout lycéen majeur, ou par les représentants légaux des mineurs. Mais le tribunal fait observer que ce consentement n'a rien de réellement libre ni de réellement éclairé. Les lycéens, et leurs parents, sont dans une relation particulière à l'égard de l'établissement scolaire. Les premiers sont directement dans une relation d'autorité, et les seconds n'ont guère le choix, sauf à changer leur enfant d'établissement, ce qui est loin d'être simple.
Finalité et proportionnalité
La délibération du conseil régional donne comme finalité la nécessité "d'apporter une assistance aux agents en charge du contrôle d'accès aux lycée (...) afin de faciliter et de réduire la durée des contrôles (...), lutter contre l'usurpation d'identité et détecter un déplacement non souhaité". Ces finalités ne sont peut-être pas illégitimes mais elles concernent essentiellement la gestion des flux, et la région ne précise pas leur lien avec des motifs d'intérêt public. Surtout, elle n'explique pas dans quelle mesure la biométrie est une nécessité, ni n'établit que les finalités poursuivies ne pourraient pas être atteintes par d'autres moyens, badges et vidéoprotection par exemple.
De tous ces éléments, le tribunal administratif déduit que la délibération décidant cette expérimentation n'est pas conforme à l'article 9 du RGPD. L'annulation était prévisible et s'inscrit dans la droite ligne de la délibération de la CNIL du 29 octobre 2019 qui avait donné un avis défavorable à cette même expérimentation. On note tout de même que le tribunal se montre plus sévère sur l'exigence de consentement que la CNIL qui s'était exclusivement fondée sur le caractère trop intrusif de la technologie biométrique, alors que les mêmes résultats pourraient être obtenus par d'autres moyens.
On ne peut que saluer un jugement qui applique sans état d'âme les principes protecteurs posés par le droit européen. Il s'avère sans doute très utile pour dissuader les élus de faire de la biométrie une sorte de "gadget" qui, au même titre que la vidéoprotection, sert avant tout à promouvoir leur image sécuritaire. Il n'en demeure pas moins que la biométrie ne doit pas être rejeté en bloc et qu'il serait dommage que son régime juridique soit le fruit de décisions de justice rendues au cas par cas, sur des projets plus ou moins anecdotiques ou fantaisistes. La biométrie mérite mieux que cela, et la CNIL en est parfaitement consciente. Le 15 novembre 2019, elle réclamait "un débat à la hauteur des enjeux", c'est-à-dire un débat politique. En effet, l'objet n'est pas de savoir comment faire accepter la biométrie par la population, mais de susciter un débat pour déterminer quels sont les cas dans lesquels nous acceptons la reconnaissance faciale, et ceux dans lesquels nous la refusons.
Sur la protection des données personnelles : Chapitre 8 section 5 du manuel de libertés publiques sur internet.
Aucun commentaire:
Enregistrer un commentaire