Quatre associations viennent de contester devant le tribunal administratif de Marseille une délibération du conseil régional autorisant l’expérimentation d’un contrôle d’accès par reconnaissance faciale dans deux lycées de Provence-Alpes-Côte d'Azur.
L’installation d’un portique virtuel à l’entrée de deux lycées – l’un à Marseille (Ampère) l’autre à Nice (Eucalyptus) – n’a pas laissé insensible la Quadrature du Net, la Ligue des droits de l’Homme, CGT Educ’Action des Alpes-Maritimes et la Fédération des Conseils de Parents d’Élèves des écoles publiques des Alpes-Maritimes. Ces quatre associations viennent de trainer la décision du conseil régional devant la justice, au lendemain de l’annonce du déploiement d’un système de reconnaissance faciale lors du carnaval de Nice.
Pour mémoire, le projet repose sur un partenariat avec Cisco. À la porte des deux établissements, des caméras scrutent et comparent les visages avec une base de données comprenant la photo des personnes autorisées. En coulisse, reconnaissance faciale des personnes enregistrées, suivi de trajectoire de tous les visiteurs, et un avenir doré :
« Avec ces deux expériences, une fois que nous l’aurons démontré, nous irons très vite sur la généralisation, à partir du réseau de vidéosurveillance déjà existant, sur lequel il ne nous restera plus qu’à mettre le logiciel qui correspond à l’usage de la reconnaissance faciale par rapport aux caméras déjà installées dans nos établissements scolaires » explique le rapporteur du projet au conseil régional de PACA, Christian Estrosi, par ailleurs maire de Nice.
Comme nous l’avait souligné la CNIL, les lycéens refusant ce mécanisme pourront toujours passer par un portique traditionnel. « Il est prévu de mettre en place une séparation physique des chemins d’accès ou un moyen permettant de ne déclencher la prise de photo et le calcul d’un gabarit biométrique qu’après présentation par une personne d’un support contenant un gabarit ». Les requérants plaident néanmoins une série de fragilités juridiques et déjà l’illégalité de la délibération.
Une région compétente pour installer ces yeux électroniques
Au regard des textes, ils considèrent que seul le chef d’établissement est compétent pour s’intéresser à la question de la sécurité, notamment des entrées et sorties. De son côté, détaille l’article L214-6 du Code de l’éducation, « la région a la charge des lycées (…). Elle en assure la construction, la reconstruction, l'extension, les grosses réparations, l'équipement et le fonctionnement ».
En somme, l’installation de ces portiques n'entrerait pas dans le chapitre « équipement » et « fonctionnement ». De même, il s'agira de savoir si un éventuel accord des chefs d’établissement a pu couvrir ou non l’installation de ce système d’authentification. D'ailleurs, la délibération a eu pour objet d'approuver la convention d’expérimentation type tripartite entre la Région, un lycée et la société Cisco...
Des indélicatesses avec le RGPD
Les demandeurs considèrent en outre que ce système souffre d’une défaillance au regard du règlement général sur la protection des données personnelles.
Selon eux, ce déploiement aurait dû faire l’objet d’une analyse d’impact. Leur affirmation est nourrie par une délibération de la CNIL publiée le 6 novembre 2018 au Journal officiel qui requiert une telle analyse de risques pour tous les « traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » ». Et, parmi elles, sont cités les « élèves ».
D’ailleurs, pas plus tard que le 17 décembre, la CNIL nous indiquait dans un courrier « qu’une analyse d’impact était bien en cours de réalisation » d’après la région. Seulement, la délibération PACA ayant été votée le 14 décembre, les quatre associations estiment que l’absence de ce document, qui aurait dû être rédigé antérieurement, menace tout l’édifice : « la délibération est illégale en ce qu’elle autorise la mise en œuvre d’un traitement de données biométriques concernant des lycéens alors qu’aucune étude d’impact n’a été réalisée au moment de son adoption. »
Un manque de base légale
D’autres critiques pilonnent cette fois la « légalité interne » de la délibération, en particulier le manque de base légale dont souffrirait ce système d’authentification. Les requérants reprennent ici les inquiétudes de la CNIL qui, en septembre dernier, avait appelé les pouvoirs publics à rapidement intervenir pour clarifier et dépoussiérer le cadre des nouveaux moyens de surveillance.
« Comme cela est renseigné dans la convention d’expérimentation annexée à la délibération, les seules bases juridiques sont celles du RGPD et de la loi [de 1978]. Ces textes ne constituent en aucun cas un cadre juridique précis, suffisamment clair et accessible » affirment-ils. Or, l’article 8 de la Convention européenne des droits de l’Homme exige pourtant un tel niveau de qualité, qui ferait ici défaut.
Des finalités mal définies
Autre reproche cette fois, sur le terrain des finalités du traitement. « Les données à caractère personnel doivent être (...) collectées pour des finalités déterminées, explicites et légitimes » explique le RGPD.
Dans le cas présent, la délibération explique que l’expérimentation veut « apporter une assistance aux agents en charge du contrôle d’accès au lycée et de l’accueil afin de faciliter et réduire la durée des contrôles (pour les usagers réguliers du site comme pour les visiteurs occasionnels), lutter contre l’usurpation d’identité et détecter un déplacement non souhaité ».
Seulement, le même document annonce d’autres finalités au fil de ses pages, comme mesurer « la valeur ajoutée mais aussi les contraintes opérationnelles qu’impliquerait la mise en œuvre d’un dispositif de contrôle d’accès par comparaison faciale, couplé à un dispositif de suivi de trajectoire, au sein d’un lycée ».
Ces ambiguïtés suffiraient à remettre en cause la conformité du cœur du dispositif au regard du règlement européen.
Plus globalement, selon les requérants, une généralisation à l’ensemble des lycées PACA – peut-être l’objectif prioritaire de ce test – serait impossible, puisqu’elle exigerait d’obtenir un consentement libre de l’ensemble des élèves et des personnels concernés.
« Même au cas où un dispositif de contrôle classique était maintenu en parallèle du système de reconnaissance faciale pour les élèves et personnels n’ayant pas donné leur consentement, écrivent-ils, celui-ci occasionnerait une différence de traitement préjudiciable, puisqu’il occasionnerait pour les personnes concernées des temps d’attente plus importants et/ou des formalités supplémentaires ».
Ne pas accoutumer les élèves à la surveillance biométrique
Au fil de leur procédure, ils ajoutent aussi que le traitement est excessif d’après eux : il concerne des mineurs pour conditionner leur accès à l’entrée des établissements. Or rien ne justifie la nécessité d’un tel système de filtrage. « Ni la région ni les lycées concernés n’apportent, contrairement à ce qui est prévu dans le RGPD, d’éléments précis et factuels qui permettraient de déterminer qu’aucun autre moyen n’aurait permis de parvenir à l’objectif visé ».
Selon Martin Drago, juriste de La Quadrature du Net, « cette expérimentation vise à accoutumer les élèves à une surveillance biométrique. Cela participe à la banalisation de ce type de technologies, alors que des projets sécuritaires de vidéosurveillance dopées à la reconnaissance faciale pullulent désormais sur le territoire français ».
Et pour Laëtitia Siccardi, présidente de la Fédération des Conseils de Parents d’Élèves des écoles publiques des Alpes-Maritimes, « cette expérimentation est une dérive sécuritaire de plus, et nous sommes extrêmement attentifs à ce que les droits fondamentaux des lycéens soient respectés. De plus, il s’agit une fois encore d’un investissement financier considérable au service d’une mesure à l’efficacité douteuse. »
