Reconnaissance faciale : le tribunal de Marseille vire les portiques virtuels de deux lycées

Reconnaissance faciale : le tribunal de Marseille vire les portiques virtuels de deux lycées

Dans ta face

Avatar de l'auteur
Marc Rees

Publié dans

Droit

27/02/2020 4 minutes
26

Reconnaissance faciale : le tribunal de Marseille vire les portiques virtuels de deux lycées

Victoire pour la Ligue des droits de l’Homme et la Quadrature du Net. Le tribunal administratif de Marseille vient d’annuler pour excès de pouvoir la mise en place d’un système de reconnaissance faciale à l’entrée de deux lycées, l’un à Marseille l’autre à Nice.

Le 14 décembre 2018, était approuvée une convention tripartite d’expérimentation région-lycée-société Cisco International Limited. Son objet ? Mettre en place un contrôle facial à l’entrée de deux lycées, l’un à Marseille l’autre à Nice, accompagné d’un suivi de trajectoire.

Ce système de portique virtuel avait été attaqué par la Quadrature du Net, la Ligue des droits de l’Homme, la fédération des conseils des parents d’élèves des écoles publiques des Alpes-Maritimes et le syndicat CGT Educ’Action des Alpes-Maritimes. Et le tribunal administratif de Marseille vient d’accueillir favorablement leur demande.

Les motifs d’annulation de cette convention sont multiples. Certains tiennent aux règles de compétence.

Une région incompétente

Selon l’article L. 214-6 du Code de l’éducation, « la région assure l’accueil, la restauration, l’hébergement ainsi que l’entretien général et technique, à l’exception des missions d’encadrement et de surveillance des élèves, dans les établissements dont elle a la charge. »

Selon le tribunal administratif, « la région PACA ne s’est pas bornée à munir les lycées en cause des équipements de reconnaissance faciale (…) [elle] a elle-même pris la décision d’initier cette expérimentation ». Or, au regard cette fois de l’article R. 421-10 du même code, cette mission revient au seul chef d’établissement, à savoir celle de prendre « toutes dispositions, en liaison avec les autorités administratives compétentes, pour assurer la sécurité des personnes et des biens, l’hygiène et la salubrité de l’établissement. »

La région n’a pas seulement malmené le Code de l’éducation. Elle a aussi été en indélicatesse avec le règlement général sur la protection des données personnelles.

Non-respect du RGPD

La reconnaissance faciale opère un traitement biométrique par définition interdit par le RGPD, sauf cas particulier comme le consentement des personnes concernées.

En effet, les portiques ne visaient que les seuls lycéens ayant donné leur accord, au besoin par le biais de leurs parents s'agissant des mineurs. Toutefois, la Région s’était contentée du minimum syndical : un recueil de consentement « par la seule signature d’un formulaire, alors que le public visé se trouve dans une relation d’autorité à l’égard des responsables des établissements publics d’enseignement concernés », souligne le tribunal. 

Pour la juridiction, pas de doute : « la région ne justifie pas avoir prévu des garanties suffisantes afin d’obtenir des lycéens ou de leurs représentants légaux qu’ils donnent leur consentement à la collecte de leurs données personnelles de manière libre et éclairée ».

Un système disproportionné

Enfin, la Région a également échoué à passer le test de proportionnalité.

Elle n’établit pas que les finalités attachées à ces portiques virtuels et au suivi de personne « ne pourraient être atteintes de manière suffisamment efficace par des contrôles par badge, assortis, le cas échéant, de l’usage de la vidéosurveillance ».

Pour mémoire, la CNIL avait émis les mêmes critiques dans sa lettre diffusée par Next INpact. Dans ce courrier, Marie-Laure Denis, présidente de la commission, avait relevé qu’« à la différence d’un badge perdu ou détourné, la perte ou le détournement d’une donnée biométrique fait peser un risque majeur pour la personne concernée », au motif qu’elle reste « attachée à son identité, mais ne peut, contrairement à un badge ou un mot de passe, être révoquée ».

Cette missive avait été fusillée par Christian Estrosi, Éric Ciotti et Renaud Muselier qui dépeignaient en chœur une décision fruit d’une « idéologie poussiéreuse », « tout à fait regrettable », « basée sur des principes dépassés », « d’un autre temps ». 

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une région incompétente

Non-respect du RGPD

Un système disproportionné

Fermer

Commentaires (26)


Inny Abonné
Le 27/02/2020 à 15h 03

Pan dans l’œil. <img data-src=" />


Patch Abonné
Le 27/02/2020 à 15h 11







Inny a écrit :



Pan dans l’œil. <img data-src=" />



ce sont des GJ? <img data-src=" />



Jarodd Abonné
Le 27/02/2020 à 15h 15

Donc si c’est le chef d’établissement qui prend cette initiative, qu’il recueille le consentement des volontaires de manière plus efficace (comment ?), et qu’on leur donne un badge en supplément (au cas où les élèves perdrait un oeil ou une main), ça pourrait finalement se faire ?


Folie_Sucrée
Le 27/02/2020 à 15h 20

Enfin. Bonne nouvelle.


HunterZer0 Abonné
Le 27/02/2020 à 15h 25

+1



Attention aux réponses furibonde de messieurs Estrosi et Ciotti dans les jours à venir. Sortez le popcorn.


anonyme_719b7472a607d91af7b8f344a489598e Abonné
Le 27/02/2020 à 15h 30







Jarodd a écrit :



Donc si c’est le chef d’établissement qui prend cette initiative, qu’il recueille le consentement des volontaires de manière plus efficace (comment ?), et qu’on leur donne un badge en supplément (au cas où les élèves perdrait un oeil ou une main), ça pourrait finalement se faire ?





Vidéosurveillance != reconnaissance faciale.



wagaf Abonné
Le 27/02/2020 à 15h 39

un recueil de consentement «&nbsp;par la seule signature d’un formulaire&nbsp;» pose problème ?



&nbsp;Il faut qu’ils recopient un paragraphe manuscrit ?&nbsp;<img data-src=" />


WereWindle
Le 27/02/2020 à 15h 39







JD a écrit :



Vidéosurveillance != reconnaissance faciale.





bah il indique un autre facteur d’identification au cas où le premier serait inopérant (la reconnaissance faciale dans le cas de la news) et le fond de sa remarque est que, si c’est la commune/la région qui pousse le truc en mode bourrin, c’est mal, alors que si ça avait été l’établissement lui-même avec l’accord des élèves, ça aurait pu passer (en fait il pose la question).

Sa question n’est pas un “quoi ?” mais un “venant de qui ?”



En lien avec ce passage de l’article, je pense :



Selon le tribunal administratif, « la région PACA ne s’est pas bornée à munir les lycées en cause des équipements de reconnaissance faciale (…) [elle] a elle-même pris la décision d’initier cette expérimentation ». Or, au regard cette fois de l’article R. 421-10 du même code, cette mission revient au seul chef d’établissement, à savoir celle de prendre « toutes dispositions, en liaison avec les autorités administratives compétentes, pour assurer la sécurité des personnes et des biens, l’hygiène et la salubrité de l’établissement. »





Du coup, je ne comprends pas ta réponse. (au sens, je ne vois pas le rapport avec la vidéo surveillance)



anonyme_719b7472a607d91af7b8f344a489598e Abonné
Le 27/02/2020 à 15h 47

L’article précise :



Elle n’établit pas que les finalités attachées à ces portiques virtuels et au suivi de personne « ne pourraient être atteintes de manière suffisamment efficace par des contrôles par badge, assortis, le cas échéant, de l’usage de la vidéosurveillance ».

Donc que cela vienne de la région ou d’un chef d’établissement, la reconnaissance faciale est disproportionnée. Le TA explique qu’un contrôle par badge + vidéosurveillance est suffisant. Et c’est pour cela que je précisais que : vidéosurveillance != reconnaissance faciale.


Mihashi Abonné
Le 27/02/2020 à 15h 49

Ça ne corrigerais toujours pas le troisième point : « un système disproportionné ».


anonyme_719b7472a607d91af7b8f344a489598e Abonné
Le 27/02/2020 à 16h 19

Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque. Pour respecter ce cadre, il suffit de se référer aux explications de la CNIL, Conformité RGPD : comment recueillir le consentement des personnes ?

Un simple formulaire : OUI/NON ne respecte pas ce cadre.


swiper Abonné
Le 27/02/2020 à 18h 20

Il faut que la finalité soit proportionnée à l’objectif et visiblement on peut avoir le même résultat en utilisant des mesures beaucoup moins invasives que celles-ci.


Inodemus Abonné
Le 27/02/2020 à 20h 28







Next Inpact a écrit :



Cette missive avait été fusillée par Christian Estrosi, Éric Ciotti et Renaud Muselier qui dépeignaient en chœur une décision fruit d’une « idéologie poussiéreuse », « tout à fait regrettable », « basée sur des principes dépassés », « d’un autre temps ».



La non-argumentation classique dans ce genre de cas… On dirait un ado qui répond à ses parents, le langage soutenu en sus.



HunterZer0 Abonné
Le 27/02/2020 à 21h 11

Oh mais attends quelques jours tu y auras droit encore.



Ces messieurs s’offusquerons que la Justice les empêche tester un dispositif permettant de protéger efficacement les enfants.



Ils n’ont qu’a faire les cobayes eux même pour leur expérimentation et donner l’exemple pour une fois.


vizir67 Abonné
Le 28/02/2020 à 08h 01

ah…SI les sociétés respectaient le ‘RGPD’ :

(https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-pe… )

..ce serait SUPER !!!

tout est prévu (AV. de démarcher) <img data-src=" />



mais entre la théorie, ET la pratique……………..<img data-src=" />


fofo9012 Abonné
Le 28/02/2020 à 08h 40







l’article a écrit :



la différence d’un badge perdu ou détourné, la perte ou le détournement d’une donnée biométrique fait peser un risque majeur pour la personne concernée







Normalement la donnée biométrique n’est jamais utilisée directement mais sert de secret pour un certificat clé privée / publique. Certificat classique qui peut être révoqué sans problème.



Sur un capteur d’empreinte de téléphone ou de PC par ex le “doigt débloque” la puce de sécurité qui se charge des chiffrements, normalement l’applicatif ne voit jamais l’empreinte directement.



Au pire sans puce de sécurité, il suffit que le lecteur ajoute son sel pour que l’empreinte ne soit pas utilisée directement.

À la place le couple empreinte/ capteur sert de clé (en gros si on usurpe ton empreinte sur un capteur tu peux utiliser ton doigt sans risque sur un autre capteur: il est plus simple de détruire le capteur que le doigt :-) )



Comment fonctionne la reconnaissance faciale c’est purement logiciel ? Ne peut-on pas avoir un système qui isole la donnée biométrie de son utilisation ?



uzak
Le 28/02/2020 à 09h 19







wagaf a écrit :



un recueil de consentement « par la seule signature d’un formulaire » pose problème ?



 Il faut qu’ils recopient un paragraphe manuscrit ? <img data-src=" />





Le principal souci, c’est qu’ils sont majoritairement mineurs, et dans un contexte hiérarchique <img data-src=" />



Idiogène
Le 28/02/2020 à 09h 43







fofo9012 a écrit :



Comment fonctionne la reconnaissance faciale c’est purement logiciel ? Ne peut-on pas avoir un système qui isole la donnée biométrie de son utilisation ?







Cela ne change rien. Cela reste de la biométrie.



anonyme_719b7472a607d91af7b8f344a489598e Abonné
Le 28/02/2020 à 10h 56
WereWindle
Le 28/02/2020 à 12h 29

Nan mais si on doit suivre les décisions de justice, où va-t-on ?

(y a plein de trucs vraiment magiques dans cet article, d’ailleurs <img data-src=" /> )


SebGF Abonné
Le 29/02/2020 à 09h 40

Ce qui est marrant, c’est qu’on peut lire la même argumentation dans les commentaires ici sur des articles relatant de travaux législatifs contestés. <img data-src=" />


Inodemus Abonné
Le 01/03/2020 à 07h 10







uzak a écrit :



Le principal souci, c’est qu’ils sont majoritairement mineurs, et dans un contexte hiérarchique <img data-src=" />



Je trouve intéressant que la justice ait retenu ce contexte, surtout envers les parents où c’est moins évident à première vue, mais bien réel.



Ceci peut d’ailleurs s’appliquer à beaucoup d’administrations. On parle souvent d’abus de position dominante dans le privé, mais dans le public il y en a pas mal aussi, avec beaucoup d’acteurs ayant chacun leur monopole.



ProFesseur Onizuka
Le 01/03/2020 à 13h 32



Victoire pour la Ligue des droits de l’Homme et la Quadrature du Net





Bravo à eux <img data-src=" /> , les contre pouvoirs étant malmenés aux heures sombres de Macron, ces associations citoyennes sont une cure d’intelligence salvatrice, au milieu d’un pays toujours plus médiocrement aristocratique <img data-src=" />


Idiogène
Le 01/03/2020 à 18h 55

« Cette décision basée sur des principes dépassés, poursuit-il, intervient alors même que les deux conseils d’administration des lycées avaient donné leur accord. Triste et incompréhensible de la part de la CNIL qui semble bloquée au 20e siècle ».



Si la CNIL est bloquée au 20ème siècle c’est dire le travail immense requis pour inventer les débats du 21ème.

20 ans de crise d’adolescence c’est long, surtout vers la fin. <img data-src=" />


vizir67 Abonné
Le 02/03/2020 à 09h 19

et moi qui pensai :




  • que la Loi S’IMPOSER à TOUS !



    (on m’aurait menti ? ……………noonn ! ) <img data-src=" />


luckydu43
Le 02/03/2020 à 14h 32

Merci.