Victoire pour la Ligue des droits de l’Homme et la Quadrature du Net. Le tribunal administratif de Marseille vient d’annuler pour excès de pouvoir la mise en place d’un système de reconnaissance faciale à l’entrée de deux lycées, l’un à Marseille l’autre à Nice.
Le 14 décembre 2018, était approuvée une convention tripartite d’expérimentation région-lycée-société Cisco International Limited. Son objet ? Mettre en place un contrôle facial à l’entrée de deux lycées, l’un à Marseille l’autre à Nice, accompagné d’un suivi de trajectoire.
Ce système de portique virtuel avait été attaqué par la Quadrature du Net, la Ligue des droits de l’Homme, la fédération des conseils des parents d’élèves des écoles publiques des Alpes-Maritimes et le syndicat CGT Educ’Action des Alpes-Maritimes. Et le tribunal administratif de Marseille vient d’accueillir favorablement leur demande.
Les motifs d’annulation de cette convention sont multiples. Certains tiennent aux règles de compétence.
Une région incompétente
Selon l’article L. 214-6 du Code de l’éducation, « la région assure l’accueil, la restauration, l’hébergement ainsi que l’entretien général et technique, à l’exception des missions d’encadrement et de surveillance des élèves, dans les établissements dont elle a la charge. »
Selon le tribunal administratif, « la région PACA ne s’est pas bornée à munir les lycées en cause des équipements de reconnaissance faciale (…) [elle] a elle-même pris la décision d’initier cette expérimentation ». Or, au regard cette fois de l’article R. 421-10 du même code, cette mission revient au seul chef d’établissement, à savoir celle de prendre « toutes dispositions, en liaison avec les autorités administratives compétentes, pour assurer la sécurité des personnes et des biens, l’hygiène et la salubrité de l’établissement. »
La région n’a pas seulement malmené le Code de l’éducation. Elle a aussi été en indélicatesse avec le règlement général sur la protection des données personnelles.
Non-respect du RGPD
La reconnaissance faciale opère un traitement biométrique par définition interdit par le RGPD, sauf cas particulier comme le consentement des personnes concernées.
En effet, les portiques ne visaient que les seuls lycéens ayant donné leur accord, au besoin par le biais de leurs parents s'agissant des mineurs. Toutefois, la Région s’était contentée du minimum syndical : un recueil de consentement « par la seule signature d’un formulaire, alors que le public visé se trouve dans une relation d’autorité à l’égard des responsables des établissements publics d’enseignement concernés », souligne le tribunal.
Pour la juridiction, pas de doute : « la région ne justifie pas avoir prévu des garanties suffisantes afin d’obtenir des lycéens ou de leurs représentants légaux qu’ils donnent leur consentement à la collecte de leurs données personnelles de manière libre et éclairée ».
Un système disproportionné
Enfin, la Région a également échoué à passer le test de proportionnalité.
Elle n’établit pas que les finalités attachées à ces portiques virtuels et au suivi de personne « ne pourraient être atteintes de manière suffisamment efficace par des contrôles par badge, assortis, le cas échéant, de l’usage de la vidéosurveillance ».
Pour mémoire, la CNIL avait émis les mêmes critiques dans sa lettre diffusée par Next INpact. Dans ce courrier, Marie-Laure Denis, présidente de la commission, avait relevé qu’« à la différence d’un badge perdu ou détourné, la perte ou le détournement d’une donnée biométrique fait peser un risque majeur pour la personne concernée », au motif qu’elle reste « attachée à son identité, mais ne peut, contrairement à un badge ou un mot de passe, être révoquée ».
Cette missive avait été fusillée par Christian Estrosi, Éric Ciotti et Renaud Muselier qui dépeignaient en chœur une décision fruit d’une « idéologie poussiéreuse », « tout à fait regrettable », « basée sur des principes dépassés », « d’un autre temps ».
