Reconnaissance faciale : première décision de justice

En lançant une expérimentation de reconnaissance faciale dans deux lycées, la région Paca a non seulement excédé ses pouvoirs mais également violé le règlement général sur la protection des données, a jugé le tribunal administratif de Marseille.

Par une délibération du 14 décembre 2018, la région Provence-Alpes-Côte d’Azur (Paca) a approuvé une convention tripartite d’expérimentation d’un dispositif de contrôle d’accès par reconnaissance faciale au sein de deux lycées de Marseille et Nice, et a autorisé son président à signer cette convention.Plusieurs associations ont saisi la justice administrative en vue de l’annulation de cette délibération.
Dans un jugement rendu le 27 février 2020, le tribunal administratif de Marseille relève que cette expérimentation comporte, d’une part, un volet « contrôle d’accès biométrique » concernant les personnes identifiées (lycéens) et, d’autre part, un volet « suivi de trajectoire » concernant les personnes identifiées et non identifiées (visiteurs occasionnels).
Une telle expérimentation, dont l’un des objectifs est le renforcement de la sécurité dans les établissements scolaires, relève ainsi non des missions d’accueil, d’hébergement ou d’entretien des lycées, à charge de la région, mais des missions d’encadrement et de surveillance des élèves, à charge des chefs d’établissements. En outre, la région Paca ne s’est pas bornée à munir les lycées des équipements litigieux mais a elle-même pris la décision d’initier cette expérimentation.Ce faisant, elle a excédé ses compétences, quand bien même les établissements scolaires retenus auraient donné leur consentement.
Par ailleurs, les juges du fond observent que la région a entendu justifier légalement le traitement de données biométriques en cause par le consentement préalable des lycéens concernés ou, dans le cas où ces derniers sont mineurs, par celui de leurs représentants légaux. Or, en se bornant à prévoir que ce consentement serait recueilli par la seule signature d’un formulaire, alors que le public visé se trouve dans une relation d’autorité à l’égard des responsables des établissements publics d’enseignement concernés, la région ne justifie pas avoir prévu des garanties suffisantes afin d’obtenir des lycéens ou de leurs représentants légaux qu’ils donnent leur consentement à la collecte de leurs données personnelles de manière libre et éclairée.
Enfin, le tribunal reproche à la région de ne pas établir ni faire valoir que les finalités poursuivies s’attachant à la fluidification et la sécurisation des contrôles à l’entrée des lycées concernés constituent un motif d’intérêt public ni même que ces finalités ne pourraient être atteintes de manière suffisamment efficace par des contrôles par badge, assortis, le cas échéant, de l’usage de la vidéosurveillance.
En conséquence, le TA juge que les requérantes sont fondées à soutenir que la délibération qu’elles contestent est entachée d’illégalité au regard de l’article 9 du règlement général sur la protection des données (RGPD).

– Tribunal administratif de Marseille, 9ème chambre, 27 février 2020 (n° 1901249), La Quadrature du net et a. – https://www.laquadrature.net/wp-content/uploads/sites/8/2020/02/1090394890_1901249.pdf
– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) – https://www.laquadrature.net/wp-content/uploads/sites/8/2020/02/1090394890_1901249.pdf