« ...le formidable essor d’internet, des réseaux sociaux et des plateformes numériques interroge toujours notre capacité à placer ces technologies au service de la collectivité, sans porter une atteinte excessive ou irréversible à certains droits fondamentaux ou intérêts légitimes publics ou privés... » (1)

Le 19 février 2019, la Ligue des droits de l’Homme (LDH) avec la Quadrature du Net, la CGT Educ’Action des Alpes-Maritimes et la Fédération des conseils de parents d’élèves (FCPE) des écoles publiques des Alpes-Maritimes ont déposé un recours devant le tribunal administratif de Marseille. Les requérants demandaient l’annulation de la délibération n°18-893 du Conseil Régional Sud (Provence-Alpes Côte d’Azur (PACA)) en date du 14 Décembre 2018. Ladite délibération avait d’une part, lancé l’expérimentation du dispositif de contrôle d’accès virtuel dans les lycées « Ampère » (Marseille) et « Les Eucalyptus » (Nice) et, d’autre part, approuvé la convention tripartite d’expérimentation conclue avec la société Cisco International Limited et chacun des deux lycées et autorisé le président de la région PACA à les signer.
Cette expérimentation reposait sur le volontariat des lycéens, qui étaient soumis à l’entrée de l’établissement à des contrôles d’accès virtuels.
Par un jugement rendu ce 27 février (2), le tribunal administratif a reconnu la pertinence des requêtes et a décidé d’annuler cette délibération.
La reconnaissance faciale est une technique permettant, à partir des traits du visage, soit d’authentifier une personne, c’est-à-dire « vérifier qu’une personne est bien celle qu’elle prétend être » ou d’identifier une personne, c’est-à-dire de « retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données » (3)
Face à l’absence de cadre juridique applicable à la reconnaissance faciale, la Commission Nationale Informatique et Libertés (CNIL) a appelé le 19 Septembre 2018, à la tenue d’un débat démocratique sur les nouveaux usages des caméras vidéos.
Saisie d’une demande de conseil par la région PACA, dans le cadre de cette expérimentation, la CNIL, réunie en séance plénière le 17 Octobre 2019 a, dans un avis très négatif (4), considéré que ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’apparaissait ni nécessaire, ni proportionné pour atteindre ces finalités (5). En effet, selon la CNIL, les objectifs assignés à ce dispositif, à savoir la sécurisation et la fluidification des entrées dans ces lycées pouvaient être atteints par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles. Elle a également mis l’accent sur le caractère intrusif de tels dispositifs et les risques pour les droits et libertés individuelles, surtout pour des mineurs.
Se prononçant sur la légalité de la délibération n°18-893 du 14 Décembre 2018, les juges du Tribunal administratif de Marseille ont caractérisé le dépassement de compétences du Conseil Régional (I) et la non conformité aux exigences de l’article 9 du RGPD (II).

I- A tes prérogatives, tu te limiteras ou d’incompétence, ta délibération tu entacheras !

La sécurité dans les établissements scolaires relève t’elle des compétences dévolues au Conseil régional ?
La réponse à cette question est apportée par deux articles du Code de l’éducation, rappelés par les juges du Tribunal administratif de Marseille.
Selon les articles L.214-6 (6) et R.421-10, 3° (7) lus ensemble, l’encadrement et la surveillance des élèves et plus encore la sécurité des personnes et des biens, l’hygiène et la salubrité relèvent des pouvoirs du chef d’établissement, représentant de l’État au sein de l’établissement.
D’un point de vue purement fonctionnel, un dispositif dont la mission consiste en un renforcement de la sécurité dans les établissements scolaires relève des missions d’encadrement et de surveillance, dévolus au titre de l’article R.421-10, 3° du Code de l’éducation au chef d’établissement.
En ce qui concerne la mise en place d’un tel processus, les juges ont réfuté l’argument de la région PACA selon lequel cette dernière se serait contentée de munir lesdits lycées des équipements de reconnaissance faciale et/ou proposé l’adoption du dispositif. Ils ont retenu un rôle actif de la région qui aurait « elle-même pris la décision d’initier cette expérimentation », empiétant ainsi sur des compétences reconnues aux chefs d’établissements desdits lycées
Ce faisant, « les requérants sont fondés à soutenir que la délibération litigieuse est entachée d’incompétence ».


II- Un consentement « libre, spécifique, univoque et éclairé »* obligatoirement tu recueilleras!

L’article 6 de la loi Informatique et Libertés (8) et l’article 9 du Règlement Général sur la Protection des données (RGPD) (9) posent le principe de l’interdiction du traitement des données à caractère personnel portant sur des données biométriques au fins d’identifier une personne physique. Par exception cependant, un tel traitement est autorisé, notamment, lorsque les personnes concernées y ont consenti, de façon explicite, ou lorsqu’il est nécessaire pour des motifs d’intérêt public (Article 9 -2, a) et g) du RGPD).
Le consentement, nécessaire au traitement des données sensibles, dont les données biométriques, se définit comme « toute manifestation de volonté, libre, spécifique, éclairé et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Il est soumis à des conditions précisées à l’article 7 du RGPD, en ses points 1 et 2.
Ces points de droit rappelés, les juges ont émis des réserves quant au caractère libre et éclairé du consentement des lycéens et de leurs représentants légaux, lorsque ceux-ci étaient mineurs. Selon les juges en effet, le recueil du consentement par un formulaire signé ne fournissait pas des garanties nécessaires compte tenu de la relation d’autorité avec les chefs d’établissements. Ce faisant, un consentement libre et éclairé, ne pouvait être caractérisé en l’espèce.
Abordant l’exception relative au motif d’intérêt public, les juges ont constaté que « la région PACA n’établit ni ne fait valoir que les finalités poursuivies s’attachant à la fluidification et la sécurisation des contrôles à l’entrée des lycées concernés constituent un motif d’intérêt public, ni même que ces finalités ne pourraient être atteintes de manière suffisamment efficace par des contrôles par badge, assortis, le cas échéant, de l’usage de la vidéosurveillance ». Ce faisant, le défendeur de l’espèce, la Région PACA ne pouvait non plus invoquer à son avantage l’exception du motif d’intérêt public, ceci d’autant plus que du point de vue de la proportionnalité, il existait des moyens moins intrusifs et liberticides pour atteindre l’objectif poursuivi.
Ayant invalidé et le consentement pour non conformité aux conditions légales et le motif d’intérêt public, les juges ont reconnu les demanderesses « fondées à soutenir que la délibération qu’elles contestent est entachée d’illégalité au regard de l’article 9 du règlement général sur la protection des données. »

Cet arrêt est le premier du genre au sujet de la reconnaissance faciale en France. Il se place cependant dans la même lignée que l’avis consultatif rendu par la CNIL au sujet de cette expérimentation.
------------------------------------------------------------------------------------------------------------------------
(1) Jean-Marc SAUVE, La protection des droits fondamentaux à l’ère du numérique, Intervention lors de la remise des prix de Thèses de la Fondation Varenne, 12 Décembre 2017 ;
(2) https://cutt.ly/sr7BF9w
(3) CNIL, Reconnaissance faciale, https://cutt.ly/qr7BFWR.
(4) « Un avis si négatif de la part de la CNIL, c’est très rare, j’ai rarement vu ça », Me Thierry Vallat, avocat au barreau de Paris spécialisé en droit numérique , https://cutt.ly/9r50uJ9 Consulté le 29/02/20 ;
(5) Expérimentation de la reconnaissance faciale dans deux lycées : la CNIL précise sa position ,https://cutt.ly/hr70f8E; Consulté le 29/02/20
(6) Article L.214-6 du Code de l’éducation : « La région assure l’accueil, la restauration, l’hébergement ainsi que l’entretien général et technique, à l’exception des missions d’encadrement et de surveillance des élèves, dans les établissements dont elle a la charge.»
(7) Article R.421-10, 3° du Code de l’éducation : « En qualité de représentant de l’État au sein de l’établissement, le chef d’établissement : / (…) 3° Prend toutes dispositions, en liaison avec les autorités administratives compétentes, pour assurer la sécurité des personnes et des biens, l’hygiène et la salubrité de l’établissement ; (…) ».
(8) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
(9) Règl. (UE) 2016/679 du Parlement européen et du Conseil du 27 Avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)