Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Reconnaissance faciale : le tribunal de Marseille vire les portiques virtuels de deux lycées

Dans ta face

Reconnaissance faciale : le tribunal de Marseille vire les portiques virtuels de deux lycées

Le 27 février 2020 à 14h08

Victoire pour la Ligue des droits de l’Homme et la Quadrature du Net. Le tribunal administratif de Marseille vient d’annuler pour excès de pouvoir la mise en place d’un système de reconnaissance faciale à l’entrée de deux lycées, l’un à Marseille l’autre à Nice.

Le 14 décembre 2018, était approuvée une convention tripartite d’expérimentation région-lycée-société Cisco International Limited. Son objet ? Mettre en place un contrôle facial à l’entrée de deux lycées, l’un à Marseille l’autre à Nice, accompagné d’un suivi de trajectoire.

Ce système de portique virtuel avait été attaqué par la Quadrature du Net, la Ligue des droits de l’Homme, la fédération des conseils des parents d’élèves des écoles publiques des Alpes-Maritimes et le syndicat CGT Educ’Action des Alpes-Maritimes. Et le tribunal administratif de Marseille vient d’accueillir favorablement leur demande.

Les motifs d’annulation de cette convention sont multiples. Certains tiennent aux règles de compétence.

Une région incompétente

Selon l’article L. 214 - 6 du Code de l’éducation, « la région assure l’accueil, la restauration, l’hébergement ainsi que l’entretien général et technique, à l’exception des missions d’encadrement et de surveillance des élèves, dans les établissements dont elle a la charge. »

Selon le tribunal administratif, « la région PACA ne s’est pas bornée à munir les lycées en cause des équipements de reconnaissance faciale (…) [elle] a elle-même pris la décision d’initier cette expérimentation ». Or, au regard cette fois de l’article R. 421 - 10 du même code, cette mission revient au seul chef d’établissement, à savoir celle de prendre « toutes dispositions, en liaison avec les autorités administratives compétentes, pour assurer la sécurité des personnes et des biens, l’hygiène et la salubrité de l’établissement. »

La région n’a pas seulement malmené le Code de l’éducation. Elle a aussi été en indélicatesse avec le règlement général sur la protection des données personnelles.

Non-respect du RGPD

La reconnaissance faciale opère un traitement biométrique par définition interdit par le RGPD, sauf cas particulier comme le consentement des personnes concernées.

En effet, les portiques ne visaient que les seuls lycéens ayant donné leur accord, au besoin par le biais de leurs parents s'agissant des mineurs. Toutefois, la Région s’était contentée du minimum syndical : un recueil de consentement « par la seule signature d’un formulaire, alors que le public visé se trouve dans une relation d’autorité à l’égard des responsables des établissements publics d’enseignement concernés », souligne le tribunal. 

Pour la juridiction, pas de doute : « la région ne justifie pas avoir prévu des garanties suffisantes afin d’obtenir des lycéens ou de leurs représentants légaux qu’ils donnent leur consentement à la collecte de leurs données personnelles de manière libre et éclairée ».

Un système disproportionné

Enfin, la Région a également échoué à passer le test de proportionnalité.

Elle n’établit pas que les finalités attachées à ces portiques virtuels et au suivi de personne « ne pourraient être atteintes de manière suffisamment efficace par des contrôles par badge, assortis, le cas échéant, de l’usage de la vidéosurveillance ».

Pour mémoire, la CNIL avait émis les mêmes critiques dans sa lettre diffusée par Next INpact. Dans ce courrier, Marie-Laure Denis, présidente de la commission, avait relevé qu’« à la différence d’un badge perdu ou détourné, la perte ou le détournement d’une donnée biométrique fait peser un risque majeur pour la personne concernée », au motif qu’elle reste « attachée à son identité, mais ne peut, contrairement à un badge ou un mot de passe, être révoquée ».

Cette missive avait été fusillée par Christian Estrosi, Éric Ciotti et Renaud Muselier qui dépeignaient en chœur une décision fruit d’une « idéologie poussiéreuse », « tout à fait regrettable », « basée sur des principes dépassés », « d’un autre temps ». 

Commentaires (26)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







fofo9012 a écrit :



Comment fonctionne la reconnaissance faciale c’est purement logiciel ? Ne peut-on pas avoir un système qui isole la donnée biométrie de son utilisation ?







Cela ne change rien. Cela reste de la biométrie.


votre avatar
votre avatar

Nan mais si on doit suivre les décisions de justice, où va-t-on ?

(y a plein de trucs vraiment magiques dans cet article, d’ailleurs <img data-src=" /> )

votre avatar

Ce qui est marrant, c’est qu’on peut lire la même argumentation dans les commentaires ici sur des articles relatant de travaux législatifs contestés. <img data-src=" />

votre avatar







uzak a écrit :



Le principal souci, c’est qu’ils sont majoritairement mineurs, et dans un contexte hiérarchique <img data-src=" />



Je trouve intéressant que la justice ait retenu ce contexte, surtout envers les parents où c’est moins évident à première vue, mais bien réel.



Ceci peut d’ailleurs s’appliquer à beaucoup d’administrations. On parle souvent d’abus de position dominante dans le privé, mais dans le public il y en a pas mal aussi, avec beaucoup d’acteurs ayant chacun leur monopole.


votre avatar



Victoire pour la Ligue des droits de l’Homme et la Quadrature du Net





Bravo à eux <img data-src=" /> , les contre pouvoirs étant malmenés aux heures sombres de Macron, ces associations citoyennes sont une cure d’intelligence salvatrice, au milieu d’un pays toujours plus médiocrement aristocratique <img data-src=" />

votre avatar

« Cette décision basée sur des principes dépassés, poursuit-il, intervient alors même que les deux conseils d’administration des lycées avaient donné leur accord. Triste et incompréhensible de la part de la CNIL qui semble bloquée au 20e siècle ».



Si la CNIL est bloquée au 20ème siècle c’est dire le travail immense requis pour inventer les débats du 21ème.

20 ans de crise d’adolescence c’est long, surtout vers la fin. <img data-src=" />

votre avatar

et moi qui pensai :




  • que la Loi S’IMPOSER à TOUS !



    (on m’aurait menti ? ……………noonn ! ) <img data-src=" />

votre avatar

Merci.

votre avatar







Inny a écrit :



Pan dans l’œil. <img data-src=" />



ce sont des GJ? <img data-src=" />


votre avatar

Donc si c’est le chef d’établissement qui prend cette initiative, qu’il recueille le consentement des volontaires de manière plus efficace (comment ?), et qu’on leur donne un badge en supplément (au cas où les élèves perdrait un oeil ou une main), ça pourrait finalement se faire ?

votre avatar

Enfin. Bonne nouvelle.

votre avatar

+1



Attention aux réponses furibonde de messieurs Estrosi et Ciotti dans les jours à venir. Sortez le popcorn.

votre avatar







Jarodd a écrit :



Donc si c’est le chef d’établissement qui prend cette initiative, qu’il recueille le consentement des volontaires de manière plus efficace (comment ?), et qu’on leur donne un badge en supplément (au cas où les élèves perdrait un oeil ou une main), ça pourrait finalement se faire ?





Vidéosurveillance != reconnaissance faciale.


votre avatar

un recueil de consentement «&nbsp;par la seule signature d’un formulaire&nbsp;» pose problème ?



&nbsp;Il faut qu’ils recopient un paragraphe manuscrit ?&nbsp;<img data-src=" />

votre avatar







JD a écrit :



Vidéosurveillance != reconnaissance faciale.





bah il indique un autre facteur d’identification au cas où le premier serait inopérant (la reconnaissance faciale dans le cas de la news) et le fond de sa remarque est que, si c’est la commune/la région qui pousse le truc en mode bourrin, c’est mal, alors que si ça avait été l’établissement lui-même avec l’accord des élèves, ça aurait pu passer (en fait il pose la question).

Sa question n’est pas un “quoi ?” mais un “venant de qui ?”



En lien avec ce passage de l’article, je pense :



Selon le tribunal administratif, « la région PACA ne s’est pas bornée à munir les lycées en cause des équipements de reconnaissance faciale (…) [elle] a elle-même pris la décision d’initier cette expérimentation ». Or, au regard cette fois de l’article R. 421-10 du même code, cette mission revient au seul chef d’établissement, à savoir celle de prendre « toutes dispositions, en liaison avec les autorités administratives compétentes, pour assurer la sécurité des personnes et des biens, l’hygiène et la salubrité de l’établissement. »





Du coup, je ne comprends pas ta réponse. (au sens, je ne vois pas le rapport avec la vidéo surveillance)


votre avatar

L’article précise :



Elle n’établit pas que les finalités attachées à ces portiques virtuels et au suivi de personne « ne pourraient être atteintes de manière suffisamment efficace par des contrôles par badge, assortis, le cas échéant, de l’usage de la vidéosurveillance ».

Donc que cela vienne de la région ou d’un chef d’établissement, la reconnaissance faciale est disproportionnée. Le TA explique qu’un contrôle par badge + vidéosurveillance est suffisant. Et c’est pour cela que je précisais que : vidéosurveillance != reconnaissance faciale.

votre avatar

Ça ne corrigerais toujours pas le troisième point : « un système disproportionné ».

votre avatar

Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque. Pour respecter ce cadre, il suffit de se référer aux explications de la CNIL, Conformité RGPD : comment recueillir le consentement des personnes ?

Un simple formulaire : OUI/NON ne respecte pas ce cadre.

votre avatar

Il faut que la finalité soit proportionnée à l’objectif et visiblement on peut avoir le même résultat en utilisant des mesures beaucoup moins invasives que celles-ci.

votre avatar







Next Inpact a écrit :



Cette missive avait été fusillée par Christian Estrosi, Éric Ciotti et Renaud Muselier qui dépeignaient en chœur une décision fruit d’une « idéologie poussiéreuse », « tout à fait regrettable », « basée sur des principes dépassés », « d’un autre temps ».



La non-argumentation classique dans ce genre de cas… On dirait un ado qui répond à ses parents, le langage soutenu en sus.


votre avatar

Oh mais attends quelques jours tu y auras droit encore.



Ces messieurs s’offusquerons que la Justice les empêche tester un dispositif permettant de protéger efficacement les enfants.



Ils n’ont qu’a faire les cobayes eux même pour leur expérimentation et donner l’exemple pour une fois.

votre avatar

ah…SI les sociétés respectaient le ‘RGPD’ :

(https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-pe… )

..ce serait SUPER !!!

tout est prévu (AV. de démarcher) <img data-src=" />



mais entre la théorie, ET la pratique……………..<img data-src=" />

votre avatar







l’article a écrit :



la différence d’un badge perdu ou détourné, la perte ou le détournement d’une donnée biométrique fait peser un risque majeur pour la personne concernée







Normalement la donnée biométrique n’est jamais utilisée directement mais sert de secret pour un certificat clé privée / publique. Certificat classique qui peut être révoqué sans problème.



Sur un capteur d’empreinte de téléphone ou de PC par ex le “doigt débloque” la puce de sécurité qui se charge des chiffrements, normalement l’applicatif ne voit jamais l’empreinte directement.



Au pire sans puce de sécurité, il suffit que le lecteur ajoute son sel pour que l’empreinte ne soit pas utilisée directement.

À la place le couple empreinte/ capteur sert de clé (en gros si on usurpe ton empreinte sur un capteur tu peux utiliser ton doigt sans risque sur un autre capteur: il est plus simple de détruire le capteur que le doigt :-) )



Comment fonctionne la reconnaissance faciale c’est purement logiciel ? Ne peut-on pas avoir un système qui isole la donnée biométrie de son utilisation ?


votre avatar







wagaf a écrit :



un recueil de consentement « par la seule signature d’un formulaire » pose problème ?



 Il faut qu’ils recopient un paragraphe manuscrit ? <img data-src=" />





Le principal souci, c’est qu’ils sont majoritairement mineurs, et dans un contexte hiérarchique <img data-src=" />


votre avatar

Pan dans l’œil. <img data-src=" />

Reconnaissance faciale : le tribunal de Marseille vire les portiques virtuels de deux lycées

  • Une région incompétente

  • Non-respect du RGPD

  • Un système disproportionné

Fermer