Victoire pour la Ligue des droits de l’Homme et la Quadrature du Net. Le tribunal administratif de Marseille vient d’annuler pour excès de pouvoir la mise en place d’un système de reconnaissance faciale à l’entrée de deux lycées, l’un à Marseille l’autre à Nice.
Le 14 décembre 2018, était approuvée une convention tripartite d’expérimentation région-lycée-société Cisco International Limited. Son objet ? Mettre en place un contrôle facial à l’entrée de deux lycées, l’un à Marseille l’autre à Nice, accompagné d’un suivi de trajectoire.
Ce système de portique virtuel avait été attaqué par la Quadrature du Net, la Ligue des droits de l’Homme, la fédération des conseils des parents d’élèves des écoles publiques des Alpes-Maritimes et le syndicat CGT Educ’Action des Alpes-Maritimes. Et le tribunal administratif de Marseille vient d’accueillir favorablement leur demande.
Les motifs d’annulation de cette convention sont multiples. Certains tiennent aux règles de compétence.
Une région incompétente
Selon l’article L. 214-6 du Code de l’éducation, « la région assure l’accueil, la restauration, l’hébergement ainsi que l’entretien général et technique, à l’exception des missions d’encadrement et de surveillance des élèves, dans les établissements dont elle a la charge. »
Selon le tribunal administratif, « la région PACA ne s’est pas bornée à munir les lycées en cause des équipements de reconnaissance faciale (…) [elle] a elle-même pris la décision d’initier cette expérimentation ». Or, au regard cette fois de l’article R. 421-10 du même code, cette mission revient au seul chef d’établissement, à savoir celle de prendre « toutes dispositions, en liaison avec les autorités administratives compétentes, pour assurer la sécurité des personnes et des biens, l’hygiène et la salubrité de l’établissement. »
La région n’a pas seulement malmené le Code de l’éducation. Elle a aussi été en indélicatesse avec le règlement général sur la protection des données personnelles.
Non-respect du RGPD
La reconnaissance faciale opère un traitement biométrique par définition interdit par le RGPD, sauf cas particulier comme le consentement des personnes concernées.
En effet, les portiques ne visaient que les seuls lycéens ayant donné leur accord, au besoin par le biais de leurs parents s'agissant des mineurs. Toutefois, la Région s’était contentée du minimum syndical : un recueil de consentement « par la seule signature d’un formulaire, alors que le public visé se trouve dans une relation d’autorité à l’égard des responsables des établissements publics d’enseignement concernés », souligne le tribunal.
Pour la juridiction, pas de doute : « la région ne justifie pas avoir prévu des garanties suffisantes afin d’obtenir des lycéens ou de leurs représentants légaux qu’ils donnent leur consentement à la collecte de leurs données personnelles de manière libre et éclairée ».
Un système disproportionné
Enfin, la Région a également échoué à passer le test de proportionnalité.
Elle n’établit pas que les finalités attachées à ces portiques virtuels et au suivi de personne « ne pourraient être atteintes de manière suffisamment efficace par des contrôles par badge, assortis, le cas échéant, de l’usage de la vidéosurveillance ».
Pour mémoire, la CNIL avait émis les mêmes critiques dans sa lettre diffusée par Next INpact. Dans ce courrier, Marie-Laure Denis, présidente de la commission, avait relevé qu’« à la différence d’un badge perdu ou détourné, la perte ou le détournement d’une donnée biométrique fait peser un risque majeur pour la personne concernée », au motif qu’elle reste « attachée à son identité, mais ne peut, contrairement à un badge ou un mot de passe, être révoquée ».
Cette missive avait été fusillée par Christian Estrosi, Éric Ciotti et Renaud Muselier qui dépeignaient en chœur une décision fruit d’une « idéologie poussiéreuse », « tout à fait regrettable », « basée sur des principes dépassés », « d’un autre temps ».
Commentaires (26)
Pan dans l’œil.
" />
Donc si c’est le chef d’établissement qui prend cette initiative, qu’il recueille le consentement des volontaires de manière plus efficace (comment ?), et qu’on leur donne un badge en supplément (au cas où les élèves perdrait un oeil ou une main), ça pourrait finalement se faire ?
Enfin. Bonne nouvelle.
+1
Attention aux réponses furibonde de messieurs Estrosi et Ciotti dans les jours à venir. Sortez le popcorn.
un recueil de consentement « par la seule signature d’un formulaire » pose problème ?
" />
Il faut qu’ils recopient un paragraphe manuscrit ?
L’article précise :
Elle n’établit pas que les finalités attachées à ces portiques virtuels et au suivi de personne « ne pourraient être atteintes de manière suffisamment efficace par des contrôles par badge, assortis, le cas échéant, de l’usage de la vidéosurveillance ».
Donc que cela vienne de la région ou d’un chef d’établissement, la reconnaissance faciale est disproportionnée. Le TA explique qu’un contrôle par badge + vidéosurveillance est suffisant. Et c’est pour cela que je précisais que : vidéosurveillance != reconnaissance faciale.
Ça ne corrigerais toujours pas le troisième point : « un système disproportionné ».
Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque. Pour respecter ce cadre, il suffit de se référer aux explications de la CNIL, Conformité RGPD : comment recueillir le consentement des personnes ?
Un simple formulaire : OUI/NON ne respecte pas ce cadre.
Il faut que la finalité soit proportionnée à l’objectif et visiblement on peut avoir le même résultat en utilisant des mesures beaucoup moins invasives que celles-ci.
Oh mais attends quelques jours tu y auras droit encore.
Ces messieurs s’offusquerons que la Justice les empêche tester un dispositif permettant de protéger efficacement les enfants.
Ils n’ont qu’a faire les cobayes eux même pour leur expérimentation et donner l’exemple pour une fois.
ah…SI les sociétés respectaient le ‘RGPD’ :
" />
" />
(https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-pe… )
..ce serait SUPER !!!
tout est prévu (AV. de démarcher)
mais entre la théorie, ET la pratique……………..
La region does not give a fuck…
Paca : Malgré l’interdiction par la justice, la région n’envisage pas « l’abandon » de la reconnaissance faciale aux abords des lycées.
Nan mais si on doit suivre les décisions de justice, où va-t-on ?
" /> )
(y a plein de trucs vraiment magiques dans cet article, d’ailleurs
Ce qui est marrant, c’est qu’on peut lire la même argumentation dans les commentaires ici sur des articles relatant de travaux législatifs contestés.
" />
Victoire pour la Ligue des droits de l’Homme et la Quadrature du Net
Bravo à eux
« Cette décision basée sur des principes dépassés, poursuit-il, intervient alors même que les deux conseils d’administration des lycées avaient donné leur accord. Triste et incompréhensible de la part de la CNIL qui semble bloquée au 20e siècle ».
" />
Si la CNIL est bloquée au 20ème siècle c’est dire le travail immense requis pour inventer les débats du 21ème.
20 ans de crise d’adolescence c’est long, surtout vers la fin.
et moi qui pensai :
(on m’aurait menti ? ……………noonn ! )
Merci.