En plein débat sur la reconnaissance faciale, la Cnil rappelle que l’on ne peut pas faire n’importe quoi. Elle vient de juger illégale l’expérimentation de reconnaissance faciale devant des lycées de Nice et de Marseille. Pour mémoire, le conseil régional, présidé par Renaud Muselier, a proposé en décembre 2018 d’équiper les lycées Les Eucalyptus à Nice et Ampère à Marseille d’un système de « portiques virtuels » associant « des moyens classiques d’identification à un dispositif biométrique utilisant des technologies de comparaison faciale », pour contrôler l'entrée dans les établissements. Cette expérimentation était entièrement financée par Cisco.
En février 2019, plusieurs associations dont la Quadrature du Net, la Ligue des droits de l’Homme, la CGT Educ’Action des Alpes Maritimes et la FCPE ont déposé un recours devant le tribunal administratif pour annuler la délibération portant sur l’expérimentation. En parallèle, la Cnil a été saisie par le conseil régional PACA de l’affaire et vient de rendre sa décision.
Le principe de proportionnalité n’est pas respecté
Pour le régulateur des données personnelles, le principe de proportionnalité n’est pas respecté en la matière. « Les dispositifs de reconnaissance faciale envisagés, quand bien même ceux-ci seraient mis en œuvre à titre expérimental et reposeraient sur le consentement des élèves, pour contrôler l’accès à deux lycées de votre région, ne sont pas conformes aux principes de proportionnalité », constate la Cnil. Cette dernière observe que pour atteindre l’objectif de sécurité, il existe d’autres moyens moins intrusifs pour la vie privée et les libertés individuelles comme « la présence de surveillants à l’entrée des lycées » ou « un contrôle par badge ». La Commission évoque par ailleurs le RGPD et « la minimisation des données » pour déclarer cette expérimentation contraire à ces dispositions.
La reconnaissance faciale est devenue un sujet important pour la Cnil avec différentes initiatives qui sont sous les feux de l’actualité. Au premier rang, il y a Alicem qui prévoit un système d’authentification numérique à base de biométrie. Le régulateur avait émis des réserves dans le projet de décret sur l’absence d’alternatives à la reconnaissance faciale. Il avait exprimé aussi le souhait de voir la conservation des traces des accès passer d’une durée de 7 ans à 6 mois. La reconnaissance faciale est également présente sur PARAFE, le contrôle des passeports à la frontière, notamment dans les aéroports. La Cnil a donc du pain sur la planche pour fixer un cadre clair sur cette méthode d’authentification décriée.