Par Amanda Dubarry et Jean-Edouard Poux
Si la reconnaissance faciale tend à se généraliser, il n’en demeure pas moins qu’elle est strictement encadrée par la loi et que son utilisation, même pour lutter contre le terrorisme, ne peut se faire en l’absence de dispositions légales ou réglementaires spécifiques.
Le système de reconnaissance faciale utilisé hors cadre légal
Le 18 février 2020, la Commission nationale de l’informatique et des libertés (ci-après CNIL) a adressé un carton jaune au FC Metz. Le club de football lorrain a en effet reçu un avertissement pour avoir expérimenté, à l’intérieur de son stade et hors de tout cadre légal, un système de reconnaissance faciale. Ce dispositif, qui avait notamment pour objectif d’identifier automatiquement les personnes faisant l’objet d’une interdiction commerciale de stade[1] et de lutter contre le terrorisme, contrevenait en effet aux dispositions issues du Règlement général sur la protection des données du 27 avril 2016 (RGPD) et de la loi dite « informatique et libertés » du 6 janvier 1978.
L’affaire prend sa source dans plusieurs signalements effectués auprès de La CNIL, probablement à la suite d’un article de presse et de la forte médiatisation qui s’en est suivi[2]. En effet, Olivier Tesquet, journaliste spécialisé dans les questions numériques avait révélé, au détour d’une interview, que la Start-Up messine Two-I, qui développe des outils permettant de détecter des émotions, avait testé son dispositif au stade Saint-Symphorien. Dès lors, la CNIL a décidé de se rendre sur place afin de procéder à un contrôle sur l’usage de cette technologie de reconnaissance faciale.
L'interdiction par le RGPD de la collecte et l'utilisation des données sensibles
Au terme de son contrôle, et après avoir analysé les caractéristiques du dispositif litigieux, la CNIL établissait que l’outil développé par Two-I « reposait sur le traitement de données biométriques ». Autrement-dit, cette technologie s’appliquait à reconnaitre des caractéristiques physiques permettant d’identifier une personne.
Pour sa défense, outre l’identification des personnes faisant l’objet d’une interdiction commerciale de stade, le FC Metz justifiait cette expérimentation dans l’objectif de permettre la détection des objets abandonnés mais aussi dans le cadre de la lutte contre le terrorisme.
Cependant, comme le rappelle la CNIL, « la collecte et l’utilisation de ces données sensibles est, sauf exceptions, interdite par le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés ».
En effet, sauf exceptions strictement encadrées, l’article 9-1 du RGPD dispose que « le traitement […] des données biométriques aux fins d’identifier une personne physique de manière unique » est interdit.
Pareillement, l’article 6-1 de la loi relative à l’informatique et aux libertés prévoit qu’il « est interdit de traiter des données […] des données biométriques aux fins d'identifier une personne physique de manière unique ».
Certes, les articles L. 332-1 et R. 332-14 et suivants du code du sport acceptent le traitement de données à caractère personnel mais uniquement dans des cas explicitement prévus. Or, en l’absence de dispositions légales spécifiques, l’utilisation de cette technologie dans le cadre de la lutte contre le terrorisme est illicite.
Par conséquent, la présidente de la CNIL a délivré un avertissement[3] au FC Metz en lui indiquant que dans l’hypothèse où ce dispositif serait finalement mis en œuvre, « il s’exposera à l’une ou plusieurs des mesures correctrices prévues par le RGPD et la loi Informatique et Libertés, y compris une sanction pécuniaire ».
Si le raisonnement de la CNIL est implacable, on peut toutefois s’étonner de la relative mansuétude de cette décision. En effet, il est probable qu’un simple avertissement ne dissuade pas ceux qui souhaitent, hors de tout cadre légal, expérimenter ce genre de dispositifs.
Le cabinet HAAS Avocats est spécialisé depuis plus de 20 ans dans la protection des données personnelles et se tient à vos côtés pour vous accompagner dans la conformité de vos traitements de données. Pour en savoir plus, contactez-nous ici.
[1] Prévue à l’article L. 332-1 du code du sport.
[2] En effet, il est probable que ces signalements soient consécutifs à un article publié par le site Streetpress le 21 janvier 2021, dans lequel il était fait mention que la startup Two-I avait « testé leur dispositif au stade de football de Metz ». Par la suite, de nombreux journaux ont repris l’information. Cf. C-C. GARNIER, « Reconnaissance faciale, fichage généralisé et géolocalisation à notre insu débarquent en France », Streetpress, 21 janv. 2020, [en ligne]. V. également, C. JOUGLEUX, « Reconnaissance faciale : à quoi joue le FC Metz », Le Républicain Lorrain, 22 janv. 2020, [en ligne]
[3] L’avertissement, prévu à l’article 20, I de la loi relative à l’informatique, aux fichiers et aux libertés ne constitue pas une sanction mais une « mesure correctrice ». Ainsi, la présidente de la CNIL peut avertir un organisme que le traitement de données qu’il envisage, à un stade où celui-ci n’est pas encore opérationnel, est susceptible de méconnaître les textes applicables. Il ne s’agit donc pas d’une sanction, mais d’une mesure visant à éviter, à titre préventif, le déploiement du dispositif.