Invalidation d’un dispositif de reconnaissance faciale dans des lycées par le juge administratif

Dans un jugement du 27 février 2020, le tribunal administratif de Marseille a annulé pour excès de pouvoir la délibération n°18-893 du conseil régional de Provence-Alpes-Côte d’Azur.

En effet, cette délibération a approuvé la mise en place d’un dispositif de contrôle d’accès dans deux Lycées de la région PACA par comparaison faciale et suivi de trajectoire.

Le tribunal estime notamment que la délibération de la région PACA est entachée d’incompétence, en ce qu’elle excède le champ des missions qui lui sont attribuées par les textes. En effet, en vertu du code de l’éducation, la mission d’assurer la sécurité des personnes dans les lycées relève du chef d’établissement et non de la région.

De plus, le traitement de données biométriques est par principe interdit (article 9§1 du RGPD). S’il existe des exceptions, le respect des conditions de ces dernières doit être soigneusement justifié et documenté. Il s’agit notamment du consentement des personnes, pour une finalité spécifique, ou encore de la justification d’un intérêt public important, au sens du droit national ou européen, dès lors que le traitement est nécessaire et proportionné à l’objectif poursuivi (Article 9§2 du RGPD).

Le tribunal a jugé que la région, en recueillant le consentement par la seule signature d’un formulaire, alors que le public visé se trouvait dans une relation d’autorité à l’égard des responsables d’établissement, n’a pas prévu des garanties suffisantes pour assurer la validité du consentement donné. C’est notamment l’absence de caractère « libre » du consentement que reproche le juge administratif.

En ce qui concerne le motif d’intérêt public, celui-ci est insuffisamment justifié, tout comme la nécessité et la proportionnalité du traitement. En conséquence, le tribunal en conclut que la délibération est entachée d’illégalité au regard de l’article 9 du règlement général sur la protection des données. Elle est annulée en ce qu’elle a lancé l’expérimentation dans deux lycées de la région PACA (à Nice et Marseille).

Il est ainsi fondamental de documenter et de justifier, par la rédaction d’une étude d’impact, la mise en place des expérimentations ou dispositifs intrusifs au plan des données personnelles, tels les dispositifs biométriques, que l’on soit une entreprise ou une collectivité territoriale. Il est également impératif de mettre en place les garanties juridiques nécessaires afin d’assurer la licéité des traitements sensibles. Au delà des éventuelles sanctions financières, la conformité au RGPD est un enjeu en terme de réputation et de confiance pour les clients ou usagers.

Le Cabinet vous assiste dans l’élaboration et l’analyse de vos études d’impact, et vous conseille pour assurer la licéité de vos traitements.

PIA, mode d’emploi

L’article 35 du RGPD fixe les critères pour déterminer le caractère obligatoire ou non d’une analyse d’impact relative à la protection des données (ou Privacy Impact Assessment). Toutefois, leur caractère général sème parfois le trouble dans l’esprit des responsables de traitement, qui peuvent avoir des difficultés pour les appliquer à des cas concrets. C’est notamment les notions de risque élevé et de grande échelle qui posent parfois difficulté aux praticiens.

Or, les conséquences de ces incertitudes peuvent être importantes, notamment pour les responsables de traitement qui effectuent de nombreux traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. En effet, une étude d’impact est une analyse complète d’un traitement, au plan juridique comme technique (étude des mesures de sécurité mises en place), qui nécessite une mobilisation non négligeable de collaborateurs internes ou externes, aux compétences complémentaires. Il est naturellement préférable pour le responsable de traitement d’économiser ses ressources pour mener correctement les actions de conformité réellement nécessaires.

Des critères généraux…

Le rôle de l’analyse d’impact est précisé au considérant 84 du RGPD, qui expose que l’objet d’une AIPD est d’« évaluer, en particulier, l’origine, la nature, la particularité et la gravité » du risque pour les droits et libertés des personnes.

Or, c’est bien, en premier lieu, le caractère élevé du risque qui déclenche la nécessité d’établir une étude d’impact, et donc le premier élément à analyser.

L’article 35.3 du RGPD guide le responsable de traitement en précisant les cas dans lesquels une analyse d’impact est requise, « en particulier » :

  • L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques fondée sur un traitement automatisé, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à leur égard ;
  • Le traitement à grande échelle de catégories particulières de données visées à l’article 9 paragraphe 1 ;
  • La surveillance systématique à grande échelle d’une zone accessible au public.

Ces critères ne sont toutefois aucunement exhaustifs et restent généraux. Des lignes directrices du G29 du 4 avril 2017 les précisent utilement.

…Précisés par le G29

Le G29 liste 9 critères, tirés des références au risque pour les droits et libertés des personnes dans le RGPD. Plus ces critères s’appliquent à un traitement, plus le PIA doit être considéré comme nécessaire. Toutefois, il s’agit d’une aide à l’analyse, qui peut aller dans un sens ou dans l’autre, dès lors que le raisonnement du responsable de traitement est justifié et documenté. Par exemple, si plusieurs critères sont remplis, mais que le responsable de traitement estime qu’ils ne sont pas suffisants pour caractériser un risque élevé, il devra documenter sa décision argumentée et faire référence à l’opinion du DPO. A l’inverse, un traitement satisfaisant à un seul critère peut être susceptible de générer un risque élevé et être soumis à l’obligation d’effectuer une AIPD.

Le G29 considère cependant qu’un traitement satisfaisant deux critères devra, de manière générale, être soumis à une AIPD.

Parmi ces critères, le G29 relève en premier lieu les traitements d’évaluation et de notation, notamment ceux visant à évaluer des aspects personnels des personnes concernées, comme « le rendement au travail, la situation économique, les préférences ou les centres d’intérêts personnels » en référence au considérant 75 du RGPD.

La notion de grande échelle est également utilement précisée. Le G29 recommande de tenir compte, en particulier, des facteurs suivants :

  • Le nombre de personnes considérées, soit en valeur absolue, soit en proportion de la population considérée ;
  • Le volume des données et/ou les éléments constitutifs des données traitées ;
  • La durée ou la permanence de l’activité de traitement de données ;
  • L’étendue géographique de l’activité de traitement.

Les lignes directrices précitées donnent également de nombreux exemples, permettant d’illustrer l’application de ces critères. Il est ainsi nécessaire de lire l’article 35 du RGPD à travers leur prisme.

…et les délibérations de la CNIL

La CNIL a publié une délibération listant les traitements pour lesquels une analyse d’impact est requise conformément à l’article 35.4 du RGPD.  Une liste des traitements pour lesquels une telle analyse n’est pas requise a également été publiée, comme le prévoit l’article 35.5.

Aspects pratiques

Il peut être utile, lorsqu’un responsable de traitement doit analyser le risque présenté par de nombreux traitements, de systématiser une pré-analyse adaptée à son activité permettant d’évaluer l’existence d’un risque élevé, lui permettant de sélectionner les traitements destinés à faire l’objet d’une AIPD.

L’analyse d’impact n’est pas un document figé et doit être mise à jour en même temps que les évolutions du traitement : des changements techniques ou d’échelle peuvent modifier le résultat de la précédente analyse. Le G29 propose également en annexe 2 de ses lignes directrices une « check list » pour vérifier qu’une analyse est suffisamment complète.

Enfin, pour rappel, l’analyse d’impact, réalisée avec ou sans l’aide du logiciel mis à disposition par la CNIL, est interne à l’entreprise, et ne doit être communiquée à la CNIL qu’en cas de risque résiduel élevé pour les droits et libertés des personnes concernées.