Dans un jugement du 27 février 2020, le tribunal administratif de Marseille a annulé pour excès de pouvoir la délibération n°18-893 du conseil régional de Provence-Alpes-Côte d’Azur.
En effet, cette délibération a approuvé la mise en place d’un dispositif de contrôle d’accès dans deux Lycées de la région PACA par comparaison faciale et suivi de trajectoire.
Le tribunal estime notamment que la délibération de la région PACA est entachée d’incompétence, en ce qu’elle excède le champ des missions qui lui sont attribuées par les textes. En effet, en vertu du code de l’éducation, la mission d’assurer la sécurité des personnes dans les lycées relève du chef d’établissement et non de la région.
De plus, le traitement de données biométriques est par principe interdit (article 9§1 du RGPD). S’il existe des exceptions, le respect des conditions de ces dernières doit être soigneusement justifié et documenté. Il s’agit notamment du consentement des personnes, pour une finalité spécifique, ou encore de la justification d’un intérêt public important, au sens du droit national ou européen, dès lors que le traitement est nécessaire et proportionné à l’objectif poursuivi (Article 9§2 du RGPD).
Le tribunal a jugé que la région, en recueillant le consentement par la seule signature d’un formulaire, alors que le public visé se trouvait dans une relation d’autorité à l’égard des responsables d’établissement, n’a pas prévu des garanties suffisantes pour assurer la validité du consentement donné. C’est notamment l’absence de caractère « libre » du consentement que reproche le juge administratif.
En ce qui concerne le motif d’intérêt public, celui-ci est insuffisamment justifié, tout comme la nécessité et la proportionnalité du traitement. En conséquence, le tribunal en conclut que la délibération est entachée d’illégalité au regard de l’article 9 du règlement général sur la protection des données. Elle est annulée en ce qu’elle a lancé l’expérimentation dans deux lycées de la région PACA (à Nice et Marseille).
Il est ainsi fondamental de documenter et de justifier, par la rédaction d’une étude d’impact, la mise en place des expérimentations ou dispositifs intrusifs au plan des données personnelles, tels les dispositifs biométriques, que l’on soit une entreprise ou une collectivité territoriale. Il est également impératif de mettre en place les garanties juridiques nécessaires afin d’assurer la licéité des traitements sensibles. Au delà des éventuelles sanctions financières, la conformité au RGPD est un enjeu en terme de réputation et de confiance pour les clients ou usagers.
Le Cabinet vous assiste dans l’élaboration et l’analyse de vos études d’impact, et vous conseille pour assurer la licéité de vos traitements.