Coup de froid sur la smart city ? La Commission nationale de l’informatique et des libertés (CNIL) vient de sévèrement tacler deux projets sécuritaires : le premier concernant des portiques biométriques destinés à deux lycées à Nice et à Marseille, le second au sujet d’un réseau de micros déployés dans les rues de Saint-Etienne.

Le gendarme des données personnelles a d’abord fait parvenir, vendredi 25 octobre, une missive aux rectorats de Marseille, de Nice ainsi qu’au président de la région Provence-Alpes-Côte-d'Azur (PACA). Dans son courrier, révélé par Mediapart, la commission étrille le projet d’équiper le lycée des Eucalyptus, à Nice, et Ampère, à Marseille, de portiques de reconnaissance faciale destinés à filtrer à l’entrée les élèves volontaires.

Même si elle peut prendre des sanctions une fois le projet lancé, la CNIL n’avait pas à l’autoriser formellement en amont. Elle a cependant été destinataire du rapport établi par la région PACA détaillant le projet et estimant les dégâts potentiels en matière de vie privée. Elle a donc pu évaluer si ce projet était, ou non, dans les clous du droit.

Article réservé à nos abonnés Lire aussi La reconnaissance faciale progresse, sous la pression des industriels et des forces de l’ordre

Et le moins qu’on puisse dire, c’est qu’elle n’a pas été convaincue. Elle estime même que, si la région persistait, ce projet serait illégal au regard du droit européen sur les données personnelles. Signe que la CNIL souhaite peser dans un débat de plus en plus brûlant autour de la reconnaissance faciale, la commission a assorti son courrier d’un communiqué, publié mardi 29 octobre.

Des données extrêmement sensibles

Dans ce texte, elle explique que le projet de la région PACA est « disproportionné », et même « contraire aux grands principes de proportionnalité et de minimisation des données » garantis par les textes européens. Elle y rappelle aussi le caractère extrêmement sensible des données biométriques, surtout lorsqu’elles sont utilisées à des fins de contrôle ou de surveillance. Ces données sont d’autant plus sensibles qu’elles sont, en la matière, celles d’élèves mineurs.

Pour la CNIL, le simple contrôle d’accès d’un établissement scolaire ne mérite pas qu’on manipule de telles données. « Les objectifs de sécurisation et la fluidification des entrées dans ces lycées peuvent être atteints par des moyens bien moins intrusifs (…) comme par exemple un contrôle par badge », écrit la commission. « Il appartient désormais à la région et aux lycées concernés, responsables du dispositif envisagé, d’en tirer les conséquences », conclut la CNIL.

« Cette décision a un siècle de retard ! », s’est étranglé, en réponse, Renaud Muselier, le président (Les Républicains, LR) de la région PACA. « Dans un monde où la reconnaissance faciale fait le quotidien de centaines de millions d’usagers de smartphones, il est incompréhensible de refuser des dossiers aussi simples et ambitieux que le nôtre », a-t-il regretté dans un communiqué. Il s’est aussi engagé à déposer un nouveau dossier auprès de la CNIL « dans les plus brefs délais ». « Je m’engage personnellement à aller le défendre auprès des dirigeants de cette instance », a-t-il promis.

Le courrier de la CNIL a en revanche été beaucoup plus apprécié du côté des opposants au projet. « Cette première victoire contre la reconnaissance faciale en France ne peut que nous rendre optimistes dans la lutte qui nous oppose aux systèmes déjà existants », s’est réjouie La Quadrature du Net.

Saint-Etienne également recadrée

La CNIL a également recadré par courrier du 25 octobre la métropole de Saint-Etienne concernant son projet d’équiper certaines rues de micros destinés à alerter les autorités en cas d’anomalie.

Contrairement à la région PACA, qui avait transmis un dossier à la CNIL, c’est ici la commission elle-même qui a pris l’initiative de contrôler le projet. Et ce qu’elle a trouvé ne lui a pas plu. Selon elle, le dispositif envisagé ne respecte pas le droit en vigueur en matière de données personnelles, écrit-elle dans un courrier révélé par Télérama et dont Le Monde a également eu connaissance.

Le fonctionnement de ce système est relativement simple : un quartier stéphanois sera équipé de petits micros destinés à la détection de certains éléments sonores anormaux (accidents, klaxons, bruits de choc, crépitements, explosions…) pour en alerter le centre de supervision urbaine, lequel pourrait braquer les caméras de vidéosurveillance sur la zone et ainsi décider de la marche à suivre, y compris d’alerter les secours ou les forces de l’ordre.

En l’état, ce projet « ne peut pas être légalement mise en œuvre », tacle la commission, relevant notamment la « captation continue, systématique et indifférenciée des sons dans l’espace public » et donc le risque de « capter des conversations privées ».

La CNIL va plus loin et craint que ce système de micros malmène « d’autres droits fondamentaux des citoyens, et plus particulièrement la liberté d’expression, de réunion, de manifestation, d’association et d’aller et venir ». En effet, poursuit-elle, « les personnes concernées pourraient être amenées à altérer leur comportement, par exemple en censurant elles-mêmes leurs propos tenus sur la voie publique ou en modifiant leurs déplacements ».

La présidente de la CNIL, Marie-Laure Denis, a donc décidé d’adresser un avertissement à la métropole de Saint-Etienne. C’est d’ailleurs la première fois que la commission fait usage de ce mécanisme.

La CNIL appelle, à nouveau, à un débat

La CNIL profite de ces deux courriers pour relancer, une nouvelle fois, le débat autour du cadre légal applicable aux nouveaux dispositifs de surveillance biométrique. Ainsi, dans son communiqué portant sur les lycées niçois et marseillais, la commission explique avoir lancé des « travaux » au sujet de la reconnaissance faciale.

A Saint-Etienne, la CNIL a aussi noté que la loi était muette sur l’appariement de capteurs sonores à la vidéosurveillance. « Un encadrement législatif », autorisant spécifiquement ce dispositif était donc « indispensable », écrit la commission, « tout comme le législateur est d’ailleurs intervenu pour poser des garanties en matière de vidéoprotection dans l’espace public ». « Une telle loi apparaît nécessaire », selon la CNIL.

Cela fait plusieurs mois que la CNIL appelle à un débat législatif sur la question. La situation pourrait évoluer prochainement : le secrétaire d’Etat au numérique, Cédric O, appelait dans nos colonnes à davantage d’expérimentations en matière de reconnaissance faciale.