Reconnaissance faciale au lycée : l’expérimentation avant la généralisation

Le 14 décembre dernier, le Conseil Régional de PACA a voté une mesure visant à faire installer, à partir de 2019, des dispositifs de reconnaissance faciale à l’entrée de deux lycées de Nice et de Marseille. Dès le mois d’octobre, La Quadrature du Net avait demandé à la CNIL la communication des documents en sa possession sur ce dossier, cette dernière ayant été consultée par la région pour la mise en place de ces dispositifs. L’analyse de ces documents, ainsi que les précisions apportées par Christian Estrosi, confirment l’impuissance de la CNIL à enrayer la banalisation d’une technologie particulièrement liberticide et qui vise ici à s’étendre à l’ensemble des établissements scolaires de la région.

Mise à jour (20 décembre 2018) – nous publions les documents suivants :

  • La réponse de la CNIL à notre demande
  • La lettre de Renaud Muselier présentant le projet à la CNIL
  • L’exposé détaillé du projet par la région
  • La demande de renseignements complémentaires par la CNIL à la région et la réponse de cette dernière

De quoi s’agit-il ? En octobre 2017, Renaud Muselier, président de la région PACA, demande les conseils de la CNIL pour la mise en place dans deux lycées de Nice et de Marseille de dispositifs de « portiques virtuels » associant « des moyens classiques d’identification (…) à un dispositif biométrique utilisant des technologies de comparaison faciale, seuls à même d’après nos premières investigations, d’apporter une solution fiable et rapide dans un contexte de contrôle d’accès portant sur un nombre potentiellement élevé de personnes ». Cette nouvelle étape est la suite logique de sa politique sécuritaire ayant conduit, entre 2016 et 2017, à ce que plus de 1 300 caméras de vidéosurveillance soient installées dans l’ensemble des lycées de la région. La technologisation à outrance est également présentée par la région comme une réponse au contexte d’austérité budgétaire :

Ce dispositif constitue une réponse au différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées, dans le cadre des plans successifs de réduction des effectifs dans la fonction publique.

La région PACA présente ainsi à la CNIL son projet visant à « sanctuariser » les entrées et les sorties dans les établissements secondaires. Il s’agit non seulement de reconnaissance faciale mais également d’un dispositif de « suivi de trajectoire » de certains des visiteurs : un logiciel installé couplé à une caméra permet de détecter des points de comparaison faciale déterminés par un algorithme et de le comparer avec ceux stockés dans une base de données. Un écran mis à la disposition des agents de contrôle permet alors de visualiser trois types de profils : « vert » pour les personnes autorisées à pénétrer dans l’enceinte du lycée, « jaune » pour les personnes non identifiées et invitées à se présenter à l’accueil et « rouge » pour les personnes non identifiées et qui ne se sont pas dirigées dès leur entrée vers l’accueil.

Il est par ailleurs précisé qu’il s’agit pour l’instant d’une « expérimentation limitée dans le temps » et fondée sur le consentement explicite de volontaires au sein des établissements visés.

La CNIL impuissante face au développement de la reconnaissance faciale

Alors qu’elle avait appelé en septembre 2018 à un débat urgent sur ces nouveaux usages des caméras vidéo et qu’elle souligne elle-même les risques considérables d’atteinte aux libertés individuelles que cette technologie entraîne, la CNIL n’a opéré ici qu’un suivi très souple – voire accommodant – du projet.

Soulignons d’abord que, depuis l’entrée en vigueur du RGPD en mai 2018, les responsables de traitement de données personnelles n’ont en principe plus à réaliser de formalités auprès de la CNIL avant la mise en œuvre du traitement, tel qu’obtenir son autorisation dans certains cas. Le contrôle de l’autorité ne se fait qu’a posteriori, conformément au principe de responsabilisation des acteurs prévu dans le règlement. Tout au plus certains traitements, et c’est le cas pour la reconnaissance faciale, doivent-ils faire l’objet d’une analyse d’impact. Le consentement des utilisateurs est désormais censé fournir une base légale suffisante pour le déploiement de ces systèmes qui font pourtant entrer la surveillance dans une nouvelle ère. En supprimant le pouvoir d’autorisation de la CNIL s’agissant de ce type de dispositifs, le RGPD marque donc un recul pour les libertés.

Selon les documents qui nous ont été communiqués, la CNIL s’est donc contentée de demander des précisions complémentaires à la Région sur le dispositif envisagé et, sur certains points, de fournir des recommandations. C’est d’ailleurs suite à l’une de ces recommandations que la Région a décidé que le stockage des données biométriques ne se ferait pas sur une base de données mais sur un support individuel, sous le contrôle exclusif de la personne (en l’espèce, un badge) (comme c’est le cas pour ce qui existe déjà dans plusieurs aéroports où la photographie n’est stockée que dans le microprocesseur du passeport biométrique).

Ainsi, et contrairement à ce qui a été annoncé par une partie de la presse et par Christian Estrosi lui-même, la CNIL n’a pas donné son « feu vert » à ce dispositif mais a simplement accompagné la région dans sa mise en place.

Pourtant, en laissant se développer ce type de technologies à des buts sécuritaires, sans qu’il ne soit apporté à un seul moment la preuve de la pertinence d’un tel dispositif par rapport au système existant,1 sans même une réelle réflexion sur la nature du consentement que peuvent donner des mineurs à l’égard d’une expérimentation au sein de leur lycée,2 la CNIL participe à la banalisation de ces technologies. Elle devient l’alibi au développement d’une surveillance généralisée qui sera au cœur des « Safe City » qui commencent à essaimer sur le territoire.

Un dispositif qui a vocation à s’étendre à toute la région

Car, sous le qualificatif faussement tranquillisant d’ « expérimentation » mis en exergue par Renaud Muselier et Christian Estrosi, ces derniers souhaitent en réalité, comme ils l’ont eux-mêmes énoncé lors de l’assemblée plénière du Conseil Régional, étendre ce dispositif de reconnaissance faciale à l’ensemble des lycées de la région :

Avec ces deux expériences, une fois que nous l’aurons démontré, nous irons très vite sur la généralisation, à partir du réseau de vidéosurveillance déjà existant, sur lequel il ne nous restera plus qu’à mettre le logiciel qui correspond à l’usage de la reconnaissance faciale par rapport aux caméras déjà installées dans nos établissements scolaires.

L’expérimentation des lycées de Nice et de Marseille s’inscrit donc en réalité parfaitement dans les divers projets que La Quadrature du Net dénonce depuis près d’un an, et qui sont d’ailleurs particulièrement avancés dans ces deux villes : « Observatoire Big Data de la tranquillité publique » à Marseille, « Safe City » à Nice… Cette actualité apparaît alors comme une nouvelle briqueau développement, toujours plus rapide et incontrôlable, de ces nouvelles technologies de surveillance (« Big Data », caméras « intelligentes », reconnaissance faciale…) au profit des municipalités et de leurs polices.

Un tel projet profitera par ailleurs pleinement à son maître d’œuvre, la société CISCO, qui finance entièrement cette expérimentation et qui s’occupera « dans un premier temps » de former les professeurs des lycées à ces nouvelles technologies. Cisco, acteur américain central de la « Safe City », et avec qui le gouvernement français avait déjà signé un partenariat important pour mener un projet de « Smart City » dans une ville française, se positionne dans un marché en plein essor. Il pourra pleinement tirer parti de cette occasion que lui donne la région de tester ses nouvelles technologies de surveillance dans nos établissements scolaires pour mieux la revendre plus tard, dans le cadre de marchés publics à vocation sécuritaire.

Alors qu’il y a plus d’un mois, nous appelions déjà la CNIL à imposer un moratoire sur le développement de ces technologies, cette dernière semble s’en tenir à une posture attentiste. Nous appelons les syndicats de lycéens et d’enseignants ainsi que les parents d’élèves et toutes celles et ceux révulsés par ces évolutions à s’organiser pour les tenir en échec.

References

1.Il est ainsi seulement précisé dans les documents produits par la région, et cela sans aucune preuve ou réelle analyse, que « les nombreux incidents et agressions constatés aussi bien dans l’enceinte du lycée qu’à ses abords, ainsi que le contexte sécuritaire existant depuis les attentats terroristes de 2016, conduisent également à tenter de limiter les temps d’attente et les attroupements à l’extérieur des établissements aux moments de forte affluence (rentrées matinales notamment) » ou que « ce dispositif constitue une réponse au différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées, dans le cadre des plans successifs de réduction des effectifs de la fonction publique. Il apporte une assistance aux personnels du lycée, qui peuvent ainsi mieux se concentrer sur les cas nécessitant une intervention humaine, et reporter leur vigilance sur les multiples situations menaçant la sécurité, en augmentant la présence humaine dans les lieux de vie de l’établissement. »
2.Le courrier de la région précise à ce titre que « Les personnes volontaires (ou leur représentant légal pour les mineurs) doivent signer préalablement un formulaire de recueil de consentement expliquant la finalité de l’expérimentation, la durée de conservation des donnée ainsi que la manière d’exercer les droits Informatique et Libertés »