En début de semaine, lors d’une conférence de presse, le maire de Nice et Président de la Métropole Nice Côte d’Azur Christian Estrosi affirmait avoir reçu l’autorisation de la CNIL pour débuter l’expérimentation de la reconnaissance faciale pendant la période du carnaval.
Pourtant, mardi 19 février, la CNIL a donné de nombreuses précisions sur ce dossier dans une série de tweets en 9 points. Contrairement à ce qui avait été affirmé avec enthousiasme durant la conférence de presse, l’organisme se montre bien plus sceptique et prudent quand à l’expérimentation de la solution Anyvision sur le panel de bénévoles.
Voici les principales remarques de la CNIL :
- Concernant la mise en place de cette expérience, elle assure avoir reçu un courrier de la ville de Nice datant du 1er février. Dans une logique d’accompagnement à la conformité, une seule réunion aurait été organisée dans un calendrier très serré.
3⃣La @CNIL regrette l’urgence dans laquelle ses services ont été sollicités, ces circonstances n’étant pas de nature à favoriser un travail d’analyse approfondie du dispositif projeté. #Nice06
— CNIL (@CNIL) 19 février 2019
- D’un point de vue plus juridique, les dispositifs biométriques ne sont plus soumis à une autorisation préalable de la CNIL depuis l’application du Règlement Général sur la Protection des Données (RGPD).
Pour rappel, le RGPD est un règlement européen entré en vigueur depuis mai 2018. Il vise à harmoniser la gouvernance des informations personnelles au sein des pays membres de l’Union Européenne, notamment au niveau de la sécurisation et la protection des données personnelles que possèdent les entreprises. -
La commission rappelle que l’expérimentation repose surtout sur le consentement des personnes volontaires (il doit être libre et éclairé). Elle précise également que Nice ne peut aller au-delà du simple test.
6⃣La @CNIL rappelle que, dans le cadre actuel, l’expérimentation projetée ne saurait aller au-delà du simple test. En effet, si le dispositif était effectivement utilisé à des fins de sécurité/prévention, application non pas du RGPD, mais de la directive «Police/Justice»27/04/16
— CNIL (@CNIL) 19 février 2019
La directive évoquée fait partie de la Loi informatique et libertés depuis 2016 et établit des règles relatives à «la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces», selon la CNIL. L’expérimentation de la ville de Nice suivrait donc cette directive qui est un champ distinct du RGPD.
- Le consentement des personnes ne peut pas constituer une base juridique pour le traitement des données relatif à cette directive Police/Justice. Pour cela, il faudrait un décret du Conseil d’État ou une loi.
Comme on peut le constater, le débat autour des informations personnelles, leur stockage et leur récolte est loin d’être terminé. On peut imaginer que si la reconnaissance faciale est utilisé avec succès à Nice (malgré une méthode de mise en place quelque peu douteuse), de grands changements juridiques pourraient avoir lieu.
