La Haute Cour de Cardiff a validé, le 3 septembre 2019, l’usage par la police sud-galloise d’un dispositif de reconnaissance faciale appelé AFR Locate. La South Wales Police (SWP) avait déployé cette technologie, à titre expérimental, le 21 décembre 2017 dans une rue fréquentée de Cardiff, et le 27 mars 2018 lors d’une exposition. Le plaignant, présent en ces deux occasions, contestait la licéité du dispositif.

Le jugement traite de la reconnaissance faciale en temps réel, laquelle implique la capture de l’image de passants à la volée, dans l’espace public. Cette technologie, que la Cour prend soin d’expliquer, fonctionne en deux temps[1]. Une image du visage des passants est capturée par vidéo ou photographie, et transformée en « gabarit », c’est-à-dire en un modèle informatique. Ces visages captés en temps réel sont ensuite comparés à un certain nombre d’autres gabarits établis à partir d’images déjà à la disposition de la police, à des fins de reconnaissance. La SWP était en l’espèce à la recherche de certains individus dont elle avait rassemblé les gabarits au sein de « watchlists ».

Aucun texte français ou anglais ne mentionne explicitement la reconnaissance faciale en temps réel. Cette pratique menace pourtant le droit au respect de la vie privée et la liberté d’aller et venir. Elle permet d’identifier des individus à leur insu, sans qu’ils aient à entreprendre aucune démarche, et même s’ils ne présentent aucun intérêt pour la police. La question de la licéité des dispositifs de reconnaissance faciale est donc primordiale, d’autant que leur usage se répand. La ville de Nice et le quartier de Notting Hill, à Londres, en ont fait l’expérience.

La décision de la Haute Cour de Cardiff, première décision au monde traitant de la licéité de la reconnaissance faciale en temps réel, se réfère au droit du Conseil de l’Europe, mais aussi au droit de l’Union Européenne, puisqu’elle fut rendue avant le Brexit. Il est donc possible de se demander si le raisonnement de la Cour galloise ne pourrait pas être repris par les juridictions d’un autre pays encore membre de ces deux organisations, comme la France. Après un rapide exposé de l’internationalité des prétentions du plaignant (I), il sera démontré qu’un juge français ne se satisferait sûrement pas aussi facilement que le juge britannique de l’absence de loi (II) mais serait également satisfait de la proportionnalité de l’ingérence dans le droit au respect de la vie privée (III).

L’influence déterminante du droit européen sur la licéité des dispositifs de reconnaissance faciale

La question de la licéité de la reconnaissance faciale en temps réel se pose tant au regard du droit du Conseil de l’Europe (A) qu’à celui du droit de l’Union Européenne (B).

Le droit du Conseil de l’Europe, garant régional de la vie privée

Il découle de la jurisprudence de la Cour Européenne des Droits de l’Homme que la reconnaissance faciale viole le droit au respect de la vie privée. Ce droit, garanti par l’article 8 de la Convention Européenne des Droits de l’Homme (CEDH), englobe la protection des données personnelles (CEDH, S et Marper c. Royaume-Uni, §103). Pour conclure à la violation, les juges de Cardiff relèvent que la capture et l’utilisation de données biométriques va au-delà de ce qui est « expected and unsurprising » dans l’espace public (§55), et que ces données sont intrinsèquement privées (§57). Par application de la jurisprudence de Strasbourg, ni la présence sur la voie publique des individus, ni la courte durée de rétention des données des individus non recherchés, n’affecte cette réalité (voir §54, 57 et 59 du jugement).

La France étant liée par le droit du Conseil de l’Europe au même titre que le Royaume-Uni, ce constat de violation serait vraisemblablement partagé par le juge français. En vertu du paragraphe 2 de l’article 8 de la CEDH, une ingérence est néanmoins justifiée dès lors qu’elle est prévue par la loi, et qu'elle poursuit un objectif légitime et est nécessaire dans une société démocratique. La question de la licéité de la reconnaissance faciale doit donc être évaluée, dans les deux pays, à l’aune de ces mêmes conditions.

Le droit de l’Union Européenne et l’encadrement des traitements de données à caractère personnel

Certaines dispositions du droit de l’Union Européenne s’appliquent à la reconnaissance faciale. Le Règlement Général sur la Protection des Données (RGPD) et la directive « police-justice » de 2016 encadrent le traitement des données à caractère personnel, défini à l’article 4 du premier texte. La reconnaissance faciale, qui permet l’individualisation de toutes les personnes dont les données sont collectées (§124), constitue un tel traitement.

Le respect du droit de l’UE conditionne donc aussi la licéité de l’utilisation, par la police, de dispositifs de reconnaissance faciale. Le RGPD contient plusieurs « Data Protection Principles », repris par la loi Informatique et Libertés (loi IL) en France et le Data Protection Act (DPA) 2018 au Royaume-Uni.  En vertu du premier Principe, tout traitement de données personnelles non consenti doit être nécessaire, voire strictement nécessaire si les données sont sensibles (voir art. 6 et 9 du RGPD, sect. 35 du DPA et art. 5 et 88 de la loi IL). C’est le cas en l’espèce, les données collectées étant de nature biométriques (§133).

 

La licéité de la reconnaissance faciale, en France comme au Royaume-Uni, dépend donc de l’interprétation que les juges des deux pays font des mêmes textes, à savoir l’article 8§2 de la CEDH et le RGPD, tel que reproduit par le DPA et la loi IL.

 

La recherche d’un fondement juridique autorisant le recours à la reconnaissance faciale, source de divisions entre la France et le Royaume-Uni

Le principe fondamental selon lequel l’utilisation de la reconnaissance faciale requiert une base légale (A) conduit à s’interroger sur le rôle du Parlement et l’étendue des compétences de la police en France et au Royaume-Uni (B).

L’obligation d’identifier d’une base légale

Le principe de légalité, ou principle of legality, selon lequel la loi (au sens large) doit être à l’origine de toute mesure administrative, fait partie intégrante de l’Etat de droit, ou rule of law, en France et au Royaume-Uni. Ce principe se retrouve dans l’interdiction de toute restriction aux libertés qui ne serait pas « prévue par la loi » (article 8§2 CEDH). Cette condition n’est satisfaite que si la norme, qui peut être une norme de common law (CEDH, Sunday Times c. Royaume-Uni, 26 avril 1979, §47), est accessible et prévisible (même jugement, §49), et protège contre l’arbitraire (CEDH, Olsson c. Suède, 24 mars 1988, §61).

Le droit applicable à la reconnaissance faciale fait explicitement mention de ce principe. La section 35 du DPA 2018 pose que tout traitement de données personnelles doit être « based on law ». Les articles 88 et 89 de la loi IL établissent qu’un traitement de données sensibles doit être autorisé par une disposition législative ou règlementaire.

Une large partie du jugement est consacrée à la question de savoir si la SWP est compétente pour utiliser AFR Locate. Le plaignant fait état de l’absence de tout texte à cet effet. Il ajoute que, même si une base textuelle existe, celle-ci n’est pas assez précise pour que le principe de légalité soit satisfait. Les DPA sont trop généraux ; le droit anglais ne précise pas quand et où l'AFR Locate peut être déployé, qui peut être intégré aux « watchlists », etc.  Ces questions sont laissées à la discrétion de la police. 

L’habilitation textuelle : une exigence caractéristique du droit français

La Haute Cour de Cardiff estime que la compétence générale de la SWP – appelée « common law power to take steps in order to prevent and detect crime » – l’autorise à recourir à la reconnaissance faciale en dehors de toute habilitation par la loi (§78).  Une loi n’est requise que lorsque la police emploie des techniques intrusives, qui constitueraient autrement une agression physique. C’est par exemple le cas des prélèvements ADN. La licéité de la reconnaissance faciale découle aussi de l’existence de guides officiels et chartes d’utilisation. De tels documents rendent suffisamment prévisible l’utilisation de la reconnaissance faciale par la police, conformément à l’article 8§2 CEDH (§96).

Un juge français ne se satisferait sûrement pas aussi facilement de l’absence d’habilitation textuelle, même si la séparation et la complémentarité des domaines législatifs et réglementaires en France n'impliquent pas nécessairement qu'il s'agisse seulement d'une habilitation législative. Si le Premier Ministre, le maire et le préfet ont chacun une compétence générale pour maintenir l’ordre, le législateur demeure le garant des libertés (art. 4 de la Déclaration des Droits de l’Homme et du Citoyen ; art. 34 de la Constitution). Pour autant le seul usage de la reconnaissance faciale actuellement permis en France est prévu par un décret : l’article R40-26 du Code de procédure pénale permet aux enquêteurs d’y recourir pour croiser le fichier de traitement des antécédents judiciaires (TAJ) avec, par exemple, un extrait de vidéosurveillance. Mais le juge français est également plus prompt que le juge anglais à rechercher la compétence du Parlement, notamment au travers des dispositions législatives du Code de la sécurité intérieure. Le Conseil d’Etat a jugé ainsi qu’une commune ne pouvait pas mettre en œuvre un dispositif de lecture automatisée de plaques d'immatriculation, faute de base légale (CE 27 juin 2016, n° 385091, Cne de Gujan-Mestras). L’application « Reporty », qui permettait aux Niçois de signaler à la police toute incivilité grave ou situation critique, fut aussi critiquée par la CNIL pour la fragilité de sa base légale[2].

Déterminer si le déploiement de la reconnaissance faciale doit être fondé sur un texte législatif divise donc le système français et le système britannique. La question de la proportionnalité de l’ingérence dans la vie privée les réconcilie.

 

La proportionnalité de l’ingérence dans la vie privée, un constat partagé par la France et le Royaume-Uni 

Le raisonnement de la Cour de Cardiff sur la proportionnalité du recours à la reconnaissance faciale trouve aussi des racines en droit français (A), et témoigne de l’émergence d’un nouveau paradigme sécuritaire dans deux pays (B).

Un raisonnement adapté à l’espèce et inspiré du droit de l’UE

L’article 8§2 de la CEDH exige que toute atteinte au droit au respect de la vie privée soit proportionnée. Le premier « Data Protection Principle » requiert pour sa part que tout traitement de données soit nécessaire (sect. 35 du DPA 2018 et art. 4 de la loi IL). La question de la nécessité, y compris le besoin de nécessité absolue vu la sensibilité des données, est traitée au travers celle de la proportionnalité, le juge gallois écartant toute violation de la section 35 par application de son raisonnement sur l’article 8§2 (§126, §136).

Pour valider l’emploi d’AFR Locate, la Cour de Cardiff prend note des circonstances d’espèce – le déploiement était transparent, temporellement et géographiquement délimité, et avait un but déterminé – et relève que la vidéosurveillance seule n’aurait pas été pas capable d’identifier les personnes recherchées (§101-102). La Cour tient aussi compte de la suppression immédiate des images ne produisant aucun « match ». Elle intègre donc à son raisonnement le cinquième « Data Protection Principle », repris par la Commission de Venise du Conseil de l’Europe, selon lequel des données ne doivent pas être conservées au-delà de la durée nécessaire à leur traitement, et l’article 6 de la directive « police-justice », qui indique que les modalités de tout traitement doivent être adaptées à l’intérêt que les individus présentent pour la police.

Les éléments pris en compte par le juge britannique étant relativement classiques, et prescrits par le droit européen, le juge français adopterait sûrement un raisonnement similaire, quoique la CNIL insiste sur la protection des droits des enfants et des autres personnes vulnérables[3]. Le Conseil constitutionnel a déjà exigé une proportion entre la durée de conservation des empreintes génétiques et la nature ou à la gravité des infractions concernées (décision n° 2010-25 QPC du 16 septembre 2010).

Vers un nouveau paradigme de la surveillance ?

Le jugement gallois marque le passage « d’une surveillance ciblée de certains individus à la possibilité d’une surveillance de tous aux fins d’en identifier certains »[4]. Ce changement de paradigme est apparent dans certains des éléments pris en compte lors du contrôle de proportionnalité, notamment l’absence d’arrestations non justifiées et l’efficacité constatée d’AFR Locate. Le juge écarte aussi toute critique quant à la composition des « watchlists » au motif que l’inclusion de criminels légers n’a aucun effet sur les passants (§103). Le juge veille néanmoins à ne pas légitimer la surveillance de masse, et permanente. Ainsi, il souligne que la police ne peut recourir à la reconnaissance faciale de façon spéculative ou sans cible : elle doit avoir de bonnes raisons de penser que les personnes qu’elle recherche – majoritairement des criminels – seront aux endroits où la technologie est déployée (§104).

Cette nouvelle approche de la surveillance, aussi tempérée soit-elle, se retrouve en France. Aux termes de l’article L241-2 du code de la sécurité intérieure, la police municipale ne peut enregistrer ses interventions – et donc potentiellement des conversations privées – au moyen de caméras mobiles, que s’il est susceptible de se produire un incident. Le fichier TES, qui regroupe les images numérisées du visage et les empreintes digitales des titulaires de passeports ou de cartes nationales d'identité, ne peut pour sa part être utilisé à des fins de recherche (Conseil d’Etat, arrêt du 18 octobre 2018, n°404996, §13). Malgré ces limites, la surveillance généralisée est de plus en plus acceptée. Le Conseil d’Etat a ainsi jugé la création des fichiers TES et TAJ conforme à la CEDH (arrêt du 18 octobre 2018 précité ; arrêt du 11 avril 2014, n° 360759).

           

 

 

 

Conclusion

En vertu du droit de l’UE et de la CEDH, le déploiement de la reconnaissance faciale en temps réel doit, pour être licite, être nécessaire, proportionné et prévu par la loi. Il a été démontré qu’un juge français estimerait certainement, comme le juge britannique, que l’atteinte à la vie privée est proportionnée, sous réserve que soient mises en place certaines garanties, comme des durées de conservation des données différenciées. Concernant le besoin de base légale, en revanche, le juge français pourrait se montrer plus strict que le juge britannique et exiger un texte législatif – du moins passé le stade des expérimentations. Il faut à ce propos noter que la décision de la Haute Cour de Cardiff est peut-être influencée par le fait que la technologie est encore au stade expérimental. La Cour relève notamment, lorsqu’elle se prononce sur la licéité du cadre juridique existant, le potentiel d’amélioration des modes d’emploi locaux (§96).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Bibliographie

Textes contraignants

Convention Européenne des Droits de l’Homme et des Libertés Fondamentales, art. 8.

France, Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (loi « Informatique et Libertés »), tel que modifiée au 1er janvier 2020, art. 5 et 88-89.

Royaume-Uni, Data Protection Act 2018, section 35.

Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD), art. 4, 6 et 9.

Directive (UE) 2016/680 du Parlement Européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (directive « police-justice »), art. 6.

France, Code de sécurité intérieure, art. L241-2.

France, Code de procédure pénale, art. R40-26.

France, Constitution du 4 octobre 1958, art. 34.

France, Déclaration des Droits de l’Homme et du Citoyen de 1789, art. 4.

 

Jurisprudence

Juridictions britanniques

R (Bridges) v Chief Constable of the South Wales Police [2019] EWHC 2341 (Admin) (jugement commenté)

 

Cour Européenne des Droits de l’Homme

S. et Marper c. Royaume-Uni [GC], nos 30562/04 et 30566/04, §103, CEDH 2008

Sunday Times c. Royaume-Uni (n°1), 26 avril 1979, §47 et 49, série A n°30

Olsson c. Suède (n°1), 24 mars 1988, §61, série A n°130

Juridictions françaises

Cons. const., décision n° 2010-25 QPC du 16 septembre 2010, Fichier empreintes génétiques.

CE, 27 juin 2016, n° 385091, Cne de Gujan-Mestras.

CE, 18 octobre 2018, n°404996.

CE, 11 avril 2014, n° 360759.

 

Autres sources

CNIL, « Reconnaissance faciale – Pour un débat à la hauteur des enjeux » (2019) (consultable depuis https://www.cnil.fr/fr)

CNIL, « Mise en œuvre expérimentale de l’application « Reporty » par la ville de Nice : quelle est la position de la CNIL ? » (2018) (consultable depuis https://www.cnil.fr/fr)

Commission européenne pour la démocratie par le droit (Commission de Venise), « Opinion on video surveillance in public places by public authorities and the protection of human rights », CDL-AD(2007)014, §74

 

[1] CNIL, « Reconnaissance faciale – pour un débat à la hauteur des enjeux » (2019), p.3.

[2] CNIL, « Mise en œuvre expérimentale de l’application « Reporty » par la ville de Nice : quelle est la position de la CNIL ? » (2018)

[3] CNIL, « Reconnaissance faciale – pour un débat à la hauteur des enjeux », p.9.

[4] Ibid., p.7.