Cas d'un responsable du traitement ne disposant d'aucun établissement sur le territoire d'un État membre de l'Union européenne, qui procède à la collecte systématique et généralisée, à partir de millions de sites web à travers le monde, d'images contenant des visages, afin de constituer une base de données et de permettre la recherche des photographies dans cette base à partir d'une autre image, et ainsi procéder à l’identification biométrique des personnes concernées par reconnaissance faciale.

Le résultat de recherche qui est associé à une photographie doit être qualifié, au moins en partie, de profil comportemental de la personne concernée dans la mesure où il contient de nombreuses informations relatives à cette personne et en particulier à son comportement. La mise en relation des photographies et du contexte dans lequel elles sont présentées sur un site web permet en effet de recueillir de nombreuses informations sur une personne, ses habitudes ou ses préférences. La recherche peut par ailleurs être renouvelée dans le temps, ce qui permet de constater une évolution des informations relatives à une personne ; la base de données étant mise à jour régulièrement, des recherches successives permettent de suivre l'évolution d'un profil dans le temps.

Ce traitement doit être considéré comme une activité de traitement liée au suivi du comportement des personnes en ligne et il est donc soumis au RGPD.

Par ailleurs, dans ce contexte, la mise en ligne de photographies peut être considérée en soi comme un comportement de la personne concernée, reflétant des choix sur le niveau d'exposition qu'elle souhaite donner à des éléments de sa vie privée ou professionnelle.

L'article 10, sous a), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, lu à la lumière de l'article 52 de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens que le traitement de données biométriques et génétiques par les autorités de police en vue de leurs activités de recherche, à des fins de lutte contre la criminalité et de maintien de l'ordre public, est autorisé par le droit d'un État membre, au sens de l'article 10, sous a), de cette directive, dès lors que le droit de cet État membre contient une base juridique suffisamment claire et précise pour autoriser ledit traitement. Le fait que l'acte législatif national contenant une telle base juridique se réfère, par ailleurs, au règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et non à la directive 2016/680, n'est pas de nature, en lui‑même, à remettre en cause l'existence d'une telle autorisation, pour autant qu'il ressort, de manière suffisamment claire, précise et dénuée d'équivoque de l'interprétation de l'ensemble des dispositions applicables du droit national que le traitement de données biométriques et génétiques en cause relève du champ d'application de cette directive, et non de ce règlement.

Dans le cadre d’un système d'identification électronique auprès d'organismes publics ou privés, pour apprécier si le consentement à un traitement de données biométriques est libre, il y a lieu de vérifier si le recours à ce traitement est exigé par sa finalité et si l’usage est susceptible de subir un préjudice en l’absence de consentement. En l’espèce, il ne ressort pas des pièces du dossier qu’il existait, à la date du décret attaqué, d’alternative à la reconnaissance faciale pour authentifier, avec le même niveau de garantie au regard du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014, l’identité d’une personne de manière entièrement dématérialisée. Les usagers refusant de recourir à l’application Alicem ne subissent pas de préjudice au sens du RGPD dans la mesure où ils peuvent accéder à l’ensemble des téléservices accessibles par le biais de cette application, à travers un identifiant unique, grâce au dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale. Le décret du 13 mai 2019 a donc pu légalement autoriser le ministre de l’intérieur à mettre en œuvre un traitement d’identification en ligne s’appuyant sur une application mobile, dont l’usage est conditionné au consentement au recours à un système de reconnaissance faciale.

Saisi d'un projet de décret relatif à la création d'un traitement automatisé de données à caractère personnel pour la production des certificats de membre d'équipage sécurisés biométriques, le Conseil d'État (section de l'intérieur) estime nécessaire que le décret précise que la transmission des données personnelles collectées dans des stations d'enrôlement installées dans les locaux des compagnies aériennes par connexion internet sécurisée à l'Imprimerie nationale obéisse aux règles du référentiel général de sécurité (RGS) mentionné au décret n° 2010-112 du 2 février 2010 et que les personnels spécifiquement désignés pour la collecte soient titulaires d'un certificats d'authentification répondant aux normes du RGS. Le projet de décret est modifié en ce sens.

Il n'a pas été porté à la connaissance de la Cour l'existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la protection des passeports contre leur utilisation frauduleuse, tout en portant des atteintes moins importantes aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les empreintes digitales. Ce recueil est donc proportionné.

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de reconnaissance faciale, constitue une ingérence dans l 'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que d e garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

En l'espèce, le requérant russe qui a manifesté pacifiq uement dans le métro moscovite, et dont des photographies et une vidéo ont été publiées sur un canal public de Telegram, a été identifié à partir de ces éléments, localisé puis interpellé, au moyen d'une technologie de reconnaissance faciale en temps réel.

Partant du principe selon lequel les mesures litigieuses poursuivaient le but légitime de la prévention des infractions pénales, la Cour estime que les mesures prises contre le requérant ont été particulièrement intrusives, surtout le recours à la techno logie de reconnaissance faciale en temps réel. Un niveau élevé de justification est donc nécessaire pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'ut ilisation de cette technologie. De plus, les données à caractère personnel qui ont été traitées renfermant des informations sur la participation du requérant à une manifestation pacifique, elles ont par conséquent révélé les opinions politiques de l'intére ssé. Elles appartenaient donc aux catégories particulières de données sensibles qui appellent un niveau de protection accru.

Le droit interne russe autorisait le traitement des données biométriques à caractère personnel dans le cadre de l'enquête et des po ursuites engagées pour toute infraction, quelles qu'en fussent la nature et la gravité.

Le requérant a été poursuivi pour une infraction administrative mineure qui n'a représenté aucun risque pour l'ordre public ou la sécurité des transports. Il n'a pas é té accusé d'avoir commis un acte répréhensible au cours de sa manifestation. L'utilisation d'une technologie de reconnaissance faciale très intrusive pour identifier et arrêter les participants à des actions de protestation pacifiques pourrait produire un effet dissuasif dans le domaine des droits à la liberté d'expression et de réunion.

Dans ces conditions, le traitement des données à caractère personnel du requérant au moyen de la technologie de reconnaissance faciale dans le cadre de la procédure adminis trative, ne répondait pas à un « besoin social impérieux » et ne pouvait être considéré comme « nécessaire dans une société démocratique ». La Cour EDH conclut donc à une violation de l'article 8.

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de recours à la reconnaissance faciale en temps réel, constitue une ingérence dans l'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que de garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

En l'espèce, le requérant russe qui a manifesté pacifiquement dans le métro moscovite, et dont des photographies et une vidéo ont été publiées sur un canal public de Telegram, a été identifié à partir de ces éléments, localisé puis interpellé, au moyen d'une technologie de recours à la reconnaissance faciale en temps réel.

Partant du principe selon lequel les mesures litigieuses poursuivaient le but légitime de la prévention des infractions pénales, la Cour estime que les mesures prises contre le requérant ont été particulièrement intrusives, surtout le recours à la technologie de reconnaissance faciale en temps réel. Un niveau élevé de justification est donc nécessaire pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'utilisation de cette technologie. De plus, les données à caractère personnel qui ont été traitées renfermant des informations sur la participation du requérant à une manifestation pacifique, elles ont par conséquent révélé les opinions politiques de l'intéressé. Elles appartenaient donc aux catégories particulières de données sensibles qui appellent un niveau de protection accru.

Le droit interne russe autorisait le traitement des données biométriques à caractère personnel dans le cadre de l'enquête et des poursuites engagées pour toute infraction, quelles qu'en fussent la nature et la gravité.

Le requérant a été poursuivi pour une infraction administrative mineure qui n'a représenté aucun risque pour l'ordre public ou la sécurité des transports. Il n'a pas été accusé d'avoir commis un acte répréhensible au cours de sa manifestation. L'utilisation d'une technologie de reconnaissance faciale très intrusive pour identifier et arrêter les participants à des actions de protestation pacifiques pourrait produire un effet dissuasif dans le domaine des droits à la liberté d'expression et de réunion.

Dans ces conditions, le traitement des données à caractère personnel du requérant au moyen de la technologie de reconnaissance faciale dans le cadre de la procédure administrative ne répondait pas à un « besoin social impérieux » et ne pouvait être considéré comme « nécessaire dans une société démocratique ». La Cour EDH conclut donc à une violation de l'article 8.

La création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général. Toutefois, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française. Les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles. Les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. Les dispositions de la loi relative à la protection de l'identité autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire. Il résulte de ce qui précède qu'en égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les articles 5 et 10 de la loi relative à la protection de l'identité doivent être déclarés contraires à la Constitution.

Le traitement de données à caractère personnel, dans lequel est enregistrée une photographie permettant le recours à un dispositif de reconnaissance faciale, ne constitue pas un dispositif disproportionné dès lors qu'il comporte des garanties appropriées permettant d'assurer que :

• la collecte des données biométriques relatives aux personnes mises en cause ne peut avoir lieu que dans les conditions prévues aux articles R. 40‑24 et R. 40‑25 du code de procédure pénale ;
• le traitement est opéré sous le contrôle du procureur de la République qui, d'office ou à la demande de la personne concernée, peut ordonner l'effacement ou la rectification des données biométriques ;
• le dispositif de reconnaissance faciale ne peut être mobilisé par les services compétents qu'en cas de nécessité absolue et sous la responsabilité des agents qui l'utilisent ;
• seuls certains magistrats et agents étant autorisés par décret à accéder aux données biométriques, cet accès est soumis à des obligations de traçabilité ;
• la mise en œuvre du traitement fait l'objet d'un suivi par un magistrat désigné par le ministre de la justice et est soumise au contrôle de la CNIL ;
• le responsable de traitement prend les mesures de sécurité appropriées au regard de la sensibilité des données en cause.

Proportionnalité