Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de reconnaissance faciale, constitue une ingérence dans l'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que de garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

De telles mesures, particulièrement intrusives, requièrent un niveau élevé de justification pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'utilisation de cette technologie.

Cas d'un responsable du traitement ne disposant d'aucun établissement sur le territoire d'un État membre de l'Union européenne, qui procède à la collecte systématique et généralisée, à partir de millions de sites web à travers le monde, d'images contenant des visages, afin de constituer une base de données et de permettre la recherche des photographies dans cette base à partir d'une autre image, et ainsi procéder à l’identification biométrique des personnes concernées par reconnaissance faciale.

Le résultat de recherche qui est associé à une photographie doit être qualifié, au moins en partie, de profil comportemental de la personne concernée dans la mesure où il contient de nombreuses informations relatives à cette personne et en particulier à son comportement. La mise en relation des photographies et du contexte dans lequel elles sont présentées sur un site web permet en effet de recueillir de nombreuses informations sur une personne, ses habitudes ou ses préférences. La recherche peut par ailleurs être renouvelée dans le temps, ce qui permet de constater une évolution des informations relatives à une personne ; la base de données étant mise à jour régulièrement, des recherches successives permettent de suivre l'évolution d'un profil dans le temps.

Ce traitement doit être considéré comme une activité de traitement liée au suivi du comportement des personnes en ligne et il est donc soumis au RGPD.

Par ailleurs, dans ce contexte, la mise en ligne de photographies peut être considérée en soi comme un comportement de la personne concernée, reflétant des choix sur le niveau d'exposition qu'elle souhaite donner à des éléments de sa vie privée ou professionnelle.

Dans le cadre d’un système d'identification électronique auprès d'organismes publics ou privés, pour apprécier si le consentement à un traitement de données biométriques est libre, il y a lieu de vérifier si le recours à ce traitement est exigé par sa finalité et si l’usage est susceptible de subir un préjudice en l’absence de consentement. En l’espèce, il ne ressort pas des pièces du dossier qu’il existait, à la date du décret attaqué, d’alternative à la reconnaissance faciale pour authentifier, avec le même niveau de garantie au regard du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014, l’identité d’une personne de manière entièrement dématérialisée. Les usagers refusant de recourir à l’application Alicem ne subissent pas de préjudice au sens du RGPD dans la mesure où ils peuvent accéder à l’ensemble des téléservices accessibles par le biais de cette application, à travers un identifiant unique, grâce au dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale. Le décret du 13 mai 2019 a donc pu légalement autoriser le ministre de l’intérieur à mettre en œuvre un traitement d’identification en ligne s’appuyant sur une application mobile, dont l’usage est conditionné au consentement au recours à un système de reconnaissance faciale.

Si elles peuvent raisonnablement s'attendre à ce que des tiers accèdent ponctuellement aux photographies mises en ligne par la personne concernée, le caractère publiquement accessible de celles-ci ne suffit pas pour considérer que les personnes concernées puissent raisonnablement s’attendre à ce que leurs images alimentent un logiciel de reconnaissance faciale, d'autant plus lorsque ce logiciel n'est pas public et que la grande majorité des personnes concernées ignorent son existence.

Les personnes qui ont publié des photographies les représentant sur des sites web, ou consenti à cette publication auprès d'un autre responsable de traitement, ne s'attendent pas à ce que celles-ci soient réutilisées pour la création d’un logiciel de reconnaissance faciale (qui associe l'image d'une personne à un profil contenant l'ensemble des photographies sur lesquelles elle figure, les informations que ces photographies contiennent ainsi que les sites web sur lesquels elles se trouvent) et la commercialisation de ce logiciel à des forces de l'ordre.

Les principes de nécessité d'un traitement fondé sur l'intérêt public et de minimisation des données s'opposent à la mise en œuvre de systèmes d'identification par reconnaissance faciale d'enfants à des fins de contrôle d'accès à des établissements scolaires, dès lors que les objectifs de sécurisation et la fluidification des entrées dans de tels établissements peuvent être atteints par des moyens aussi efficaces et moins intrusifs, compte tenu de la protection particulière dont doivent bénéficier les enfants, même si ces systèmes étaient mis en œuvre à titre expérimental et reposeraient sur le consentement des élèves concernés.

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de reconnaissance faciale, constitue une ingérence dans l 'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que d e garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

En l'espèce, le requérant russe qui a manifesté pacifiq uement dans le métro moscovite, et dont des photographies et une vidéo ont été publiées sur un canal public de Telegram, a été identifié à partir de ces éléments, localisé puis interpellé, au moyen d'une technologie de reconnaissance faciale en temps réel.

Partant du principe selon lequel les mesures litigieuses poursuivaient le but légitime de la prévention des infractions pénales, la Cour estime que les mesures prises contre le requérant ont été particulièrement intrusives, surtout le recours à la techno logie de reconnaissance faciale en temps réel. Un niveau élevé de justification est donc nécessaire pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'ut ilisation de cette technologie. De plus, les données à caractère personnel qui ont été traitées renfermant des informations sur la participation du requérant à une manifestation pacifique, elles ont par conséquent révélé les opinions politiques de l'intére ssé. Elles appartenaient donc aux catégories particulières de données sensibles qui appellent un niveau de protection accru.

Le droit interne russe autorisait le traitement des données biométriques à caractère personnel dans le cadre de l'enquête et des po ursuites engagées pour toute infraction, quelles qu'en fussent la nature et la gravité.

Le requérant a été poursuivi pour une infraction administrative mineure qui n'a représenté aucun risque pour l'ordre public ou la sécurité des transports. Il n'a pas é té accusé d'avoir commis un acte répréhensible au cours de sa manifestation. L'utilisation d'une technologie de reconnaissance faciale très intrusive pour identifier et arrêter les participants à des actions de protestation pacifiques pourrait produire un effet dissuasif dans le domaine des droits à la liberté d'expression et de réunion.

Dans ces conditions, le traitement des données à caractère personnel du requérant au moyen de la technologie de reconnaissance faciale dans le cadre de la procédure adminis trative, ne répondait pas à un « besoin social impérieux » et ne pouvait être considéré comme « nécessaire dans une société démocratique ». La Cour EDH conclut donc à une violation de l'article 8.

En application du deuxième alinéa de l'article L. 242-4 du code de la sécurité intérieure, les dispositifs aéroportés ne peuvent procéder à la captation du son, ni comporter de traitements automatisés reconnaissance faciale. Ces dispositifs aéroportés ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d'autres traitements de données à caractère personnel. Toutefois, ces dispositions ne sauraient, sans méconnaître le droit au respect de la vie privée, être interprétées comme autorisant les services compétents à procéder à l'analyse des images au moyen d'autres systèmes automatisés reconnaissance faciale qui ne seraient pas placés sur ces dispositifs aéroportés.

L'enregistrement dans un traitement automatisé de données à caractère personnel d'une photographie de personnes mises en cause comportant les données biométriques nécessaires à la mise en œuvre d'un dispositif de reconnaissance faciale et permettant aux agents habilités d'identifier une personne à partir de l'image de son visage via une recherche automatisée pour les finalités mentionnées à l'article 230‑6 du code de procédure pénale tel que le prévoit l'article R. 40‑26 alinéa 16 de ce code répond à la condition de nécessité absolue posée par l'article 88 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Une telle identification et le rapprochement avec les données enregistrées dans le traitement pouvant s'avérer absolument nécessaires à la recherche des auteurs d'infractions et à la prévention des atteintes à l'ordre public.

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de recours à la reconnaissance faciale en temps réel, constitue une ingérence dans l'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que de garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

En l'espèce, le requérant russe qui a manifesté pacifiquement dans le métro moscovite, et dont des photographies et une vidéo ont été publiées sur un canal public de Telegram, a été identifié à partir de ces éléments, localisé puis interpellé, au moyen d'une technologie de recours à la reconnaissance faciale en temps réel.

Partant du principe selon lequel les mesures litigieuses poursuivaient le but légitime de la prévention des infractions pénales, la Cour estime que les mesures prises contre le requérant ont été particulièrement intrusives, surtout le recours à la technologie de reconnaissance faciale en temps réel. Un niveau élevé de justification est donc nécessaire pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'utilisation de cette technologie. De plus, les données à caractère personnel qui ont été traitées renfermant des informations sur la participation du requérant à une manifestation pacifique, elles ont par conséquent révélé les opinions politiques de l'intéressé. Elles appartenaient donc aux catégories particulières de données sensibles qui appellent un niveau de protection accru.

Le droit interne russe autorisait le traitement des données biométriques à caractère personnel dans le cadre de l'enquête et des poursuites engagées pour toute infraction, quelles qu'en fussent la nature et la gravité.

Le requérant a été poursuivi pour une infraction administrative mineure qui n'a représenté aucun risque pour l'ordre public ou la sécurité des transports. Il n'a pas été accusé d'avoir commis un acte répréhensible au cours de sa manifestation. L'utilisation d'une technologie de reconnaissance faciale très intrusive pour identifier et arrêter les participants à des actions de protestation pacifiques pourrait produire un effet dissuasif dans le domaine des droits à la liberté d'expression et de réunion.

Dans ces conditions, le traitement des données à caractère personnel du requérant au moyen de la technologie de reconnaissance faciale dans le cadre de la procédure administrative ne répondait pas à un « besoin social impérieux » et ne pouvait être considéré comme « nécessaire dans une société démocratique ». La Cour EDH conclut donc à une violation de l'article 8.

Les articles 230-6 et suivants et R. 40-26 et suivants du code de procédure pénale, qui permettent à des enquêteurs de recourir à la technique de reconnaissance faciale sans autorisation préalable d'un magistrat sont conformes à l'article 8 de la Convention européenne des droits de l'homme, tel qu'interprété par la Cour européenne des droits de l'homme. En effet, l'ingérence dans l'exercice du droit au respect de la vie privée résultant du recours à cette technique est justifiée par l'objectif légitime de poursuivre les auteurs d'infractions, et proportionnée au but recherché, dès lors que, d'une part, seules les données personnelles des personnes déclarées coupables des infractions les plus graves peuvent être contenues dans le fichier dont dépend l'outil utilisé pour la reconnaissance faciale, d'autre part, le juge, saisi par voie de requête en nullité, peut vérifier que seuls des agents spécialement habilités à cette fin ont accédé à ce fichier.

Le traitement de données à caractère personnel, dans lequel est enregistrée une photographie permettant le recours à un dispositif de reconnaissance faciale, ne constitue pas un dispositif disproportionné dès lors qu'il comporte des garanties appropriées permettant d'assurer que :

• la collecte des données biométriques relatives aux personnes mises en cause ne peut avoir lieu que dans les conditions prévues aux articles R. 40‑24 et R. 40‑25 du code de procédure pénale ;
• le traitement est opéré sous le contrôle du procureur de la République qui, d'office ou à la demande de la personne concernée, peut ordonner l'effacement ou la rectification des données biométriques ;
• le dispositif de reconnaissance faciale ne peut être mobilisé par les services compétents qu'en cas de nécessité absolue et sous la responsabilité des agents qui l'utilisent ;
• seuls certains magistrats et agents étant autorisés par décret à accéder aux données biométriques, cet accès est soumis à des obligations de traçabilité ;
• la mise en œuvre du traitement fait l'objet d'un suivi par un magistrat désigné par le ministre de la justice et est soumise au contrôle de la CNIL ;
• le responsable de traitement prend les mesures de sécurité appropriées au regard de la sensibilité des données en cause.

Proportionnalité

En application du deuxième alinéa de l'article L. 242‑4 du code de la sécurité intérieure, les dispositifs aéroportés ne peuvent procéder à la captation du son ni effectuer des traitements automatisés de reconnaissance faciale. Ces dispositifs aéroportés ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d’autres traitements de données à caractère personnel. Toutefois, ces dispositions ne sauraient, sans méconnaître le droit au respect de la vie privée, être interprétées comme autorisant les services compétents à procéder à l’analyse des images au moyen d’autres systèmes automatisés de reconnaissance faciale qui ne seraient pas placés sur ces dispositifs aéroportés.