TA Marseille, 27 février 2020, La Quadrature du Net et autres, req. n°1901249

Lors de sa réunion du 14 décembre 2018, le conseil régional de la région Provence-Alpes-Côte d’Azur a délibéré en vue de :

  • lancer l’expérimentation du dispositif de contrôle d’accès virtuel par reconnaissance faciale dans les lycées Ampère de Marseille et Les Eucalyptus de Nice ;
  • approuver les conventions tripartites d’expérimentation lycée/région/société Cisco ;
  • autoriser le président à signer les conventions.

L’association La Quadrature du Net, la Ligue des Droits de l’Homme, la FCPE des Alpes-Maritimes et la CGT Educ’Action des Alpes-Maritimes ont demandé au tribunal administratif de Marseille l’annulation pour excès de pouvoir de cette délibération.

En premier lieu, le tribunal administratif a déclaré irrecevables les conclusions dirigées contre la délibération, en ce qu’elle a approuvé les conventions tripartites et a autorisé le président à les signer.

En effet, cette délibération présente le caractère d’un acte détachable de ces conventions, et les requérants, tiers à ces conventions, ne pouvaient former qu’un recours de pleine juridiction en contestation de validité de ces conventions devant le juge du contrat (CE, Ass., 4 avril 2014, Département de Tarn-et-Garonne, n°358994).

En second lieu, sont examinées les conclusions des requérants tendant à l’annulation de la délibération du 14 décembre 2018, en ce qu’elle a lancé une expérimentation du dispositif de contrôle d’accès virtuel par reconnaissance faciale dans deux établissements.

Le tribunal administratif de Marseille conclut à l’illégalité de la délibération à deux égards.

D’une part, la région PACA n’était pas compétente pour engager cette expérimentation.

En effet, aux termes de l’article L.214-6 du code de l’éducation, dans sa rédaction applicable à la date de la délibération litigieuse : « La région assure l’accueil, la restauration, l’hébergement ainsi que l’entretien général et technique, à l’exception des missions d’encadrement et de surveillance des élèves, dans les établissements dont elle a la charge. ».

De plus, aux termes de l’article R.421-10 du même code : « En qualité de représentant de l’Etat au sein de l’établissement, le chef d’établissement : / (…) 3° Prend toutes dispositions, en liaison avec les autorités administratives compétentes, pour assurer la sécurité des personnes et des biens, l’hygiène et la salubrité de l’établissement ; (…) ».

Or, le tribunal administratif constate que l’expérimentation engagée par la région, et dont elle a été l’initiateur, consistant en l’installation de portiques de reconnaissance faciale à l’entrée des lycées et qui a pour objet d’une part un contrôle d’accès biométrique et d’autre part, un suivi de trajectoire, relève des mission d’encadrement et de surveillance des élèves qui, en application des dispositions précitée, ressortissent à la compétence des chefs d’établissements et non de la région.

D’autre part, cette expérimentation contrevenait aux dispositions du règlement général sur la protection des données (RGPD).

En effet, si aux termes de l’article 9 du RGPD, le traitement des données à caractère biométrique aux fins d’identifier une personne physique de manière unique est en principe interdit, cette interdiction ne s’applique pas si la personne concernée a donné son consentement explicite au traitement de ces données ou si le traitement des données est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un état membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriés et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Or, en l’espèce, le tribunal administratif estime qu’aucune de ces deux exceptions au principe d’interdiction ne trouve à s’appliquer.

En effet, n’est pas libre et éclairé au sens du 11) de l’article 4 du RGPD, le consentement des lycéens concernés (ou de leurs représentants légaux s’ils sont mineurs) recueilli par la seule signature d’un formulaire alors que le public visé se trouve dans une relation d’autorité à l’égard des responsables des lycées.

Selon le tribunal, la régie ne justifie pas avoir ainsi prévu des garanties suffisantes afin d’obtenir des lycéens ou leurs représentants légaux qu’ils donnent leur consentement à la collecte de leurs données personnelles de manière libre et éclairée.

Par ailleurs, le tribunal relève que la région PACA n’établit pas que « les finalités poursuivies, s’attachant à la fluidification et la sécurisation des contrôles à l’entrée des lycées concernés constituent un motif d’intérêt public ni même que ces finalités ne pourraient être atteintes de manière suffisamment efficace par des contrôles par badge, assortis, le cas échéant, de l’usage de la vidéosurveillance. »

Pour ces raisons, le tribunal décide d’annuler la délibération du conseil régional en tant qu’elle a lancé l’expérimentation du dispositif de contrôle d’accès virtuel dans les deux lycées.

Pauline BAGHDASARIAN
Avocat associé

N'hésitez pas à partager cette actualité :

Découvrez nos autres actualités :