Il est rare d’avoir pareille réaction de la Cnil. Le gendarme des données personnelles s’est fendu de plusieurs tweets visant à recadrer Christian Estrosi, alors que celui-ci affirmait avoir obtenu l’autorisation de la Cnil pour tester la reconnaissance faciale à Nice… sauf que, depuis l’entrée en vigueur du RGPD, le régulateur ne délivre plus d’autorisation préalable à la mise en place de dispositifs biométriques.
A l’occasion du carnaval, la municipalité de Nice va tester sur la voie publique un dispositif de reconnaissance faciale. La ville, connue pour son amour de la vidéosurveillance, entend expérimenter la solution d’une société monégasque, Confidentia, à partir des images de six caméras dans la zone de tests, avec un millier de volontaires.
Sur Twitter, Christian Estrosi ne cache pas son enthousiasme, allant jusqu’à affirmer avoir reçu de la Cnil « le 15 février l’autorisation d’expérimenter la reconnaissance faciale durant le @nice_carnaval » et remerciant au passage la nouvelle présidente de l’autorité, Marie-Laure Denis, quand sa prédécesseure lui avait donné du fil à retordre en retoquant un autre projet de la municipalité.
Mais la Cnil semble avoir très moyennement apprécié les écrits de l’édile niçois et a réagi dans une série de tweets (thread) par une courtoise mise au point. Si le régulateur a bel et bien échangé avec la mairie de Nice, elle rappelle néanmoins que le type de dispositifs évoqué par Christian Estrosi « ne sont plus soumis à autorisation préalable ». C’est donc dans « une logique d’accompagnement à la conformité » que les échanges ont eu lieu.
Des recommandations, pas d’autorisation
Et ce « dans un calendrier très serré » déplore la Cnil, informée le 1er février pour une expérimentation débutant le 16. « La @CNIL regrette l’urgence dans laquelle ses services ont été sollicités, ces circonstances n’étant pas de nature à favoriser un travail d’analyse approfondie du dispositif projeté » tweete le gardien des données personnelles. « Il est hautement souhaitable qu’un bilan de cette expérimentation dans un délai maximum de 2 mois à compter de la fin de l’événement lui soit adressé ».
L’autorité a insisté sur un certain nombre de points, notamment sur les modalités de recueil du consentement des volontaires, d’informations des usagers (les non-volontaires seront floutés) ainsi que sur le caractère expérimental du dispositif. « Dans le cadre actuel, l’expérimentation projetée ne saurait aller au-delà du simple test » précise la Cnil, puisque sa mise en œuvre « à des fins sécuritaires » quitterait le champ du RGPD pour celui de la directive Police/justice et « serait donc soumis, à minima, à l’intervention d’un décret en Conseil d’Etat ou d’1 loi ».