Systèmes de reconnaissance faciale dans les stades de sport

Nous avons été invités à prendre position sur deux des aspects du projet «Sécurité dans le sport». Il s’agissait avant tout des sujets «Recours à la biométrie ou à des dispositifs de reconnaissance faciale aux entrées d’un stade» et «Mise en relation des enregistrements vidéo dans les stades avec la biométrie ou la reconnaissance faciale». Le recours à des systèmes de reconnaissance faciale dans les stades est autorisé selon la loi sur la protection des données lorsque certaines conditions sont respectées.

Des représentants de la Confédération, de cantons et de fédérations sportives se sont réunis autour d'une «Table ronde pour lutter contre la violence dans le sport». Dans ce contexte, l'un des groupes de travail de la table ronde nous a demandé de prendre position sur deux des aspects du projet «Sécurité dans le sport». Il s'agissait avant tout des sujets «Recours à la biométrie ou à des dispositifs de reconnaissance faciale aux entrées d'un stade» et «Mise en relation des enregistrements vidéo dans les stades avec la biométrie ou la reconnaissance faciale».

Nous avons indiqué que la loi fédérale sur la protection des données est applicable lorsque des données personnelles sont traitées par des personnes privées (exploitants de stades privés) ou des organes fédéraux (Office fédéral de la police). Par contre, les lois cantonales sur la protection des données s'appliquent au traitement des données par des organes cantonaux (p. ex. police cantonale, police municipale). Dans de tels cas, l'appréciation des aspects liés à la protection des données est de la compétence du délégué cantonal (ou municipal) à la protection des données.

Notre prise de position (ci-après) se rapporte donc uniquement au traitement des données par des personnes privées et des organes fédéraux. En règle générale, il s'agit d'observer les principes généraux de la protection des données (licéité, proportionnalité, finalité, etc.). Les personnes privées doivent donc présenter un motif justificatif pour le traitement de données personnelles, à savoir le consentement de la personne concernée, un intérêt prépondérant public ou privé, ou une loi. Pour leur part, les organes fédéraux sont autorisés à traiter des données personnelles lorsqu'une base légale existe.

Pour le recours à la biométrie ou à des dispositifs de reconnaissance faciale aux entrées d'un stade, le groupe de travail pour le projet pilote nous a fait part de certaines contraintes. Le but du projet est d'éviter la violence en reconnaissant les personnes sous le coup d'une interdiction de stade ou d'une autre mesure au sens de l'art. 24a ss de la Loi fédérale instituant des mesures visant au maintien de la sûreté intérieure (LMSI; interdiction de périmètre, interdiction de se rendre dans un pays donné, obligation de se présenter à la police, garde à vue), et en les empêchant de pénétrer dans le stade.

Les installations de reconnaissances faciales mises en œuvre sont des appareils semi-mobiles, installés dans différentes entrées du stade, ces emplacements n'étant pas connus à l'avance par les spectateurs. Le contrôle facial s'effectue alors plus au moins en même temps que le contrôle des personnes, et de manière reconnaissable pour les personnes concernées. Un spécialiste est toujours présent lors de la reconnaissance faciale.

Les photos introduites dans les installations de reconnaissance faciale proviennent d'une part de la base de données HOOGAN de l'Office fédéral de la police, d'autre part des listes d'interdictions de stade des clubs de sport ou fédérations sportives. Les données sont toujours séparées selon leur provenance. En particulier, aucune donnée HOOGAN n'est copiée dans les listes d'interdictions de stade.

Les données HOOGAN et les listes d'interdictions de stade sont remises sur des clés USB chiffrées séparées et enregistrées dans deux galeries séparées.

Les données HOOGAN présélectionnées par l'Office fédéral de la police ne sont enregistrées que juste avant la manifestation sportive, puis détruites immédiatement après sous le contrôle d'un représentant autorisé de la police. Les conditions applicables sont donc identiques à celles qui existent déjà aujourd'hui, à la différence près que les données ne sont pas fournies sur papier, mais sur une clé USB chiffrée. L'Office fédéral de la police adaptera en conséquence le règlement de traitement HOOGAN, ainsi que la directive HOOGAN.

Les photos enregistrées sont comparées avec les visiteurs pénétrant dans le stade (facetracking). S'il n'y a pas de concordance, les images des personnes entrantes ne sont pas enregistrées. En cas de concordance, ce qui se passe peut encore être configuré; une sortie imprimée devrait alors être faite dans tous les cas afin de disposer d'une preuve. Dans le projet pilote, il n'y aura pas non plus de «base de données biométriques».

Dans ce contexte, nous avons donné l'appréciation suivante des aspects liés à la protection des données:

Pour la transmission des données HOOGAN aux organisateurs et responsables de la sécurité, des bases légales (LMSI et ordonnance correspondante) existent. De plus, conformément aux bases légales, les données peuvent être traitées dans des systèmes électroniques de reconnaissance de personnes. Toutefois, le règlement de traitement et la directive HOOGAN devraient encore être adaptés, puisqu'ils prévoient une transmission sur papier et non sous forme électronique. Dans ce cadre, il importe en outre d'assurer premièrement que les données transmises soient consignées et deuxièmement que les données soient supprimées en toute sécurité au terme de la manifestation sportive et qu'elles ne puissent pas être réutilisées. Nous constatons que la transmission de données sur une clé USB chiffrée doit, du point de vue de la protection des données, être considérée comme étant au moins équivalente à une transmission de données sur papier.

Pour la transmission de données provenant des listes d'interdictions de stade des clubs de sport et/ou des fédérations sportives à des organisateurs et responsables de la sécurité, l'existence d'un motif justificatif (intérêt prépondérant privé ou public) peut être affirmée. Toutefois, les principes généraux de la protection des données doivent là aussi être respectés. En particulier, les données personnelles ne peuvent être traitées que si elles ont été saisies de manière licite. A titre d'exemple, les photos de personnes sous le coup d'une interdiction de stade ne peuvent être traitées que si elles ont été prises de manière licite. C'est le cas lorsque les images ont été produites dans le cadre d'une surveillance vidéo à des fins de sécurité dans le stade et que les images enregistrées sont pertinentes en termes de sécurité (p. ex. violences).

De même, il existe en principe un motif justificatif (intérêt prépondérant privé ou public) pour la reconnaissance faciale lors d'un contrôle de personnes par des exploitants de stade ou leurs responsables de la sécurité. Les principes généraux de la protection des données sont là aussi applicables. Ainsi, selon le principe de proportionnalité, seules les données qui sont effectivement appropriées et nécessaires au but poursuivi peuvent être traitées. Par ailleurs, la sécurité des données doit être assurée au sens de la LPD. Selon la LMSI, il faut s'assurer en outre que les données HOOGAN ne sont pas mélangées à d'autres données et qu'elles sont effectivement supprimées après la manifestation. De plus, les spectateurs devraient être informés de la reconnaissance faciale par des panneaux indicateurs et éventuellement par une communication sur le billet d'entrée. L'impression d'une concordance à des fins de preuve est certainement admissible. Si le cas est transmis à la police cantonale, le traitement des données est, comme déjà mentionné, régi par le droit cantonal.

Nous avons attiré l'attention du groupe de travail sur le fait que ce n'est pas le PFPDT, mais les différentes personnes chargées du traitement des données (Office fédéral de la police, organisateurs selon la LMSI, etc.) qui restent responsables du respect de la législation en matière de protection des données. Finalement, nous nous sommes permis d'observer que nous doutions de l'efficience de l'installation; à notre avis la question de savoir si, étant donné les traitements de données prévus, le taux effectif de concordance de l'installation de reconnaissance faciale est suffisamment important pour justifier l'utilité de la mesure est contestable.

Enfin, nous avons attiré l'attention sur le fait que la reconnaissance faciale ne peut constituer un apport utile que si elle est combinée avec d'autres mesures (encadrement des supporters, recours à la police, etc.).

Quant à la mise en relation d'enregistrements vidéo dans le stade avec la biométrie ou la reconnaissance faciale, nous avons émis l'appréciation suivante:

Selon les indications du groupe de travail, il était également prévu de poursuivre la reconnaissance faciale pendant le jeu (après le contrôle d'entrée). Les dispositifs de reconnaissance faciale seraient alors connectés aux installations vidéo existantes dans les stades. Là aussi, les «non-concordances» ne seraient pas enregistrées. Le but serait d'annoncer d'éventuelles concordances à la police cantonale, qui rendrait ensuite visite à ces personnes.

Une telle pratique soulève la question de la proportionnalité. En tous les cas, les conditions mentionnées plus haut s'appliquent ici également. Le PFPDT n'est par ailleurs pas compétents pour apprécier les traitements de données effectués par la police cantonale.

Nous avons là aussi demandé au groupe de travail de s'assurer que, dans le cadre de son projet, les conditions de protection des données précitées soient respectées. Comme déjà mentionné, ce sont les différentes personnes chargées du traitement des données (Office fédéral de la police, organisateurs selon la LMSI, etc.) qui sont responsables du respect de la législation en matière de protection des données. Toutefois, la reconnaissance faciale devra être réévaluée après une certaine période par les organisateurs ou les responsables de la sécurité et la situation en matière de protection des données devra être vérifiée à nouveau sous l'aspect de la finalité et de la proportionnalité de la mesure.

Pour tous les autres points du projet pilote, par exemple sur la question de la reconnaissance faciale dans les lieux publics, nous n'avons pas pris position du fait que le groupe de travail ne les mentionnait qu'à titre accessoire et que le projet était encore insuffisamment concrétisé à nos yeux. D'autres problèmes en matière de protection des données, bien plus épineux, se posent et doivent encore être tirés au clair.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/16eme-rapport-d-activites-2008-2009/systemes-de-reconnaissance-faciale-dans-les-stades-de-sport.html