AdmisConcours
Recrutements Bibliothèque Concours
← Décryptages thématiques
Libertés fondamentales 17/04/2026

Reconnaissance faciale, identification biométrique et libertés fondamentales : les faux positifs policiers et l'encadrement européen entre règlement sur l'IA, protection des données et vérification d'âge

Aux États-Unis, l'affaire Angela Lipps, rendue publique en mars 2026, illustre les risques systémiques liés à l'usage policier de la reconnaissance faciale. Cette Américaine de 50 ans a passé plus de cinq mois en détention dans le Dakota du Nord après avoir été identifiée à tort comme auteure d'une fraude bancaire par un logiciel de reconnaissance faciale. La police de Fargo a reconnu des erreurs dans la procédure après l'abandon des poursuites. Ce cas s'inscrit dans une série d'identifications erronées documentées : en 2020, Robert Williams avait été arrêté à tort dans le Michigan après une correspondance algorithmique erronée, affaire qui avait conduit, après un accord en 2024, à un encadrement renforcé de la reconnaissance faciale par la police de Detroit. En avril 2025, Trevis Williams a été arrêté et détenu plus de deux jours à New York après une fausse correspondance faciale du NYPD, malgré des différences physiques manifestes avec le suspect recherché. L'ACLU (Union américaine pour les libertés civiles) dénonce de manière récurrente les biais raciaux de ces technologies, les études académiques confirmant un taux d'erreur significativement plus élevé sur les personnes noires. Parallèlement, la Commission européenne a annoncé le 15 avril 2026, par la voix de sa présidente Ursula von der Leyen, que son application de vérification d'âge était « techniquement prête ». Fondée sur le principe de « preuve à connaissance zéro », elle permettra de prouver son âge auprès de plateformes en ligne sans transmettre de données personnelles supplémentaires. Sept États membres (France, Danemark, Grèce, Italie, Espagne, Chypre, Irlande) l'intégreront dans leurs portefeuilles numériques nationaux.

Le cadre juridique de la reconnaissance faciale : données biométriques et protection des droits fondamentaux

La reconnaissance faciale repose sur le traitement de données biométriques, catégorie de données personnelles bénéficiant d'une protection renforcée en droit européen. L'article 9 du Règlement général sur la protection des données (RGPD, règlement (UE) 2016/679) pose le principe de l'interdiction du traitement des données biométriques aux fins d'identification unique d'une personne physique, sauf exceptions limitativement énumérées : consentement explicite, motifs d'intérêt public important, ou nécessité liée à des motifs de sécurité. La directive (UE) 2016/680, dite « directive Police-Justice », encadre spécifiquement les traitements de données dans le cadre des activités de prévention et de détection des infractions pénales, en imposant des garanties de nécessité et de proportionnalité.

En droit français, la loi n° 78-17 du 6 janvier 1978, modifiée, dite « Informatique et Libertés », renvoie aux exceptions du RGPD et confie à la CNIL la mission de veiller au respect de ces dispositions. Le Conseil constitutionnel a consacré le droit au respect de la vie privée comme composante de la liberté proclamée par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 (CC, décision n° 99-416 DC du 23 juillet 1999). Le Conseil d'État, dans le cadre du contrôle de la proportionnalité des mesures de police, applique une grille d'analyse rigoureuse aux dispositifs de surveillance, veillant à ce que les atteintes aux libertés soient strictement nécessaires et proportionnées à l'objectif de sécurité poursuivi.

Le règlement européen sur l'intelligence artificielle : une approche graduée de la biométrie

Le règlement (UE) 2024/1689 sur l'intelligence artificielle (RIA, dit « AI Act »), adopté le 21 mai 2024 et publié au Journal officiel le 12 juillet 2024, instaure une approche fondée sur les risques. Ses dispositions entrent en application progressivement : les interdictions des pratiques à risque inacceptable sont applicables depuis le 2 février 2025, et l'ensemble des règles relatives aux systèmes d'IA à haut risque (dont la biométrie) sera applicable à compter du 2 août 2026.

Le règlement interdit en principe l'utilisation de systèmes d'identification biométrique à distance « en temps réel » dans les espaces accessibles au public à des fins répressives (article 5). Toutefois, des exceptions sont prévues dans des cas limitativement énumérés : recherche ciblée de victimes d'enlèvement ou de traite, prévention d'une menace terroriste imminente, localisation ou identification d'une personne soupçonnée d'une infraction grave figurant sur une liste limitative. Ces exceptions sont subordonnées à une autorisation préalable d'une autorité judiciaire ou administrative indépendante, à un cadrage géographique et temporel strict, et à un contrôle de proportionnalité. L'identification biométrique à distance « a posteriori » (analyse différée d'images de vidéosurveillance) est classée comme système à haut risque, soumise à des obligations de transparence, de traçabilité et de supervision humaine.

Cette architecture reflète la tension entre l'objectif de sauvegarde de l'ordre public et la protection des droits fondamentaux garantis par la Charte des droits fondamentaux de l'Union européenne, en particulier le respect de la vie privée et familiale (article 7), la protection des données à caractère personnel (article 8), le droit à la non-discrimination (article 21) et la présomption d'innocence (article 48).

Les biais algorithmiques : une menace pour l'égalité de traitement et la présomption d'innocence

Les erreurs d'identification documentées aux États-Unis mettent en lumière un problème structurel : les biais algorithmiques. Les études menées par le National Institute of Standards and Technology (NIST) américain ont démontré que les algorithmes de reconnaissance faciale présentent des taux d'erreur significativement plus élevés pour les personnes noires, les femmes et les personnes âgées. Ce constat soulève des questions fondamentales au regard du principe d'égalité de traitement (article 1er de la Constitution française, article 14 de la CEDH) et de la présomption d'innocence (article 9 de la DDHC, article 6 § 2 de la CEDH).

La Cour européenne des droits de l'homme, dans sa jurisprudence relative à la conservation de données biométriques par les autorités policières, a posé des exigences strictes. Dans l'arrêt S. et Marper c. Royaume-Uni du 4 décembre 2008, la Grande Chambre a jugé que la conservation indifférenciée d'empreintes digitales, d'échantillons biologiques et de profils ADN de personnes non condamnées constituait une atteinte disproportionnée au droit au respect de la vie privée garanti par l'article 8 de la Convention. Cette jurisprudence, bien qu'antérieure à la généralisation de la reconnaissance faciale, fournit un cadre d'analyse directement transposable : la collecte et la conservation de données biométriques faciales doivent être nécessaires, proportionnées et assorties de garanties suffisantes contre les abus.

La vérification d'âge européenne : protection des mineurs et minimisation des données

L'application de vérification d'âge annoncée par la Commission le 15 avril 2026 s'inscrit dans la stratégie ProtectEU et dans le cadre du règlement sur les services numériques (DSA, règlement (UE) 2022/2065). Le système repose sur le principe de « preuve à connaissance zéro » (zero-knowledge proof), permettant de prouver une propriété (l'atteinte d'un âge minimum) sans révéler les données sous-jacentes. Cette approche est conforme au principe de minimisation des données posé par l'article 5, paragraphe 1, c) du RGPD.

L'application s'articule avec le futur portefeuille européen d'identité numérique, prévu par le règlement eIDAS 2 (règlement (UE) 2024/1183), dont le déploiement est attendu pour fin 2026. Sept États membres ont participé aux tests et s'apprêtent à intégrer l'outil dans leurs systèmes nationaux. En France, ce développement complète les dispositions de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN), qui impose aux plateformes des obligations de vérification d'âge pour l'accès aux contenus pornographiques.

Enjeux pour les concours

Le candidat doit maîtriser le cadre juridique à trois niveaux applicable à la reconnaissance faciale. Au niveau constitutionnel, le droit au respect de la vie privée (article 2 DDHC, CC n° 99-416 DC) et la présomption d'innocence (article 9 DDHC). Au niveau européen, les articles 7, 8, 21 et 48 de la Charte des droits fondamentaux, l'article 8 de la CEDH (arrêt S. et Marper c. Royaume-Uni, 2008), l'article 9 du RGPD (interdiction de principe du traitement des données biométriques) et le règlement sur l'IA de 2024 (interdiction de la biométrie en temps réel avec exceptions encadrées, applicable au 2 août 2026). Au niveau national, la loi Informatique et Libertés de 1978 et le rôle de la CNIL. Le candidat retiendra que les biais algorithmiques constituent une menace pour l'égalité de traitement et que le règlement sur l'IA impose une supervision humaine des systèmes à haut risque. Enfin, l'application européenne de vérification d'âge illustre la recherche d'un équilibre entre protection des mineurs (DSA) et minimisation des données (RGPD), via des technologies préservant la vie privée. La distinction entre identification biométrique « en temps réel » (interdite sauf exceptions) et « a posteriori » (haut risque) est un point technique essentiel du règlement sur l'IA.

Partager

Fiches pour approfondir

Le droit à l'assistance d'un avocat : de la garde à vue au jugement
Libertés fondamentales
Les droits de la défense dans le procès pénal : fondements conventionnels et constitutionnels
Libertés fondamentales
Le principe de dignité humaine : fondements, consécrations et portée juridique
Libertés fondamentales
L'abolition de l'esclavage : un processus juridique long et discontinu
Libertés fondamentales

Autres brèves — Libertés fondamentales

Proposition de loi Yadan sur les formes renouvelées de l'antisémitisme : l'articulation entre répression pénale des discours de haine, liberté d'expression et principe de légalité des délits et des peines
La fuite de données EduConnect et la protection renforcée des données personnelles des élèves mineurs : entre obligations RGPD, responsabilité de l'État employeur et effectivité du contrôle de la CNIL
L'interdiction du voile pour les mineures dans l'espace public : un débat à l'épreuve du bloc de constitutionnalité, de la Convention européenne et de la jurisprudence sur la laïcité
La surveillance volontaire des messageries après l'expiration de la dérogation ePrivacy : un défi majeur pour la légalité de l'ingérence dans la vie privée à l'ère du numérique
L'utilisation illégale de la reconnaissance faciale par les forces de l'ordre lors des contrôles d'identité : entre défaillance du cadre juridique français et condamnation européenne du fichage biométrique systématique