La reconnaissance faciale en direct, déployée dans l’espace public, n’est plus une hypothèse d’école. Entre l’arrêt Glukhin c. Russie rendu par la Cour européenne des droits de l’homme en juillet 2023 et l’entrée en application progressive du règlement (UE) 2024/1689 sur l’intelligence artificielle, le droit européen redessine les contours de l’article 8 de la Convention européenne des droits de l’homme face aux technologies de surveillance algorithmique. Tour d’horizon d’une jurisprudence en pleine mutation, à l’heure où plusieurs requêtes contre la France et le Royaume-Uni mettent à l’épreuve la compatibilité des dispositifs nationaux avec les standards conventionnels.
- Un cadre conventionnel sous tension
- L’arrêt Glukhin c. Russie : un tournant jurisprudentiel
- De Big Brother Watch à la surveillance massive
- L’IA Act : interdictions, exceptions et zones grises
- Convention 108+ : le pivot oublié
- Affaires pendantes contre la France et le Royaume-Uni
- Questions fréquentes
Un cadre conventionnel sous tension
L’article 8 de la Convention européenne des droits de l’homme protège le droit au respect de la vie privée. Depuis l’arrêt S. et Marper c. Royaume-Uni (2008), la Cour de Strasbourg considère que la conservation de données biométriques constitue une ingérence devant répondre aux exigences de prévisibilité légale, de finalité légitime et de proportionnalité. La reconnaissance faciale, par sa capacité à identifier de façon univoque une personne dans l’espace public, pousse cette grille d’analyse à ses limites.
Le développement parallèle du règlement européen sur l’intelligence artificielle, dont les dispositions relatives aux pratiques interdites sont applicables depuis le 2 février 2025, vient compliquer l’équation : un même dispositif peut être conforme au droit dérivé de l’Union tout en restant problématique au regard de la Convention, et inversement.
Un dialogue inévitable entre Strasbourg et Luxembourg
La coexistence des deux ordres juridiques impose aux États membres une double vigilance. Le standard conventionnel, plus souple mais plus exigeant sur la qualité de la loi, s’articule avec un règlement européen aux interdictions ciblées. L’enjeu est moins celui d’une hiérarchie que d’une convergence pratique des contrôles.
L’arrêt Glukhin c. Russie : un tournant jurisprudentiel
Dans son arrêt Glukhin c. Russie du 4 juillet 2023, la Cour européenne des droits de l’homme s’est prononcée pour la première fois sur l’usage de la reconnaissance faciale en direct par les forces de l’ordre. Le requérant, Nikolay Glukhin, avait été identifié dans le métro de Moscou grâce à des technologies de reconnaissance faciale, après avoir publié des photographies d’une manifestation pacifique solitaire en soutien à un militant de l’opposition.
La Cour a conclu à une violation des articles 8 et 10 de la Convention. Elle a jugé que le recours à des technologies de reconnaissance faciale hautement intrusives dans le cadre de procédures relatives à une infraction administrative mineure et à l’exercice d’une liberté fondamentale était incompatible avec les idéaux et valeurs d’une société démocratique régie par l’État de droit. La motivation est claire : plus la technologie est intrusive, plus l’exigence de justification est stricte.
Cet arrêt, accessible via le portail HUDOC (echr.coe.int), pose un jalon essentiel : la reconnaissance faciale en temps réel n’est pas en soi prohibée, mais son usage exige un cadre légal détaillé, une finalité strictement nécessaire et un contrôle proportionnalité renforcé.
De Big Brother Watch à la surveillance massive
L’arrêt de Grande Chambre Big Brother Watch et autres c. Royaume-Uni, rendu le 25 mai 2021, avait déjà fixé les standards conventionnels en matière de surveillance massive des communications. La Cour avait identifié huit garanties minimales (les end-to-end safeguards), parmi lesquelles l’autorisation préalable par un organe indépendant, la définition précise des motifs d’interception et le contrôle a posteriori effectif.
Si l’affaire concernait l’interception de communications et non la reconnaissance faciale stricto sensu, la grille d’analyse s’applique mutatis mutandis aux dispositifs algorithmiques de masse. La doctrine y voit la matrice d’un futur contrôle européen sur les outils prédictifs policiers, qu’il s’agisse du predictive policing à l’anglaise ou des plateformes d’analyse de risque déployées en France.
Une exigence de qualité de la loi renforcée
Strasbourg insiste sur la nécessité d’une base légale prévisible, accessible et entourée de garanties contre l’arbitraire. Pour la reconnaissance faciale, cela suppose une loi qui définisse les catégories d’infractions concernées, la durée de conservation des données biométriques, et les voies de recours ouvertes aux personnes identifiées à tort.
L’IA Act : interdictions, exceptions et zones grises
Le règlement (UE) 2024/1689, publié au Journal officiel le 12 juillet 2024 et consultable sur eur-lex.europa.eu, classe l’identification biométrique à distance en temps réel dans les espaces accessibles au public à des fins répressives parmi les pratiques interdites (article 5). Cette interdiction connaît toutefois trois exceptions strictement encadrées : la recherche ciblée de victimes spécifiques d’enlèvement, de traite ou d’exploitation sexuelle ; la prévention d’une menace grave et imminente, notamment terroriste ; et la localisation de personnes soupçonnées d’avoir commis certaines infractions graves énumérées à l’annexe II.
Chaque usage doit faire l’objet d’une autorisation préalable d’une autorité judiciaire ou administrative indépendante, sauf urgence dûment justifiée. Les États membres conservent une marge pour interdire totalement ou autoriser plus largement ces pratiques au plan national, sous réserve de respecter le plancher fixé par le règlement.
L’identification a posteriori, fondée sur des images préenregistrées, relève quant à elle des systèmes à haut risque (annexe III) et non des pratiques interdites. Les obligations applicables (analyse d’impact, supervision humaine, journalisation) sont entrées en vigueur progressivement, avec une montée en puissance des règles relatives aux systèmes à haut risque programmée pour août 2026.
Compatibilité avec l’article 8 CEDH
Le règlement européen ne dispense pas les États du respect de la Convention. Une autorisation conforme à l’IA Act pourrait néanmoins être jugée non conforme à l’article 8 si la base légale nationale s’avérait insuffisamment précise ou si la mesure était disproportionnée au cas d’espèce. C’est tout l’enjeu du dialogue futur entre les juridictions internes, la Cour de justice de l’Union européenne et la Cour de Strasbourg.
Convention 108+ : le pivot oublié
Adoptée en 1981 et modernisée par le Protocole de 2018 (Convention 108+), la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel demeure l’instrument transversal du Conseil de l’Europe en matière de données. Son article 11 prévoit des exceptions strictement encadrées pour la sécurité nationale et la prévention des infractions pénales, et son article 9 garantit un droit à ne pas être soumis à une décision purement automatisée affectant significativement la personne.
Pour les juristes internationalistes, ce texte constitue un pivot souvent négligé. Il s’applique aux 55 États parties et trouve un écho direct dans la motivation de la Cour européenne, qui s’y réfère régulièrement pour interpréter l’article 8 de la Convention. Sur la portée des engagements conventionnels en général, on lira utilement notre dossier sur la définition du droit international public.
Affaires pendantes contre la France et le Royaume-Uni
Plusieurs requêtes individuelles, dont certaines portées par des ONG, contestent devant Strasbourg le déploiement de dispositifs de vidéosurveillance algorithmique. La France, qui a expérimenté ces outils dans le cadre légal défini pour les Jeux olympiques et paralympiques de Paris 2024, fait l’objet d’une attention particulière de la part des associations de défense des libertés. La question centrale porte sur la qualité de la loi et sur l’absence éventuelle de cloisonnement effectif entre l’expérimentation et un usage durable.
Au Royaume-Uni, où la Court of Appeal of England and Wales avait jugé le 11 août 2020 dans l’affaire R (Bridges) v Chief Constable of South Wales Police que l’usage de la Live Facial Recognition par la police du Pays de Galles du Sud n’était pas suffisamment encadré, des contentieux ultérieurs explorent la compatibilité des nouvelles lignes directrices opérationnelles avec l’article 8. L’issue de ces affaires est attendue dans les prochains mois et devrait préciser le degré de contrôle exercé par la Cour sur les choix nationaux.
Pour comprendre comment la Cour articule contrôle conventionnel et marge nationale d’appréciation dans des domaines sensibles, on se reportera à notre analyse de la jurisprudence CEDH sur les politiques d’austérité. Les questions d’imputabilité internationale rejoignent par ailleurs des problématiques classiques d’immunité et de responsabilité étatique.
Questions fréquentes
La reconnaissance faciale en direct est-elle totalement interdite en Europe ?
Non. Le règlement (UE) 2024/1689 l’interdit en principe pour les usages répressifs dans les espaces publics, mais prévoit trois exceptions strictement encadrées : recherche de victimes ciblées, menace grave et imminente, et localisation d’auteurs présumés d’infractions graves listées à l’annexe II. Chaque usage doit être autorisé préalablement.
Que retient-on de l’arrêt Glukhin c. Russie ?
La Cour européenne des droits de l’homme a jugé, le 4 juillet 2023, que l’usage de la reconnaissance faciale pour identifier un manifestant pacifique pour une infraction administrative mineure violait les articles 8 et 10 de la Convention. L’arrêt pose le principe d’une exigence de proportionnalité renforcée à mesure que la technologie est intrusive.
L’IA Act prévaut-il sur la Convention européenne des droits de l’homme ?
Non, les deux instruments coexistent. Une mesure conforme au règlement européen peut néanmoins être contestée devant Strasbourg si la base légale nationale est insuffisante ou si la mesure est disproportionnée. Inversement, les États conservent la faculté d’adopter des règles plus protectrices que celles de l’IA Act.
Quel est le rôle de la Convention 108+ ?
Adoptée par le Conseil de l’Europe et modernisée en 2018, elle représente le socle conventionnel du droit à la protection des données personnelles. Elle encadre notamment les décisions automatisées et les traitements à des fins répressives, et nourrit l’interprétation que la Cour donne de l’article 8 de la Convention.
Quand l’IA Act sera-t-il pleinement applicable ?
Les interdictions de l’article 5 sont applicables depuis le 2 février 2025. Les obligations relatives aux systèmes à haut risque, dont relève l’identification biométrique a posteriori, montent en puissance jusqu’en août 2026, date à laquelle l’essentiel du règlement deviendra opposable.