Reconnaissance faciale en France : ce que dit la loi, ce qui se pratique, et ce qu'on interdit
À l'aéroport, mon smartphone se déverrouille grâce à mon visage et je passe les portiques PARAFE sans ralentir le pas. Deux usages anodins de la reconnaissance faciale qui facilitent le quotidien, mais qui suffisent à alimenter tous les fantasmes : Orwell, Big Brother, surveillance permanente… La France de 2025 n'est pourtant pas encore sous dictature algorithmique. Oui, la reconnaissance faciale existe bel et bien, mais non, elle ne nous suit pas encore à chaque coin de rue. Alors, légalement parlant, qu'est-il possible de faire aujourd'hui avec cette technologie ? Où sont les limites à ne pas franchir ? Et surtout : vers quoi se dirige-t-on ?
Authentifier ou identifier : une nuance à double entrée
La reconnaissance faciale ne désigne pas un seul usage, mais bien deux logiques distinctes qui partagent le même nom. Authentifier, c'est vérifier qu'une personne est bien celle qu'elle prétend être. Exemple typique : Face ID sur votre smartphone, une vérification 1:1, entre vous et votre jumeau numérique.
Identifier, en revanche, c'est tenter de retrouver une personne dans une foule, en comparant son visage à une base d'images : une recherche 1:N, bien plus intrusive. Et c'est là que la reconnaissance faciale change de visage.
Ce que dit la loi française (et européenne)
En France, comme en Europe, la reconnaissance faciale est régie par un cadre juridique strict. Le RGPD interdit par principe le traitement des données biométriques, dont les visages font partie, sauf exceptions : consentement explicite, urgence vitale ou intérêt public majeur. Toutefois, dans les contextes professionnel et privé, le consentement n'est généralement pas reconnu comme une base juridique suffisante, notamment en raison du lien de subordination. Dans ce cas, d'autres fondements doivent être envisagés, comme l'intérêt légitime ou une obligation légale. Et si une solution moins intrusive peut répondre au même objectif, elle doit être privilégiée. Pour les usages régaliens (police, justice, etc.), le cadre est encore plus contraint : un traitement biométrique ne peut être mis en œuvre que s'il est prévu par une loi, ou, à défaut, par un décret en Conseil d'État pris après avis motivé et publié de la CNIL.
Ainsi, impossible pour les forces de l'ordre d'utiliser des caméras équipées d'identification biométrique dans l'espace public en temps réel. Cette interdiction a été renforcée par l'AI Act européen, adopté en mai 2024, qui précise clairement la distinction entre reconnaissance faciale "en temps réel" (interdite sauf exceptions très précises) et "a posteriori" (autorisée sous conditions strictes). L'utilisation exceptionnelle devra être validée par une autorité indépendante et justifiée par des cas extrêmes tels que le terrorisme, l'enlèvement ou encore la traque d'un suspect d'infraction grave (terrorisme, homicide, trafic de drogue).
Ces cas dérogatoires devront être précisément définis par chaque État membre et soumis à l'autorisation préalable d'une autorité judiciaire ou administrative indépendante. Le cadre légal actuel, bientôt renforcé par l'AI Act, place donc la reconnaissance faciale dans une case verrouillée. À double serrure : l'une européenne, l'autre nationale.
Usages actuels : pragmatiques et limités
Certains usages de la reconnaissance faciale sont déjà intégrés au quotidien. Aux frontières, par exemple, les sas automatiques PARAFE permettent une authentification rapide (reconnaissance 1:1 via votre passeport biométrique), fiable et bien acceptée. Difficile de trouver quelqu'un pour s'en offusquer : elle évite la file sans trop bousculer les libertés, et le consentement volontaire. Vous êtes libre de choisir la file plus longue, pour le plaisir du sourire en uniforme.
Autre usage, plus discret : l'identification a posteriori par la police via le fichier TAJ (Traitement des antécédents judiciaires). En pratique, les enquêteurs extraient une image captée par une caméra après un délit, et la soumettent à un logiciel qui la compare aux millions de photos contenues dans le TAJ. Cette pratique a été validée par le Conseil d'État en 2022, malgré les protestations d'associations comme La Quadrature du Net, qui y voient une forme de surveillance sourde, mais bien réelle.
Dans le secteur privé, la reconnaissance faciale s'est imposée sans fracas dans nos smartphones ou certaines applis bancaires, en remplacement du code PIN. Qui s'en émeut ? Personne. Les données faciales restent stockées localement, et c'est vous qui décidez d'activer ou non l'option.
Plus récemment, le groupe Proman a déployé Izicheck : une vérification d'identité instantanée par selfie, pour lutter contre les usurpations. Cette fonctionnalité intégrée à l'application d'Iziwork utilise la reconnaissance faciale pour s'assurer que la personne en mission chez leur client correspond bien aux papiers présentés. Une innovation en cours d'expérimentation.
Des entreprises ont également envisagé de remplacer les badges par des portiques à reconnaissance faciale, et certains stades ont testé l'identification de supporters persona non grata. Mais comme le précise Marie Duboys-Fresney, de la CNIL : "Aucun déploiement pérenne à ce jour. Tout au plus, quelques expérimentations, menées avec le consentement des participants. "
La reconnaissance faciale en France reste donc cantonnée à quelques usages bien identifiés : sécurité aux frontières, enquête judiciaire a posteriori, et authentification choisie. On est loin d'une jungle numérique où nos visages seraient scannés à tout bout de caméra. Et pour l'instant, c'est le droit qui tient la souris.
Lignes rouges : les usages interdits
La reconnaissance faciale en temps réel dans l'espace public est interdite. Le fichage généralisé des citoyens via une base centralisée l'est tout autant. En 2019, une expérimentation d'accès par reconnaissance faciale dans deux lycées de PACA a été jugée illégale par la CNIL, puis confirmée par la justice. Même sort pour l'entreprise américaine Clearview AI, lourdement sanctionnée en France pour avoir aspiré, sans autorisation, des millions de photos en ligne.
La France s'interdit, pour l'instant, tout usage qui s'apparenterait à une surveillance généralisée ou non consentie. Pas de caméras-radars à visages dans les rues. Pas de flicage biométrique dans les lieux d'enseignement ou de travail. Pas de reconnaissance des émotions. Pas de moissonnage sauvage de photos Facebook pour entraîner un algorithme policier.
Les "yeux" électroniques doivent rester fermés sur nos traits. La France tient sa ligne de vigilance. Mais en matière de sécurité, il y a toujours des regards insistants.
Quelles perspectives pour les années à venir ?
À court terme, la France devra mettre en œuvre l'AI Act et préciser les cas d'exception : sur quels critères ? Avec quelle autorité de contrôle ? Pour quelle durée ? Autant de curseurs à positionner avant de brancher la machine. Côté technologie, la reconnaissance faciale progresse. Les taux d'erreur reculent, mais varient encore selon qu'on soit une femme ou un homme, à la peau claire ou foncée. Les biais se corrigent (lentement), les algorithmes accélèrent. L'outil devient à la fois plus utile… et plus risqué.
Plus utile, car un système plus fiable réduit les erreurs, et renforce l'argumentaire des partisans : difficile de dire non à une techno quasi infaillible censée sauver des vies. Mais plus risqué aussi, car une reconnaissance faciale omniprésente et précise ferait tomber l'un des derniers freins concrets à la surveillance généralisée. Et le jour où la technologie sera prête, la tentation suivra de près. Raison de plus, selon les ONG, pour inscrire des garde-fous dans le marbre juridique tant qu'il est encore temps.
Cette prudence affichée n'empêche pas certains responsables politiques d'espérer plus loin. Le 23 mai 2025, sur RTL, Gérald Darmanin, désormais ministre de la Justice, lâchait : " Vous verrez, dans 5 ou 10 ans, on fera de la reconnaissance faciale. " Pour lui, ces caméras intelligentes pourraient devenir un levier central contre le narcotrafic et l'insécurité. Une manière de glisser que le verrou légal n'est qu'une question de temps. Reste à voir si le cadre suivra… ou finira par plier.
Un usage bien cadré, bien perçu, pourrait passer sans heurts. Un faux pas, en revanche, suffirait à faire remonter les digues. Les pouvoirs publics le savent. Et avancent prudemment. Disons… en chaussons sur un plancher de microprocesseurs.