Le 30 janvier 2026, le Conseil d'État a rejeté le recours de la commune de Nice. La décision n° 506370 met fin à un dispositif que la ville avait déployé devant ses 144 écoles depuis 2020 : des caméras associées à un algorithme capable de détecter en temps réel un véhicule stationné plus de cinq minutes à l'entrée d'un établissement scolaire. La haute juridiction administrative juge qu'« en l'état actuel de la loi », l'analyse algorithmique systématique des images de vidéosurveillance sur la voie publique n'est pas autorisée.

Ce n'est pas de la reconnaissance faciale au sens strict. C'est une analyse automatisée de comportements, sans identification biométrique. Et c'est précisément ce qui rend la décision instructive : elle dessine, par exclusion, la ligne rouge que la France a tenue jusqu'ici sur les usages les plus sensibles de la vidéosurveillance — celle de la reconnaissance faciale en temps réel dans l'espace public. Mais elle expose aussi, en creux, la stratégie d'avancement par paliers de l'État et de certaines collectivités.

Pour comprendre le débat français en 2026, il faut tenir deux idées en même temps. D'un côté, la ligne rouge officielle a tenu : la France n'a pas autorisé la reconnaissance faciale dans l'espace public, même pendant les Jeux olympiques de Paris. De l'autre, une infrastructure adjacente s'est installée par paliers : identité numérique avec contrôle facial, fichier de police contenant des photographies exploitables biométriquement, logiciels d'analyse vidéo dans les enquêtes, caméras dites « augmentées » pour détecter certains comportements, projets municipaux autour des écoles, usages privés dans les courses sportives ou les entreprises.

Pris séparément, chacun de ces outils est présenté comme ciblé, expérimental ou strictement encadré. Pris ensemble, ils dessinent ce que les institutions appellent désormais, sans détour, un risque de société de surveillance.

Reconnaissance faciale : de quoi parle-t-on exactement ?

La distinction est juridiquement cruciale, et elle est souvent ratée dans le débat public. La Commission nationale de l'informatique et des libertés (CNIL) la rappelle à chaque occasion : la reconnaissance faciale est une technologie biométrique. Elle traite des données biométriques au sens du Règlement général sur la protection des données (RGPD) — des données « résultant d'un traitement technique spécifique relatives aux caractéristiques physiques, physiologiques ou comportementales » d'une personne, et permettant de l'identifier de manière unique.

À cette catégorie répond un régime spécial. L'article 9 du RGPD interdit par principe le traitement des données biométriques aux fins d'identifier une personne physique. Les exceptions sont strictes : consentement explicite, motif d'intérêt public substantiel défini par un texte, sécurité nationale, sauvegarde des intérêts vitaux. Sans base légale spécifique, la reconnaissance faciale est, en France, interdite.

Cette catégorie ne couvre pas tout ce que les caméras peuvent faire. Une caméra qui détecte un mouvement de foule anormal, un colis abandonné ou un véhicule stationné trop longtemps ne fait pas de reconnaissance faciale. Elle analyse l'image, elle ne biométrise pas les personnes. C'est la vidéosurveillance algorithmique — parfois appelée « caméra augmentée » ou « VSA ». Le régime juridique applicable est plus permissif, mais lui aussi encadré : il exige une base légale spécifique pour toute analyse automatisée et systématique sur la voie publique. C'est précisément ce que le Conseil d'État vient de rappeler dans l'affaire Nice.

Cette distinction entre biométrie d'identification et analyse automatisée d'images est le pivot de tout le débat français. Dès 2019, la CNIL la formulait dans son texte de référence Reconnaissance faciale : pour un débat à la hauteur des enjeux :

Sept ans plus tard, la formule a tenu. Le débat est resté ouvert. Mais autour de la ligne officielle, une infrastructure s'est densifiée.

Une stratégie d'avancement par paliers

Pour saisir la trajectoire française, il faut suivre la chronologie. Elle révèle moins une rupture qu'un empilement.

Sept années, sept paliers. Chaque palier individuel a sa cohérence juridique. L'ensemble dessine une dynamique que la CNIL identifiait déjà en 2019 : le passage progressif d'une surveillance ciblée de certains individus à la possibilité d'une surveillance de tous pour en identifier quelques-uns.

ALICEM, lycées, Clearview : trois affaires fondatrices

Trois épisodes structurent le récit français de la reconnaissance faciale.

ALICEM, 2019-2022. Le dispositif d'identité numérique reposant sur une vérification faciale a été créé par décret du 13 mai 2019. Son objectif : permettre aux citoyens de s'identifier en ligne sur des services publics via une procédure incluant la lecture d'un titre biométrique et une vérification du visage. La Quadrature du Net a contesté le décret devant le Conseil d'État, qui a rejeté le recours le 4 novembre 2020. Sur le papier, c'était une validation du juge administratif. Sur le terrain, le dispositif est resté très peu utilisé, avant d'être abrogé en avril 2022 et remplacé par le Service de garantie de l'identité numérique (SGIN).

Le précédent est instructif. Il montre que le juge administratif n'a pas toujours fermé la porte aux usages biométriques — il a validé un dispositif fondé sur le consentement explicite, dans un cadre d'authentification volontaire. La ligne rouge porte sur l'identification dans l'espace public, pas sur l'authentification consentie.

Les lycées de Nice et Marseille, 2019. En juin 2019, la région Provence-Alpes-Côte d'Azur annonce une expérimentation : équiper deux lycées — un à Nice, un à Marseille — d'un système de reconnaissance faciale pour contrôler l'entrée des élèves. La CNIL est saisie. Le 17 octobre 2019, elle se prononce contre. Le dispositif, écrit-elle, n'est ni nécessaire ni proportionné : les objectifs poursuivis (sécurisation des entrées, fluidité des flux) peuvent être atteints par des moyens moins intrusifs, notamment le contrôle des cartes par un agent humain. L'expérimentation est abandonnée.

Cette décision a posé un précédent. Elle a marqué la ligne CNIL sur les usages biométriques scolaires, et plus largement sur les usages où la population concernée — ici des mineurs — n'a pas de choix réel face au dispositif.

Clearview AI, 2022-2023. L'entreprise américaine Clearview avait constitué, sans consentement, une base de plus de 20 milliards de photographies extraites d'Internet — réseaux sociaux, médias en ligne, sites publics — couplée à un moteur de recherche par reconnaissance faciale. Vendue à des polices privées et publiques dans plusieurs pays, la base permet de retrouver, à partir d'une photo, le nom d'une personne et ses comptes en ligne.

La CNIL a tranché. Le 20 octobre 2022, par sa délibération SAN-2022-019, elle inflige à Clearview AI une amende de 20 millions d'euros, l'ordonne de cesser la collecte et l'utilisation illégales de données biométriques de personnes situées en France, et lui ordonne d'effacer les données déjà collectées. Clearview ne s'exécute pas. En 2023, la commission liquide une astreinte de 5,2 millions d'euros supplémentaires.

Le précédent Clearview ne dit pas seulement « la France sanctionne ». Il dit surtout que les bases biométriques massives constituées par moissonnage non ciblé d'images sur Internet sont illégales — principe que l'AI Act inscrit en 2025 dans le droit de l'Union.

Les Jeux olympiques 2024 : la ligne rouge maintenue, sous condition

C'est dans la perspective des Jeux olympiques de Paris 2024 que le législateur français a dû arbitrer le débat. Le résultat est un compromis serré : la loi du 19 mai 2023, dite loi JOP 2024, autorise pendant une période expérimentale des traitements algorithmiques d'images dans les espaces publics et lieux accessibles au public, pour détecter en temps réel des événements prédéterminés — mouvements de foule anormaux, intrusions en zones interdites, colis abandonnés, départs de feu, présence d'armes.

La loi exclut explicitement la reconnaissance faciale. La CNIL l'a rappelé sans ambiguïté :

L'expérimentation a duré du printemps 2024 au 31 mars 2025. Elle a couvert les Jeux olympiques et paralympiques de Paris, plus d'autres événements ultérieurs. Le rapport d'évaluation officiel, remis le 10 janvier 2025 et publié sur Vie publique, recense l'ampleur : environ 30 événements, 70 lieux et 800 caméras testés au total.

Les chiffres opérationnels, eux, racontent une histoire plus nuancée.

Détection (RATP)Vrais positifsFaux positifs
Intrusion en zone interdite1 222324
Densité de population30541
Objets délaissés42151

Sur la détection d'objets délaissés, le taux de faux positifs dépasse 78 %. À la SNCF, sur 56 jours d'expérimentation, 1 552 signalements ont été générés ; pour les objets délaissés, 206 vrais positifs sur 629 alertes (soit environ deux tiers de faux positifs), contre 660 vrais positifs / 233 faux positifs pour les intrusions.

Ce n'est pas anodin. La performance opérationnelle de la vidéosurveillance algorithmique reste fortement dépendante du cas d'usage. Sur les intrusions, l'outil est utile. Sur les objets abandonnés ou les comportements complexes, il génère un bruit qui peut, à grande échelle, mobiliser des ressources humaines plus qu'il n'en libère. Le débat technique rejoint le débat démocratique : la promesse d'une surveillance « augmentée » par l'algorithme produit, dans la pratique, un excès d'alertes qu'il faut ensuite trier manuellement.

C'est l'une des leçons que la CNIL a tenues à transmettre dans son avis sur la prolongation du dispositif : la vidéo-algorithmique n'est pas une simple amélioration technique de la vidéosurveillance classique. Comme l'a souligné notre analyse plus large du cadre français de la surveillance d'État, le passage à l'analyse automatisée transforme la nature même de la surveillance : les personnes ne sont plus seulement filmées, elles sont analysées en temps réel.

L'affaire Nice : un test grandeur nature pour la ligne rouge

C'est dans ce contexte que la décision du Conseil d'État du 30 janvier 2026 prend toute sa valeur juridique.

Les faits sont relativement simples. En 2020, la commune de Nice, dirigée par Christian Estrosi, déploie devant ses 144 écoles un dispositif baptisé « zone d'intrusion — entrées des écoles » : des caméras de vidéoprotection couplées à un algorithme qui détecte automatiquement la présence d'un véhicule stationné plus de cinq minutes pendant les horaires d'ouverture, et déclenche une alerte vers la police municipale.

En avril 2023, la CNIL contrôle le dispositif et met la commune en demeure de produire une analyse d'impact relative à la protection des données. Par sa délibération du 15 mai 2025, la commission juge que la mise en œuvre du dispositif n'est pas autorisée en l'état du droit, faute de base légale spécifique. La commune saisit alors le Conseil d'État.

La décision est rendue le 30 janvier 2026 (n° 506370). La 10ème et la 9ème chambres réunies confirment la position de la CNIL. Leur raisonnement est limpide : le Code de la sécurité intérieure permet la vidéosurveillance sur la voie publique (article L. 251-2), mais ne peut être interprété, dans son silence, comme autorisant l'utilisation d'algorithmes pour analyser de manière systématique et automatisée les images collectées dans des espaces publics. Aucun autre texte n'autorise non plus une telle mise en œuvre.

La portée de la décision dépasse largement le cas niçois. En pratique, elle ferme la porte à toute généralisation locale de dispositifs de vidéoprotection algorithmique sans intervention préalable du législateur. Les communes qui envisageaient des projets similaires doivent attendre une loi spécifique. La distinction est nette : vidéosurveillance classique (visionnage humain) reste possible, vidéo-algorithmique (analyse automatisée) exige une base légale dédiée.

Le motif est juridique. Mais il est aussi démocratique. Comme le formule la décision : le passage à l'analyse algorithmique systématique transforme qualitativement l'atteinte aux libertés publiques. Ce n'est pas la même chose de regarder des images de caméras et de les faire analyser, en continu, par un système qui déclenche des actions opérationnelles.

L'AI Act européen : ce qui change depuis février 2025

Pendant que la France débat dispositif par dispositif, l'Union européenne a tranché en bloc. Le Règlement sur l'intelligence artificielle — l'AI Act — est entré en vigueur le 1ᵉʳ août 2024. Ses premières interdictions sont applicables depuis le 2 février 2025.

Trois interdictions concernent directement la reconnaissance faciale :

  1. L'identification biométrique à distance en temps réel dans les espaces accessibles au public est interdite, sauf exceptions étroites pour les forces de l'ordre (recherche ciblée d'une victime d'enlèvement, prévention d'une menace terroriste imminente, identification d'un suspect d'une infraction grave figurant sur une liste fermée). Ces exceptions nécessitent une autorisation préalable et un encadrement strict.
  2. La création ou l'extension de bases de reconnaissance faciale par moissonnage non ciblé d'images extraites d'Internet ou de la vidéosurveillance est interdite — c'est précisément le modèle Clearview, désormais explicitement prohibé sur l'ensemble de l'Union.
  3. L'inférence d'émotions sur le lieu de travail et dans les établissements d'enseignement par des systèmes d'IA est interdite, sauf usages médicaux ou de sécurité.

Le régime complet des systèmes d'IA dits « à haut risque » — qui inclut de nombreuses applications biométriques en dehors du temps réel — entrera en application le 2 août 2026.

Pour la France, l'AI Act ne change pas radicalement la donne : la ligne rouge nationale était déjà plus stricte que le minimum européen sur plusieurs points. Mais il donne au cadre français une assise européenne : un dispositif qui contournerait la ligne rouge française se heurterait désormais aussi au droit de l'Union, opposable directement aux États membres et aux acteurs privés.

TAJ, BriefCam, Disclose : les zones grises persistent

C'est ici que le tableau se complique. La ligne rouge officielle a tenu, mais plusieurs affaires récentes documentent des usages qui s'en rapprochent — voire la dépassent.

Le TAJ. Le traitement des antécédents judiciaires est le principal fichier de la police nationale et de la gendarmerie. Selon des données reprises par la presse spécialisée et les enquêtes parlementaires, il contient en février 2022 plus de 24 millions de fiches de personnes physiques mises en cause, dont 8 millions anonymisées. Les fiches comportent des photographies enregistrées avec des caractéristiques techniques permettant le rapprochement biométrique. Une fonctionnalité officielle existe dans les terminaux mobiles des forces de l'ordre depuis 2022 : prise de photo sur le terrain, recherche dans le TAJ via reconnaissance faciale, dans un cadre strictement réservé aux enquêtes judiciaires et aux agents individuellement habilités.

L'affaire BriefCam. Le logiciel d'analyse vidéo édité par cette société israélienne, filiale de Canon, a été acquis par plusieurs services de police et de gendarmerie sans que la CNIL en soit officiellement informée. Cela fait l'objet de révélations par Disclose en novembre 2023. Le ministère de l'Intérieur a publié, le 28 octobre 2024, son rapport d'enquête administrative. Le constat officiel est précis : sur près de 600 exploitations du logiciel par les services de police, le rapport identifie un cas unique d'utilisation illégale de la fonctionnalité de reconnaissance faciale.

Cette formulation est importante. Elle nuance les présentations plus larges du dossier qui ont circulé dans la presse et chez certaines organisations. Le rapport officiel parle d'un cas unique, pas d'un usage massif. La CNIL a ensuite prononcé, le 5 décembre 2024, plusieurs mises en demeure rappelant la nécessité d'empêcher techniquement toute activation de la fonction reconnaissance faciale du logiciel.

L'enquête Disclose de mars 2026. Le média d'investigation publie le 16 mars 2026 une enquête vidéo affirmant que des policiers et gendarmes utilisent, sur leurs téléphones de service, une reconnaissance faciale reliée au TAJ — y compris lors de contrôles d'identité hors cadre judiciaire strict. L'enquête a généré plusieurs questions écrites à l'Assemblée nationale, notamment la question n° 14143. À la date de cette recherche, aucune réponse gouvernementale consolidée n'a été repérée publiquement.

Ces trois éléments — TAJ, BriefCam, enquête Disclose — appartiennent à des registres juridiques différents. Le TAJ a une base légale. BriefCam a été régularisé après contrôle CNIL. L'enquête Disclose, à ce stade, relève de l'allégation médiatique étayée mais non confirmée par décision juridictionnelle. Mais ensemble, ils dessinent l'angle mort du cadre français : les usages qui se développent dans la zone grise entre cadre légal officiel, pratique opérationnelle et contrôle effectif.

La position de l'Europe : un sentiment de surveillance constante

Le Comité européen de la protection des données (EDPB) a adopté, dans sa version finale de mai 2023, ses Lignes directrices 05/2022 sur l'usage de la reconnaissance faciale par les forces de l'ordre. La doctrine est ferme : ces technologies, par leur capacité à identifier discrètement et à grande échelle, peuvent produire un effet sur la liberté d'expression, de religion, d'association et de réunion.

Cette formule du « sentiment de surveillance constante » n'est pas anecdotique. Elle dit que le cœur du problème n'est pas seulement la performance technique de la reconnaissance faciale — son taux de précision, ses biais démographiques, ses faux positifs. Le problème est aussi sociologique et démocratique : à partir du moment où une population sait, ou présume, qu'elle peut être identifiée biométriquement à tout instant dans l'espace public, le comportement collectif change. Manifester, fréquenter un lieu de culte, se rendre à une consultation médicale sensible, rencontrer une source si l'on est journaliste — toutes ces actions deviennent des actes potentiellement traçables. L'effet juridique a un nom : le chilling effect, l'auto-censure des libertés publiques.

La Cour européenne des droits de l'homme a déjà tranché un cas. Dans l'affaire Glukhin c. Russie du 4 juillet 2023, elle a jugé que l'utilisation de la reconnaissance faciale par les autorités russes pour identifier puis poursuivre un manifestant pacifique tenant une pancarte en faveur d'un opposant politique violait les articles 8 (vie privée) et 10 (liberté d'expression) de la Convention. La Cour considère que ce type d'usage est « incompatible avec les idéaux et les valeurs d'une société démocratique régie par l'État de droit ».

L'arrêt concerne la Russie. Il a une portée pédagogique pour l'ensemble du Conseil de l'Europe : la reconnaissance faciale employée contre des manifestants n'est pas, en principe, compatible avec les droits fondamentaux. Les autorités françaises, parties à la Convention, en tiennent compte dans leurs choix de doctrine.

Et le privé ? Aéroports, courses sportives, entreprises

Le débat français se focalise souvent sur l'État. Mais la reconnaissance faciale s'installe aussi, et de manière croissante, dans des contextes privés ou hybrides : contrôles d'accès en entreprise, fluidification des passages aux frontières dans les aéroports, identification d'athlètes lors d'événements sportifs, gestion des spectateurs dans certaines salles.

Plusieurs cas ont été documentés en 2024-2025. La presse a notamment révélé l'usage illégal de reconnaissance faciale dans certaines courses sportives françaises pour identifier les coureurs sur les photos d'arrivée. Une saisine de la CNIL est en cours ; à la date de ces lignes, aucune décision finale publique n'a été repérée.

Dans le monde du travail, des dispositifs de pointage par reconnaissance faciale apparaissent. Ils posent une triple question : consentement réel des salariés (qui sont en situation de subordination), proportionnalité au regard d'objectifs moins intrusifs (badges, codes), centralisation des gabarits biométriques (qui en pratique multiplie les risques de fuite ou de réutilisation).

Aux frontières, le Comité européen de la protection des données a rendu un avis spécifique sur la reconnaissance faciale dans les aéroports. Il distingue plusieurs scénarios : authentification volontaire et consentie (par exemple un parcours « facilité » réservé aux passagers qui en font la demande), avec stockage local et temporaire du gabarit biométrique, versus identification systématique de tous les passagers avec création d'une base centralisée. Le premier est juridiquement défendable. Le second pose, pour le comité, des problèmes substantiels de proportionnalité.

Sur tous ces sujets, le RGPD reste la norme générale. La licéité dépend du contexte, du fondement juridique, de la centralisation ou non des gabarits, du consentement réel et de la proportionnalité. Il n'existe pas de réponse globale du type « la reconnaissance faciale privée est toujours autorisée » ou « toujours interdite ». Il existe une grille d'analyse, appliquée au cas par cas.

Des caméras de surveillance installées sur un bâtiment, illustrant l'usage croissant de la reconnaissance faciale dans le secteur privé.

L'opinion : une demande d'encadrement plus stricte

Le Défenseur des droits a publié en 2022 une enquête sur la perception sociale des technologies biométriques en France. Le chiffre central : 84 % des personnes interrogées jugent prioritaire ou importante l'idée de renforcer l'encadrement juridique de ces technologies afin de mieux garantir le respect des droits.

Le résultat ne dit pas que la population française est hostile à la reconnaissance faciale en bloc. Il dit qu'elle ne se satisfait pas de l'état actuel du débat. C'est une donnée politique importante : sur ce dossier, la pression de l'opinion ne va pas systématiquement dans le sens d'une libéralisation. Elle va plutôt dans le sens d'une demande de clarté juridique et d'un contrôle plus serré.

Ce que la décision du Conseil d'État laisse entendre

Revenons à la décision du 30 janvier 2026. Sa portée immédiate est claire : pas de vidéo-algorithmique systématique sur la voie publique sans loi dédiée. Mais sa formulation contient un message implicite, important pour la suite du débat.

Le Conseil d'État ne dit pas « interdit, point ». Il dit « non autorisé en l'état actuel de la loi ». La nuance est cruciale. Elle laisse explicitement ouverte la possibilité d'une loi à venir qui établirait une base légale pour ces dispositifs — comme la loi JOP 2024 l'a fait pour les caméras augmentées dans le cadre des grands événements. La décision est donc autant un message au législateur qu'un signal aux collectivités locales.

Plusieurs scénarios sont sur la table dans le débat français :

  • L'extension de l'expérimentation JOP au-delà du 31 mars 2025, sous une forme adaptée. Le bilan opérationnel mitigé rend ce scénario plus difficile à argumenter.
  • Une loi spécifique sur la vidéosurveillance algorithmique dans les espaces sensibles (gares, aéroports, abords scolaires) — sans reconnaissance faciale. Ce scénario suit la logique d'un encadrement par cas d'usage.
  • Le statu quo, en s'appuyant sur le cadre actuel et sur l'application de l'AI Act. C'est probablement le scénario le plus stable juridiquement, mais le moins satisfaisant pour les acteurs de la sécurité publique qui plaident pour une montée en gamme technique.

Sur la reconnaissance faciale stricto sensu dans l'espace public, aucun signal politique récent ne suggère une révision de la ligne rouge. Ni le gouvernement ni l'Assemblée n'ont entamé de travaux préparatoires en ce sens. Mais l'enquête Disclose de mars 2026 et les questions parlementaires qui en découlent ont rouvert le débat sur les usages policiers existants — TAJ, terminaux mobiles, identification dans le cadre d'enquêtes. C'est sur ce terrain, plus que sur celui d'une loi nouvelle, que la ligne rouge pourrait être testée dans les mois à venir.

Une question politique, pas seulement technique

Le débat sur la reconnaissance faciale est souvent présenté comme un débat sur la performance technique : que peuvent vraiment faire les algorithmes ? quels sont leurs biais démographiques ? combien de faux positifs ? Ces questions sont importantes — le rapport NIST de référence évalue 189 algorithmes sur 18,27 millions d'images et confirme l'existence de biais significatifs selon l'origine ethnique, le genre et l'âge des personnes.

Mais ce n'est pas le cœur du débat. Le cœur du débat est démocratique. Comme l'écrivait la CNIL dès 2019, la question posée est celle d'un éventuel changement de paradigme : le passage d'une surveillance ciblée de certains individus suspectés à la possibilité d'une surveillance permanente de tous afin d'en identifier quelques-uns.

C'est une question qui ne se résout pas seulement à l'aune de la performance ou de l'efficacité opérationnelle. Elle suppose un débat collectif sur ce qu'une société démocratique accepte de céder en matière d'anonymat dans l'espace public. Sur ce que signifie pouvoir marcher dans la rue sans être identifié biométriquement. Sur ce que signifie manifester, fréquenter un lieu de culte, rencontrer une source, sans laisser de trace numérique exploitable.

Ces questions se posent aussi pour des médias indépendants comme Kero : la protection des sources, la confidentialité des rendez-vous, l'anonymat des témoins exige un espace public où certains gestes restent traçables uniquement de façon ciblée — pas par défaut.

La ligne rouge française, en 2026, tient encore. Elle tient parce qu'elle est tenue : par la CNIL, par le Conseil d'État, par les associations qui contestent, par les journalistes qui enquêtent, par le législateur qui n'a pas voté l'extension. Elle est aussi fragile : par le millefeuille des outils adjacents, par les zones grises documentées par Disclose, par la pression des acteurs sécuritaires qui plaident pour plus de moyens.

Le débat n'est pas clos. Comme l'écrivait l'EDPB, l'enjeu est d'éviter qu'un jour, dans nos villes, un sentiment de surveillance constante remplace ce qui fait la spécificité démocratique d'un espace public : la possibilité de s'y déplacer sans avoir à se justifier.

Sources