Reconnaissance faciale en espace public en 2026 : ce que l'AI Act interdit vraiment et comment défendre vos droits

La reconnaissance faciale en espace public est désormais encadrée par un double cadre juridique — européen et national — aux contours encore partiellement flous. Depuis l'entrée en vigueur de l'AI Act en août 2024 et l'application progressive de ses dispositions les plus contraignantes, les règles du jeu ont profondément changé : certains usages sont désormais explicitement interdits, d'autres restent en zone grise. En France, la vidéosurveillance algorithmique (VSA) héritée des Jeux Olympiques de Paris 2024 continue de fonctionner, les expérimentations policières se multiplient, et la CNIL a commencé à adresser ses premières mises en demeure. Voici ce que vous devez savoir concrètement sur vos droits face à la reconnaissance faciale dans les lieux publics en 2026.

Dans cet article, nous allons décortiquer le cadre légal applicable, analyser les tensions entre droit européen et pratiques françaises, et vous donner les clés pour contester une identification biométrique illégale.

Contexte juridique

L'AI Act interdit la reconnaissance faciale en temps réel dans l'espace public, sauf exceptions strictes ; le RGPD protège les données biométriques depuis 2018.

La reconnaissance faciale repose sur le traitement de données biométriques — des données à caractère personnel d'une nature particulièrement sensible. Leur protection est assurée, en premier lieu, par le Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679), dont l'article 9 soumet tout traitement de données biométriques à une interdiction de principe, assortie d'exceptions limitativement énumérées (consentement explicite, sécurité publique, intérêt vital, etc.).

En France, la loi Informatique et Libertés (loi n°78-17 du 6 janvier 1978, modifiée), transposant le RGPD et la directive Police-Justice, confie à la CNIL (Commission Nationale de l'Informatique et des Libertés) le contrôle de ces traitements. Toute expérimentation de reconnaissance faciale par une autorité publique doit faire l'objet d'une analyse d'impact relative à la protection des données (AIPD) préalable, conformément à l'article 35 du RGPD.

La grande rupture est venue de l'AI Act (Règlement UE 2024/1689), entré en vigueur le 1er août 2024. Ce texte fondateur a classé plusieurs systèmes d'IA biométrique parmi les pratiques interdites (Titre II, article 5) et les systèmes à haut risque (Annexe III). Ses dispositions les plus contraignantes sur les systèmes biométriques sont devenues applicables à partir de février 2025, avec une période de transition pour certains opérateurs courant jusqu'en août 2026.

Par ailleurs, la loi française n°2023-380 du 19 mai 2023 relative aux Jeux Olympiques et Paralympiques a introduit un cadre expérimental pour la vidéosurveillance algorithmique (VSA), légalisée à titre temporaire pour les JO de Paris 2024. Ce texte a été prolongé et adapté par décret, alimentant un débat persistant sur la pérennisation de ces outils.

Analyse approfondie

L'AI Act crée une ligne rouge nette : la surveillance biométrique de masse en temps réel est interdite, mais la France navigue dans les exceptions.

Ce que l'AI Act interdit absolument

L'article 5 de l'AI Act prohibe, sans dérogation possible pour les acteurs privés, les systèmes d'identification biométrique à distance en temps réel dans les espaces accessibles au public à des fins répressives. Cette interdiction vise précisément les caméras qui scannent les visages dans une foule pour les comparer à une base de données en direct.

Pour les autorités de police, des exceptions très encadrées existent (article 5, paragraphe 1, alinéa d) : - Recherche d'une personne disparue ou victime de traite - Prévention d'une menace terroriste imminente et spécifique - Localisation ou identification d'un auteur d'infraction grave (crime passible d'au moins 4 ans d'emprisonnement selon la décision-cadre 2002/584/JAI)

Ces exceptions nécessitent une autorisation judiciaire préalable ou, en cas d'urgence absolue, une autorisation délivrée dans les plus brefs délais. Les systèmes d'identification biométrique a posteriori (sur enregistrement, non en temps réel) sont quant à eux classés comme systèmes à haut risque et soumis à des obligations renforcées (article 10 et suivants) : qualité des données d'entraînement, documentation technique, supervision humaine, enregistrement des logs.

La VSA française : entre légitimité et zone grise

La vidéosurveillance algorithmique autorisée par la loi JO 2023 ne constitue pas, techniquement, de la reconnaissance faciale au sens strict : elle détecte des comportements anormaux (mouvement de foule, objet abandonné, bagarre) sans identifier les individus. C'est du moins la distinction juridique que défend le gouvernement français.

Cependant, la CNIL, dans sa délibération n°2023-024 du 16 mars 2023, avait émis des réserves sur la frontière entre détection comportementale et identification biométrique, notant que certains algorithmes pouvaient, par dérive technique ou reconfiguration, basculer vers une identification individuelle. En mars 2026, la question reste ouverte : selon un rapport du Comité interministériel sur l'IA et les libertés publiques (février 2026), au moins 12 villes françaises continuent d'utiliser des systèmes de VSA dans leurs réseaux de transport, sans que la distinction comportemental/biométrique soit systématiquement vérifiable par des tiers indépendants.

Tableau comparatif : usages de la reconnaissance faciale selon le cadre applicable

Les premières mises en demeure de la CNIL

La CNIL est passée à l'action : elle a adressé, entre septembre 2025 et mars 2026, trois mises en demeure à des collectivités locales et un opérateur de transport pour déploiement de systèmes de reconnaissance faciale sans base légale valide et sans AIPD conforme. Ces mises en demeure, rendues publiques en application de l'article 22 de la loi Informatique et Libertés, constituent un signal fort. Une mise en demeure non suivie d'effet peut déboucher sur une sanction allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial (article 83 du RGPD).

Implications pratiques

En 2026, tout citoyen peut contester une identification biométrique illégale — mais les voies de recours restent complexes à actionner seul.

Du côté des citoyens

Si vous pensez avoir fait l'objet d'une identification par reconnaissance faciale dans un espace public, voici les recours disponibles :

1. Exercer votre droit d'accès (article 15 du RGPD) auprès du responsable de traitement (commune, préfecture, SNCF, etc.) pour savoir si vos données biométriques ont été traitées.
2. Déposer une plainte auprès de la CNIL (article 77 du RGPD) : la CNIL dispose d'un formulaire en ligne dédié. Elle a l'obligation d'informer le plaignant des suites données.
3. Saisir le tribunal administratif si le responsable est une autorité publique, ou le tribunal judiciaire si c'est un acteur privé, sur le fondement de l'article 82 du RGPD (responsabilité du responsable de traitement).
4. Recours collectif via une association : depuis la transposition de la directive recours collectifs (loi n°2023-222 du 30 mars 2023), des associations agréées peuvent agir en justice au nom d'un groupe de personnes lésées.

Du côté des opérateurs publics et privés

Les opérateurs déployant des systèmes de reconnaissance faciale doivent, depuis le 2 août 2025, respecter les obligations de l'AI Act applicables aux systèmes à haut risque : - Inscription dans la base de données EU des systèmes à haut risque (article 49 de l'AI Act) - Évaluation de conformité avant mise sur le marché - Désignation d'un représentant autorisé pour les opérateurs non établis dans l'UE - Supervision humaine effective de toute décision individuelle

Les opérateurs qui méconnaissent ces obligations s'exposent à des amendes pouvant atteindre 30 millions d'euros ou 6 % du chiffre d'affaires annuel mondial pour les violations des pratiques interdites (article 99 de l'AI Act).

Tensions et perspectives : la France face à ses contradictions

La France se trouve dans une position ambivalente. D'un côté, elle a soutenu activement au Parlement européen les exceptions sécuritaires de l'AI Act. De l'autre, elle a développé, via la loi JO et les expérimentations policières (notamment le système Briefcam utilisé par la police nationale, révélé en 2023 et dont l'usage s'est poursuivi), des pratiques qui se situent à la frontière de ce que le droit européen autorise.

Des voix discordantes s'élèvent : la Quadrature du Net et la Ligue des droits de l'Homme ont déposé en janvier 2026 un recours devant le Conseil d'État contestant la prolongation du cadre VSA au-delà des JO. À l'opposé, le ministère de l'Intérieur défend que ces outils sont indispensables à la sécurité des grands événements et des transports.

Points clés à retenir

• L'AI Act interdit la reconnaissance faciale en temps réel dans l'espace public, avec seulement trois exceptions très encadrées réservées aux forces de l'ordre et soumises à autorisation judiciaire.
• Les données biométriques sont des données sensibles au sens de l'article 9 du RGPD : leur traitement est interdit par défaut, sauf exception légale explicite.
• La VSA française (loi JO 2023) n'est pas formellement de la reconnaissance faciale, mais la frontière technique et juridique est contestée par la CNIL et des associations de défense des libertés.
• Tout citoyen peut saisir la CNIL gratuitement pour signaler un traitement biométrique illicite, et obtenir réparation devant les tribunaux en cas de préjudice prouvé.
• Les amendes encourues par les opérateurs sont considérables : jusqu'à 30 millions d'euros ou 6 % du CA mondial pour violation des règles de l'AI Act.
• Les systèmes d'identification a posteriori (sur enregistrement non temps réel) restent légaux mais classés à haut risque : ils doivent respecter des exigences strictes de documentation et de supervision humaine.
• La période de transition de l'AI Act court jusqu'en août 2026 pour certains opérateurs : c'est une fenêtre courte pour se mettre en conformité.

Questions fréquentes

La police française a-t-elle le droit d'utiliser la reconnaissance faciale dans la rue ?

En principe non, sauf dans des cas très limités. L'article 5 de l'AI Act interdit la reconnaissance faciale en temps réel dans l'espace public à des fins répressives, sauf pour localiser une victime disparue, prévenir une attaque terroriste imminente ou identifier l'auteur d'un crime grave — avec autorisation judiciaire. En dehors de ces exceptions, tout usage est illégal au regard du droit européen.

Qu'est-ce que la vidéosurveillance algorithmique (VSA) et est-elle différente de la reconnaissance faciale ?

La VSA détecte des événements ou comportements anormaux dans une foule (attroupement, chute, objet abandonné) sans identifier les individus. La reconnaissance faciale, elle, compare un visage à une base de données pour identifier une personne précise. Juridiquement, ce sont deux régimes distincts — mais techniquement, la frontière peut être mince si un système est mal configuré ou délibérément détourné.

Comment savoir si j'ai été identifié par reconnaissance faciale ?

Vous pouvez exercer votre droit d'accès (article 15 du RGPD) en adressant une demande écrite au responsable de traitement (mairie, SNCF, préfecture, etc.). Celui-ci a un mois pour vous répondre (délai extensible à trois mois pour les demandes complexes). En cas de refus ou d'absence de réponse, vous pouvez saisir la CNIL.

Puis-je porter plainte si je pense avoir été illégalement identifié par reconnaissance faciale ?

Oui. Vous pouvez déposer une plainte auprès de la CNIL via son formulaire en ligne, et/ou saisir le tribunal compétent (administratif pour une autorité publique, judiciaire pour un acteur privé). Une association agréée peut également agir à votre place ou à vos côtés dans le cadre d'un recours collectif.

L'employeur peut-il utiliser la reconnaissance faciale pour contrôler l'accès à l'entreprise ?

Cela reste légal en France sous conditions strictes : le traitement doit reposer sur le consentement explicite du salarié (article 9 du RGPD), une AIPD doit avoir été réalisée, et les représentants du personnel doivent avoir été consultés (article L.1121-1 du Code du travail). En pratique, le consentement d'un salarié est rarement considéré comme libre face à son employeur, ce qui rend ces dispositifs très risqués juridiquement.

Quelles sont les sanctions prévues pour une entreprise qui utilise illégalement la reconnaissance faciale ?

Les sanctions sont doubles : au titre du RGPD, jusqu'à 20 millions d'euros ou 4 % du CA mondial (article 83 du RGPD) ; au titre de l'AI Act, jusqu'à 30 millions d'euros ou 6 % du CA mondial pour violation des pratiques interdites (article 99 de l'AI Act). Ces deux régimes peuvent se cumuler.

Le système Briefcam utilisé par la police est-il légal ?

L'utilisation du logiciel Briefcam par la police nationale française, révélée en 2023, a suscité une polémique importante car il permettait une identification biométrique sans base légale claire. En mars 2026, une instruction du Conseil d'État est toujours en cours sur ce point, suite au recours déposé par la Quadrature du Net. La CNIL a demandé des clarifications au ministère de l'Intérieur, sans qu'une réponse définitive ait été rendue publique à ce jour.

La reconnaissance faciale dans les aéroports (type PARAFE) est-elle légale ?

Le système PARAFE (Passage Automatisé Rapide aux Frontières Extérieures) repose sur la comparaison d'un visage avec les données biométriques stockées dans le passeport électronique du voyageur — avec son consentement préalable (possibilité de passer par un contrôle humain). Ce système est distinct de la surveillance de masse : il ne compare pas le visage à une base externe, mais uniquement au document présenté. Il est considéré comme légal au regard du RGPD et de l'AI Act, sous réserve de respecter les obligations applicables aux systèmes à haut risque.

Cet article est publié à titre informatif et ne constitue pas un conseil juridique. Pour toute situation personnelle, consultez un avocat spécialisé en droit des données personnelles ou en droit public.