Reconnaissance faciale et police en France : ce que la loi autorise (et interdit) vraiment en 2026

La reconnaissance faciale par les forces de l'ordre est légalement encadrée en France par un faisceau complexe de textes qui en limitent strictement l'usage.

Depuis la polémique de mars 2026 — déclenchée par la révélation de l'utilisation de systèmes d'identification biométrique lors d'opérations de maintien de l'ordre — la question du droit applicable à la reconnaissance faciale algorithmique s'est imposée au cœur du débat public. Entre l'AI Act européen, entré en vigueur en août 2024, les dispositions de la loi relative aux Jeux Olympiques (loi du 19 mai 2023), et les exigences constitutionnelles de protection des droits fondamentaux, le juriste est confronté à une zone de friction inédite. Cet article vous guide à travers les méandres d'un encadrement juridique qui reste, en 2026, partiellement inachevé.

Contexte juridique

L'AI Act classe la reconnaissance faciale en temps réel dans l'espace public comme un usage "à haut risque", voire interdit en principe.

L'AI Act (Règlement (UE) 2024/1689), publié au Journal officiel de l'Union européenne le 12 juillet 2024 et partiellement applicable depuis août 2024, constitue le premier cadre réglementaire mondial dédié à l'intelligence artificielle. Son article 5 pose une interdiction de principe des systèmes d'identification biométrique à distance en temps réel dans les espaces accessibles au public à des fins répressives. Il s'agit d'une des rares catégories rangées dans les "pratiques interdites" (Titre II du règlement).

Toutefois, le législateur européen a ménagé trois exceptions strictes, codifiées à l'article 5, paragraphe 1, point d) :

1. La recherche ciblée de victimes de certaines infractions pénales graves (enlèvement, traite d'êtres humains, exploitation sexuelle) ;
2. La prévention d'une menace terroriste spécifique, substantielle et imminente ;
3. La localisation ou identification d'une personne soupçonnée d'avoir commis une infraction pénale grave listée à l'annexe II du règlement.

Ces exceptions sont assorties de conditions cumulatives : autorisation préalable d'une autorité judiciaire ou administrative indépendante, nécessité absolue et proportionnalité, limitation temporelle et géographique stricte, notification obligatoire à l'autorité de surveillance du marché.

En droit français, la base législative complémentaire réside dans la loi n° 2023-380 du 19 mai 2023 relative aux Jeux Olympiques et Paralympiques, qui a temporairement autorisé — à titre expérimental jusqu'au 31 mars 2025 — l'utilisation de systèmes d'analyse d'images par algorithme dans les espaces publics. Cette expérimentation, pilotée sous contrôle de la CNIL, excluait expressément toute identification biométrique individuelle. Or la frontière entre "analyse comportementale de la foule" et "identification de personnes" est, selon plusieurs experts, techniquement poreuse.

Analyse approfondie

En France, aucun texte post-JO n'a pérennisé un cadre légal autorisant la reconnaissance faciale policière, créant un vide juridique dangereux.

Les textes en tension

La loi n° 78-17 du 6 janvier 1978 (loi Informatique et Libertés), modifiée pour transposer le RGPD et la directive Police-Justice (2016/680/UE), encadre en droit interne le traitement des données biométriques. Son article 88 impose que tout traitement de données biométriques à des fins de prévention et de détection des infractions repose sur une base légale explicite, une nécessité absolue et des garanties spécifiques. À ce jour, aucune loi française n'a explicitement autorisé la reconnaissance faciale en temps réel dans les espaces publics à des fins de maintien de l'ordre ordinaire.

Le Code de procédure pénale (articles 74-2, 230-1 à 230-5) encadre le recours aux fichiers d'antécédents (TAJ, FAED) et permet des rapprochements biométriques dans le cadre d'une procédure judiciaire ouverte — mais ces dispositions visent une utilisation a posteriori, non en temps réel.

La jurisprudence du Conseil constitutionnel est ici déterminante : dans sa décision n° 2021-817 DC du 20 mai 2021 relative à la loi "Sécurité globale", le Conseil a censuré les dispositions relatives à la captation d'images par drones, rappelant que toute atteinte à la liberté individuelle (article 2 de la Déclaration de 1789) et au droit au respect de la vie privée doit être justifiée par un motif d'intérêt général suffisant et proportionnée à cet objectif.

Tableau comparatif des régimes applicables

La polémique de mars 2026 : une révélation juridiquement explosive

Selon des informations relayées par plusieurs médias en mars 2026, des unités de police auraient utilisé un logiciel de croisement facial sur des images issues de la vidéoprotection urbaine lors d'opérations de maintien de l'ordre, sans base légale explicite post-expérimentation JO. Cette situation soulève trois problèmes juridiques majeurs :

1. L'absence de base légale : L'expérimentation ouverte par la loi JO ayant expiré le 31 mars 2025, tout usage de systèmes algorithmiques d'identification est dépourvu de fondement légal en France, sauf dans le strict cadre judiciaire du CPP.

2. La responsabilité de l'État pour erreur algorithmique : En droit administratif, la responsabilité de l'État peut être engagée sur le fondement de la faute de service (CE, Assemblée, 9 avril 1993, Bianchi, n° 65074) ou du risque spécial lié à l'utilisation d'une technologie présentant des dangers particuliers. Une identification erronée entraînant une garde à vue injustifiée constituerait une atteinte à la liberté individuelle susceptible d'engager la responsabilité de l'État devant le tribunal administratif, voire de donner lieu à une question prioritaire de constitutionnalité sur les dispositions organisant (ou ne prohibant pas) cet usage.

3. Le risque de discrimination systémique : Plusieurs études scientifiques, dont le rapport du NIST (National Institute of Standards and Technology) de 2022, ont documenté des taux d'erreur significativement plus élevés des systèmes de reconnaissance faciale pour les personnes à peau foncée (taux de faux positifs jusqu'à 100 fois supérieurs selon les algorithmes testés). Une telle erreur différenciée pourrait constituer une discrimination indirecte au sens de l'article 1er de la loi n° 2008-496 du 27 mai 2008, voire une violation de l'article 14 de la Convention européenne des droits de l'homme.

Implications pratiques

Pour les citoyens comme pour les administrations, l'absence de cadre légal clair fait peser des risques juridiques considérables sur tous les acteurs.

Du point de vue des autorités de sécurité

Les forces de l'ordre se trouvent dans une position inconfortable : dotées de moyens technologiques opérationnels, elles évoluent sans cadre légal adapté. Le ministère de l'Intérieur plaide depuis début 2026 pour une loi-cadre autorisant, sous contrôle renforcé, certains usages de la reconnaissance faciale. Cette position rejoint celle du Livre blanc sur la sécurité intérieure publié en 2021, qui avait déjà identifié le besoin d'un régime juridique spécifique.

Du point de vue des citoyens et des libertés publiques

La CNIL, dans sa délibération n° 2022-118 du 22 septembre 2022, avait averti que la généralisation de la reconnaissance faciale risquait de transformer l'espace public en espace de surveillance permanente, incompatible avec une société démocratique. La Ligue des droits de l'Homme et plusieurs associations de défense des libertés ont déposé des recours contentieux début 2026 pour faire cesser les pratiques révélées en mars.

Le parallèle avec la protection du patrimoine économique

Cette problématique de la surveillance algorithmique n'est pas sans lien avec les enjeux de sécurité économique que défend le SISSE (Service de l'information stratégique et de la sécurité économiques). Comme l'expliquaient Gustave Gauquelin, chef du SISSE, et Jérôme Dupré, directeur de projet en charge de l'extraterritorialité du droit, dans leur entretien accordé à Dalloz Actualité, la souveraineté de l'État repose autant sur la maîtrise des technologies stratégiques que sur la protection des données. L'extraterritorialité du droit américain — via des obligations de coopération imposées aux fournisseurs de logiciels de reconnaissance faciale domiciliés aux États-Unis — constitue une menace réelle pour la souveraineté juridique française, analogue à celles que la loi de blocage (loi n° 68-678 du 26 juillet 1968, réformée en 2022) entend contrer.

Points clés à retenir

• L'AI Act interdit en principe la reconnaissance faciale en temps réel dans les espaces publics, sauf trois exceptions strictement encadrées (art. 5 du Règlement UE 2024/1689).
• Aucun texte français n'a pérennisé un cadre légal pour la reconnaissance faciale policière après l'expiration de l'autorisation JO le 31 mars 2025.
• La loi JO de 2023 n'autorisait que l'analyse comportementale algorithmique, non l'identification biométrique individuelle.
• La responsabilité de l'État peut être engagée devant le juge administratif en cas d'erreur algorithmique causant un préjudice, sur le fondement de la faute de service ou du risque spécial.
• Les biais algorithmiques documentés (taux d'erreur différenciés selon l'origine ethnique) exposent l'État à des recours pour discrimination indirecte au sens du droit européen.
• La CNIL dispose d'un pouvoir de sanction allant jusqu'à 20 millions d'euros pour violation des règles sur les données biométriques.
• La souveraineté technologique est un enjeu transversal : le recours à des logiciels étrangers de reconnaissance faciale soulève des questions d'extraterritorialité du droit analysées par le SISSE.

Questions fréquentes

La reconnaissance faciale est-elle légale en France pour la police ?

En l'état du droit en mai 2026, non : aucun texte n'autorise l'identification biométrique en temps réel dans les espaces publics à des fins de maintien de l'ordre ordinaire. L'expérimentation ouverte par la loi JO a expiré en mars 2025, et l'AI Act interdit ce type d'usage sauf exceptions très strictes non encore transposées en droit interne français.

Quelles sanctions encourt l'État si un citoyen est mal identifié par un algorithme ?

Une erreur d'identification entraînant une mesure de privation de liberté injustifiée engage la responsabilité de l'État devant le tribunal administratif pour faute de service. La victime peut obtenir réparation de son préjudice moral et matériel, et saisir parallèlement la CEDH pour violation de l'article 5 (droit à la liberté) et de l'article 8 (vie privée) de la Convention européenne des droits de l'homme.

Qu'est-ce que l'AI Act prévoit exactement sur la reconnaissance faciale ?

L'article 5 de l'AI Act (Règlement UE 2024/1689) classe l'identification biométrique à distance en temps réel dans les espaces publics parmi les pratiques interdites. Trois exceptions sont admises : recherche de victimes d'infractions graves, prévention d'attentat imminent, localisation d'un suspect d'infraction grave listée à l'annexe II. Chaque exception requiert une autorisation préalable et est limitée dans le temps et l'espace.

La loi sur les Jeux Olympiques autorisait-elle vraiment la reconnaissance faciale ?

Non, expressément. La loi n° 2023-380 du 19 mai 2023 autorisait uniquement des systèmes d'analyse d'images détectant des comportements suspects dans la foule (mouvement de panique, abandon de colis, etc.), avec exclusion explicite de toute identification des personnes. Cette expérimentation a pris fin le 31 mars 2025.

Peut-on contester l'utilisation de la reconnaissance faciale à son égard ?

Oui. Toute personne peut exercer son droit d'accès et d'opposition auprès du responsable de traitement (préfecture, ministère de l'Intérieur) sur le fondement des articles 104 et suivants de la loi Informatique et Libertés. En cas de refus ou d'absence de réponse, une plainte peut être déposée auprès de la CNIL, ou un recours introduit devant le tribunal administratif compétent.

Quel rôle joue le SISSE dans ces questions de technologies de surveillance ?

Le SISSE (Service de l'information stratégique et de la sécurité économiques), dont les responsables Gustave Gauquelin et Jérôme Dupré se sont exprimés dans Dalloz Actualité, n'est pas directement compétent en matière de police intérieure. En revanche, il intervient sur les enjeux d'extraterritorialité du droit lorsque des logiciels de reconnaissance faciale fournis par des entreprises étrangères sont utilisés par des services français, ce qui soulève des problèmes de transfert de données et de souveraineté technologique.

Quelles amendes risque un fournisseur de logiciel de reconnaissance faciale qui ne respecte pas l'AI Act ?

Selon l'article 99 de l'AI Act, les violations des interdictions posées à l'article 5 peuvent entraîner des amendes allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). Pour les violations des obligations applicables aux systèmes à haut risque, l'amende peut atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial.

Un projet de loi est-il prévu pour encadrer la reconnaissance faciale en France ?

Plusieurs propositions de loi ont été déposées depuis 2025 pour créer un cadre légal pérenne, notamment une proposition transpartisane examinée en commission des lois au Sénat début 2026. À ce jour, aucun texte n'a été définitivement adopté. Le débat oppose les partisans d'un encadrement strict aligné sur les exigences de l'AI Act et les tenants d'une souplesse opérationnelle réclamée par les forces de l'ordre.

Sources principales : Règlement (UE) 2024/1689 (AI Act) ; Loi n° 2023-380 du 19 mai 2023 ; Loi n° 78-17 du 6 janvier 1978 modifiée ; Conseil constitutionnel, décision n° 2021-817 DC du 20 mai 2021 ; CNIL, délibération n° 2022-118 du 22 septembre 2022 ; Entretien SISSE, Dalloz Actualité, 2026 ; NIST, rapport sur les biais des systèmes de reconnaissance faciale, 2022.