APDP • Délibération n° 2025-022 du 10 décembre 2025 sur le projet de loi n° 1087 concernant l'identification biométrique à distance des personnes recherchées ou signalées dans les lieux accessibles au public

La Délibération n° 2025-022 du 10 décembre 2025 de l’Autorité de Protection des Données Personnelles (APDP) porte avis sur la consultation du Président du Conseil National relative au projet de loi n° 1087 relative à l’utilisation de la vidéoprotection et de la vidéosurveillance des lieux accessibles au public pour la détection, la recherche et l’identification des personnes recherchées ou signalées au moyen de système d’identification biométrique à distance.

* * *

SYNTHESE

L'APDP analyse tout d'abord les problèmes légaux préexistants ayant un impact sur le déploiement de la reconnaissance faciale à Monaco :

• l'insécurité juridique résultant du double régime légal de vidéoprotection et de vidéosurveillance, et la tendance à la sur-installation de caméras ;
• la liste d'alerte portant sur les personnes recherchées ou signalées est soustraite à tout contrôle ;
• le traitement biométrique de surveillance est dispensé d’analyse d’impact ;
• le risque d'élargissement des mesures de surveillance par la voie réglementaire ;
• le risque d'être inscrit par erreur dans une liste d'alerte.

Puis elle se prononce sur les problèmes intrinsèques au dispositif du projet de loi n° 1087 :

• l'écart entre les intentions affichées limitées à une certaine utilisation de la reconnaissance faciale et le dispositif du projet de loi n° 1.656 qui ne pose pas de limites suffisantes ;
• la problématique de l’établissement des listes d’alerte, avec un risque d'interprétation extensive quant au catégories de personnes pouvant être inscrites, des doutes sur la capacité à intégrer et mettre à jour les notices INTERPOL, sur les modalités de constitution de la base de photos.
• la mise à disposition des images de vidéoprotection et de vidéosurveillance à la Direction de la Sûreté Publique par voie d’interconnexions soulève le risque d’une captation continue des flux vidéo et d’une extension significative des usages de l’identification biométrique à distance.
• l’ajout d’un chiffre 10° à l’article 5 de la loi n° 1.430, autorisant la détection, la recherche et l’identification de personnes recherchées ou signalées conformément aux dispositions du Titre VI bis, crée une ambiguïté juridique susceptible de laisser croire à un usage élargi de l’identification biométrique à distance par d’autres autorités administratives que la Direction de la Sûreté Publique, alors que le Titre VI bis en réserve strictement la mise en œuvre à cette dernière.
• l'article 8-6 projeté fixant une conservation de 30 jours pour les données issues de rapprochements positifs en principe, manque de précision sur la nature exacte de ces données et appelle à un encadrement clair, un contrôle indépendant et la publication d’un rapport annuel pour garantir la transparence et la conformité de l’usage de l’identification biométrique à distance.
• l'article 8-7 projeté interdit toute interconnexion des données traitées par l’identification biométrique à distance avec d’autres fichiers personnels, mais il y a ambiguïté quant à la nature exacte de ces données et la constitution de la liste d’alerte, qui pourrait impliquer un rapprochement indirect avec d’autres traitements existants.
• le projet de loi n° 1087 reste lacunaire et imprécis, offrant peu de garanties, mêlant des notions variées sans définition claire, et laissant la voie ouverte à un contrôle continu de la vie privée, à des usages étendus et difficiles à encadrer, tout en ne prévoyant ni sanction ni mécanisme de responsabilité ou de réparation en cas d’erreur ou d’abus.

* * *

PLUS EN DETAIL

¤ En Préambule, l’APDP présente la genèse du projet de loi n° 1087 et propose une analyse comparative sur l’évolution du recours aux technologies d’intelligence artificielle (IA) au niveau mondial (Chine, Etats-Unis, Canada), ainsi que sur leur encadrement par les pays européens (AI Act (UE), France, Belgique, Luxembourg, Suisse) depuis le dépôt du projet de loi n° 1087, le 19 décembre 2023 (pp. 3-7).

¤ Ensuite, dans une première partie (I), l'APDP revient sur les problèmes légaux préexistants en droit monégasque "ne permettant pas un déploiement serein de la reconnaissance faciale en Principauté" (pp. 7-14) :

— Insécurité juridique résultant de l’encadrement légal de la vidéoprotection (Titre IV de la Loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale) et de la vidéosurveillance (Chapitre VII, Section IV de la Loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles) en Principauté (A) :

• L'APDP estime ce double régime actuel, "artificiel et source d’insécurité juridique" : "Les responsables de traitement sont en effet confrontés à deux régimes d’autorisation du Ministre d’Etat dépendant de deux régimes juridiques différents mais qui s’intéressent à une seule et même typologie de lieu relevant d’un même périmètre (non défini) : « les lieux ouverts au public »" , ce qui rend "compliqué, voire dans certaines situations impossible, de comprendre ce qui relève de la vidéoprotection ou de la vidéosurveillance."
• En ce qui concerne les systèmes de vidéosurveillance installés dans des lieux ouverts au public, l'APDP considère que l'autorisation du Ministre d'État (article 85 de la Loi n° 1.565, arrêté ministériel d'application attendu) "devrait se borner à une acceptation de principe à la mise en œuvre (...), et ne devrait en aucun cas procéder d’une appréciation de la proportionnalité du système". Elle appelle à cet égard "à trouver un équivalent à la Commission de vidéoprotection qui en France, présidée par un Magistrat, apprécie la proportionnalité du système, ou à réintroduire auprès de l’APDP un régime d’autorisation concernant ce type de dispositif".
• L’APDP alerte en outre sur la "tendance à la sur-installation de caméras" dans les lieux ouverts au public qui "pourrait être renforcée si l’Arrêté Ministériel d’application attendu confiait l’appréciation de la
  proportionnalité du dispositif à la DSP [Direction de la Sûreté Publique], qui y trouverait un nouvel intérêt si elle disposait en plus du droit de s’y interconnecter."

— Limites créées par les choix opérés lors de l’adoption de la Loi n° 1.565 du 3 décembre 2024 (B) :

• Concernant la "liste d’alerte portant sur les personnes recherchées ou signalées" qui serait établie par le Directeur de la DSP (article 8-3, alinéa 1-4° du projet de loi n° 1087), et l’utilisation qui en
  serait faite par le système d’identification biométrique à distance en temps réel, l'APDP déplore qu'elles soient "totalement incontrôlables, privant les personnes concernées de tout recours effectif quant au respect de leurs droits et libertés fondamentaux" : ni l’APDP (les traitements relevant des articles 9 à 15 et 18 de la Loi n° 1.430 n’entrent pas dans le champ de compétence de l’APDP) ni la Commission Spéciale de Sécurité Nationale (CSSN) n'ont le pouvoir d'opérer ce contrôle (hors de son champ d’investigation prévu à l’article 16 de la Loi n° 1.430).
• L'APDP estime par ailleurs "inopportun" que les traitements Police/Justice (dont le dispositif projeté) soient dispensés d’analyses d’impact. Elle s'appuie sur les "textes européens (qui) exigent que soit démontrée au préalable la « nécessité absolue » de tout traitement biométrique de surveillance", et "réitère donc ses demandes de réintroduction au sein de la Loi n° 1.565 de l’obligation pour les traitements dits de Police/Justice de mener à bien une analyse d’impact devant être jointe aux saisines pour avis de l’Autorité ou qu’a minima cette obligation soit inscrite dans le présent projet de Loi, s’il devait être adopté, s’agissant du déploiement du dispositif projeté."
  
• L'APDP relève également le risque majeur d’élargissement des mesures de surveillance par voie
  règlementaire "pour les droits et libertés des personnes concernées, dans un domaine aussi
  intrusif en matière de préservation de la vie privée", en "donnant au dispositif une portée que le Conseil National ne pouvait pas anticiper et n’aurait éventuellement pas souhaité lui donner."

— Le risque d'être inscrit par erreur dans une liste d'alerte ne peut être écarté (C) :

• L’établissement de listes d’alertes s'appuierait sur deux traitements créés par les arrêtés ministériels n° 2019-330 (Fichier central de Police et d'antécédents judiciaires) et n° 2019-333 (Fichier des personnes recherchées ou signalées) du 15 avril 2019 ;
• Cependant, l'APDP décrie un manque de supervision adéquate, notamment en matière de qualité des informations, de correction des erreurs d'inscription dans les fichiers de police.
• S'agissant du droit d'accès indirect des personnes concernées, l'APDP estime que "la rédaction des articles 59 et 60 de l’Ordonnance Souveraine n° 11.327 portant application de la Loi n° 1.565, en créant
  une procédure contra legem, ne lui permet plus de procéder à de véritables vérifications au sens de l’article 74 de la Loi n° 1.565".

¤ Enfin, dans une seconde partie (II), l'APDP se prononce sur les problèmes intrinsèques au dispositif du projet de loi n° 1087 :

— La différence entre les intentions affichées limitées à une certaine utilisation de la reconnaissance faciale et un projet de Loi qui ne pose pas de limites suffisantes (A) :

• Selon l'APDP, "L’exposé des motifs résume le projet de Loi en une « simple automatisation de la
  recherche d’individus par le biais de la reconnaissance faciale en lieu et place des agents de
  la DSP »", or elle constate que le dispositif du projet de loi n° 1087 qui "ne se limite pas à l’utilisation de la reconnaissance faciale".
• La notion d’"identification biométrique à distance" n'est pas définie, et elle "ne peut être réduite à une technologie de reconnaissance faciale mais en comprend de nombreuses autres, comme l’analyse de comportements ou de la température des personnes filmées."
• L'APDP considère que "la DSP pourrait in fine mettre en œuvre n’importe quelle autre technique
  d’identification biométrique à distance (voire des technologies de police prédictive …) sans contrevenir au projet de Loi n° 1087, qui n’interdit formellement que la seule mise en œuvre d’un système de notation sociale."
• Il n'est pas garanti que l’utilisation de cette technologie soit limitée à la DSP, puisque pour la détection d'individus son utilisation est ouverte aux "autorités compétentes" "et donc potentiellement à la Police Municipale par exemple".
• Le projet de loi n° 1087 ne distingue pas "ce qui relève d’une utilisation en temps réel et différée de la technologie envisagée, notions qui ne sont pas définies, et qui amalgament donc des recours complètement différents à la technologie".
• Le recours à l’identification biométrique à distance serait possible dès une infraction punissable d’1 an d’emprisonnement, ce qui couvre environ 80 % des infractions du Code pénal. L’APDP considère que ce périmètre ne correspond pas à une « finalité de sécurité impérieuse », contrairement aux exigences de l’AI Act, qui vise des infractions punies d’au moins 4 ans d’emprisonnement.
• Les sanctions prévues en cas de mise en œuvre illégale de ce système biométrique sont moins sévères que celles existant en droit commun pour des dispositifs moins intrusifs.
• L'APDP déplore également l'absence de sanction de l'usage ou de l'accès indu par les personnels de la DSP et de droit à réparation pour les personnes concernées.
  
• Enfin, le texte ne prévoit pas l'information des personnes concernées alors qu'elles "doivent savoir qu’elles intègrent un périmètre géographique soumis à l’identification biométrique à distance, dont il est envisagé une mise en œuvre permanente sur l’ensemble du territoire."

— La problématique de l’établissement des listes d’alerte (B) :

• L'APDP estime trop large le champ du projet de loi n° 1087 qui permet "d’insérer dans la liste tous types de personnes « signalées » au titre d’actes d’une Autorité judiciaire concernant une infraction punie d’une
  peine supérieure ou égale à un an d’emprisonnement", "sans qu’elle soit recherchée en vue de son arrestation ni même forcément l’auteur de l’infraction (alors que les témoins et les victimes ne peuvent pourtant pas faire l’objet de mandats de recherche en application du Code de Procédure Pénale). Les personnes faisant l’objet d’un contrôle judiciaire semblent ainsi par exemple pouvoir faire l’objet d’un suivi permanent par la reconnaissance faciale envisagée." Par comparaison en France, l’intégration est limitée aux personnes faisant l’objet d’actes ou décisions tendant à leur arrestation.
• De même le projet de loi n° 1087 permet "d’inscrire sur la « liste d’alerte » des personnes recherchées ou signalées au titre « d’enquêtes diligentées dans le cadre de recherches des causes de la mort, de personnes disparues, de disparitions inquiétantes ou de fugues de mineurs »", mais sans préciser "quelles catégories de personnes peuvent être recherchées. Rien ne semble interdire à la DSP de porter sur la liste l’ensemble des visages des personnes avec lesquelles la victime a interagi pour connaitre également l’ensemble de leurs déplacements. Il existerait de plus "un risque d’un suivi permanent des personnes en situation de handicap
  mental."
• L'APDP relève également que le projet de loi n° 1087 ne prévoit pas les modalités de création de la liste d’alerte et interroge : "Les éléments relatifs aux personnes recherchées ou signalées sont-ils issus des traitements précités ("Fichier des personnes recherchées ou signalées", "Fichier central de Police et d’antécédents judiciaires") ? En outre, concernant les personnes faisant l’objet d’un placement, par qui et dans quelles conditions est effectuée la prise de photographies ? Quelles sont les caractéristiques techniques d’une photo permettant de recourir à un dispositif de reconnaissance faciale ? Si ces caractéristiques (dont l’objectif est d’éviter un fort taux de faux positifs) ne sont pas réunies, les personnes sont-elles quand même placées sur la liste ou pas ?"
• L’APDP alerte sur la constitution de la base de photos, en particulier l’interdiction de collecter des images sur les réseaux sociaux ou Internet, en raison des risques d’erreurs et de détournement de finalité.
• En situation de flagrance, des incertitudes subsistent sur la collecte des photos, leur insertion dans la liste d’alerte et "le régime d’identification biométrique à distance en jeu, c’est-à-dire en temps réel ou a posteriori."
• Le projet ne précise pas la gestion des listes variables liées aux événements sportifs ou à la protection de la Famille Princière, ni l’origine des informations utilisées (traitement monégasque, France, instances européennes ?).
• L’extension aux personnes signalées à l’étranger (notices INTERPOL) soulève des doutes juridiques et techniques, notamment sur la capacité à intégrer et à mettre à jour ces données.
• L’inscription sur la liste d’alerte est discrétionnaire, sans critères clairement définis.
• La qualité des images fournies par des tiers n’est pas garantie, augmentant le risque de faux positifs. L'APDP déplore qu'aucune exigence de contrôle de qualité des images ni d’analyse d’impact ne soit prévue par le projet de loi n° 1087.
• Enfin, l’usage des notices jaunes INTERPOL (personnes disparues, souvent mineures, ou identification de personnes dans l’incapacité de s’identifier elles-mêmes) pose problème pour la constitution de cette liste en l’absence de réglementation de ce domaine en Principauté.

— Les mises à dispositions des images de vidéosurveillance et vidéoprotection à la Direction de la Sûreté Publique (C) :

• Le projet de loi n° 1087 prévoit la mise à disposition des images de vidéoprotection et de vidéosurveillance à la Direction de la Sûreté Publique "au moyen des équipements et liens techniques destinés à y pourvoir dans les conditions prévues par arrêté ministériel" (modification de l'article 5 et nouvel article 5 bis de la Loi n° 1.430) ;
• L'APDP relève que "la mise à disposition au moyen d’équipements et lien technique semble s’analyser comme une interconnexion permettant à la DSP a minima de récupérer directement le flux vidéo des entités concernées."
• Puis identifie le risque induit de captation "de manière permanente le flux de vidéosurveillance d’entités, augmentant de manière pérenne le réseau de caméras qu’elle exploite, et étendant, sans que le public ne le sache, l’utilisation de l’identification biométrique à distance dans de nombreux lieux ouverts au public, tels que des halls d’hôtels, des restaurants".

— L’ajout d’un 10° à l’article 5 de la Loi n° 1.430 qui concerne les systèmes de vidéoprotection mis en œuvre par les Autorités administratives compétentes, autorisant la détection, la recherche et l’identification de personnes recherchées ou signalées conformément aux dispositions du Titre VI bis (D) :

• L'APDP s'interroge sur la pertinence de cet ajout qui pourrait laisser croire à une utilisation élargie l’identification biométrique à distance par d’autres autorités administratives que la Direction de la Sûreté Publique (DSP).
• L'intitulé même du projet de Loi « relative à l’utilisation de la vidéoprotection et de la vidéosurveillance des lieux accessibles au public pour la détection, la recherche et l’identification des personnes recherchées ou signalées au moyen de système d’identification biométrique à distance » (...) laisse à penser que tout système de vidéosurveillance peut être doté d’un système de reconnaissance faciale, quel que soit le responsable de traitement."
• L’APDP souligne aussi que selon l’Arrêté Ministériel n° 2017-576, seule la DSP peut demander l’autorisation d’installer des systèmes de vidéoprotection, ce qui interroge sur la possibilité pour toute autre autorité publique compétente de mettre en œuvre de tels dispositifs.
• L'APDP conclut sur ce point "qu’il ne devrait pas y avoir de doute, et donc d’insécurité juridique, quant à l’impossibilité pour une Autorité administrative compétente autre que la DSP de mettre en œuvre une identification biométrique à distance à des fins de détection".

— L'article 8-6 projeté prévoyant que les données qui ont donné lieu à un rapprochement positif par le système (…) sont conservées trente jours à compter du jour de ce rapprochement positif, en principe (E) :

• L'ADPD s'interroge sur la nature desdites données : "L’exposé des motifs indique que cet article a vocation « à encadrer les conditions de l’archivage des rapprochements positifs », ce qui n’apporte pas de précision quant à leur nature. Parle-t-on des images de vidéoprotection, qui ont déjà une durée de conservation de trente jours, ou d’éléments en lien avec le système d’identification biométrique à distance, telle qu’une surcouche logicielle sur les images vidéo pour individualiser une personne dans la foule sur un film, ou encore l’affichage du taux de confiance de l’Intelligence Artificielle quant à la similarité entre la
  personne à rechercher et celle identifiée ?"
• De plus, l’APDP soulève notamment le risque que "l’identification biométrique à distance serve de technique de renseignement qui échapperait, elle, à tout contrôle de la Commission Spéciale de Sécurité Nationale et au recours à au juge."
• L'APDP recommande "le contrôle d’un organisme indépendant", "un bilan précis des rapprochements positifs par le système mais aussi des faux positifs constatés, avant et après intervention d’un opérateur de la DSP, et, le cas échéant, de la raison ayant conduit l’Intelligence Artificielle à se tromper, afin de maintenir une exigence continue de conformité de la solution choisie", et de prévoir "la publication d’un rapport public annuel de l’utilisation de cette technologie, et de ses statistiques".

— L’article 8-7 projeté prévoyant que les données traitées ne peuvent faire l’objet d’aucune interconnexion avec d’autres données personnelles ou fichiers contenant des données personnelles (E) :

• De même ici, l’APDP s’interroge "sur la nature des données en jeu : s’agit-il des images vidéo, des éléments propres à une surcouche logicielle, des informations contenues dans la liste d’alerte, ou de tous ces éléments à la fois ?"
• De plus, ces données alimentant les traitements de police judiciaire et de renseignement "ne sont peut-être pas interconnectées au sens de la protection des données, c’est-à-dire transmises directement par un lien technique", mais "elles semblent du moins rapprochées avec d’autres traitements."
• L'APDP déplore que les modalités de création de la liste d'alerte ne soient pas précisées, et estime "difficile en l’état du texte projeté et des propos tenus par les représentants des Autorités, d’imaginer que cette « liste d’alerte », pour sa constitution, soit autonome, de traitements tiers, dont elle
  suppose l’existence, tels que le « Fichier des personnes recherchées ou signalées », voire
  des fichiers d’interdits de stade exploités par des entités étrangères, ou encore les clichés d’INTERPOL."
  

— Les dispositions du projet de loi n° 1087 trop lacunaires pour encadrer un sujet aussi sensible (G) :

• Il est relevé qu'"Aucun des textes en projet étudiés par l’APDP ne va aussi loin que la Loi
  monégasque avec aussi peu de garanties associées."
• L'APDP estime que "le projet de Loi mélange toutes les notions sans jamais les définir, parlant pêle-mêle d’identification biométrique à distance en temps réel et a posteriori, pour des missions de police judiciaire mais aussi administrative, centré sur le système de vidéoprotection de la DSP mais ouvert à d’autres vidéoprotection et vidéosurveillance."
• Elle déplore l'absence de "justification de la nécessité absolue de sa mise en œuvre" et de "cas d’usage (...) mis en exergue. Rien ne vient justifier la nécessité et la proportionnalité du dispositif, notamment pourquoi le système doit être permanent et non déployé seulement en cas de besoin, selon un principe de subsidiarité, c’est-à-dire uniquement si une solution moins attentatoire que la biométrie est impossible dans un cas d’espèce."
• Elle relève les "problèmes de fond quant au respect des droits et libertés fondamentaux des personnes concernées et il est aisé d’imaginer des situations d’utilisation légale mais trop extensive du dispositif, permettant un contrôle continu de la vie privée de personnes identifiées dans la sphère publique" (déplacements, interactions, habitudes de vie).
• Elle déplore l'absence de contrôle des "interactions avec les techniques de renseignement – et les traitements qu’elles alimentent", de sanction de l'utilisation abusive et détournée par un personnel de la DSP, de "droit à réparation pour les personnes qui seraient victimes d’un préjudice, telle qu’une garde à vue indue, sur la base d’une erreur logicielle non détectée par un agent superviseur de la DSP, et de manière plus large à un système de responsabilité, que ce soit de la DSP et de ses agents en tant que responsable de traitement, que du prestataire à l’origine de l’IA utilisée."
• Enfin, "l’identification biométrique à distance étant interconnectée à des systèmes de vidéoprotection et de vidéosurveillance extérieurs à la DSP, vraisemblablement sur le système d’information de cette dernière, l’Autorité s’interroge sur les éventuelles responsabilités en cas de défaut de sécurité de ces systèmes tiers, ou de fuites d’images vidéo en lien avec des enquêtes".

* * *