Reconnaissance faciale policière : la DPA grecque enterre un système de 4 M€ pour absence de base légale et d'AIPD
L'autorité grecque de protection des données (HDPA) vient de juger illégal un programme de « Smart Policing » de 4 millions d'euros déployé par la police hellénique. Reconnaissance faciale, empreintes digitales, scan de documents : la décision 45/2025, rendue le 31 décembre 2025 et révélée fin avril 2026 par EDRi et son membre Homo Digitalis, vise un système biométrique financé à 75 % par des fonds européens. Et qui n'aurait jamais dû être déployé.
Ce qui s'est passé
En 2019, la police grecque signe un contrat de 4 millions d'euros avec Intracom Telecom pour acquérir 1 000 dispositifs portables de surveillance. Objectif annoncé : permettre aux agents d'identifier sur la voie publique n'importe quel individu via la reconnaissance faciale et les empreintes digitales, puis croiser instantanément les données biométriques capturées avec les bases européennes (SIS II, VIS, EURODAC, Europol) et celles d'États tiers.
Trois mois après l'annonce, Homo Digitalis et AlgorithmWatch publient une enquête conjointe alertant sur la nature du dispositif : derrière l'efficacité opérationnelle revendiquée, le système cible de facto les personnes perçues comme migrantes, avec un risque structurel de profilage discriminatoire et de surveillance disproportionnée des groupes vulnérables. En mars 2020, Homo Digitalis dépose une plainte formelle auprès de la HDPA, qui ouvre une enquête en août.
Le calendrier qui suit est édifiant pour la chaîne de contrôle européenne : malgré la procédure en cours, l'État grec procède au paiement intégral du marché, et les dispositifs sont livrés, opérationnels, à la police en septembre 2021. La HDPA mettra finalement plus de cinq ans à trancher. Sa décision est nette : aucune base légale valable, aucune analyse d'impact relative à la protection des données (AIPD) réalisée dans les délais lors de la phase pilote. La police hellénique est sommée de ne pas activer le système.
Pourquoi c'est important pour les DPO
Cette décision est un cas d'école qui mérite d'entrer dans les manuels RGPD pour trois raisons.
D'abord, elle confirme que les données biométriques, qualifiées de données sensibles au sens du RGPD, exigent une analyse de proportionnalité préalable extrêmement rigoureuse — même pour un acteur public régalien. Reconnaissance faciale, empreintes digitales : ces technologies tombent dans le périmètre de l'article 9 du RGPD et imposent une AIPD avant tout déploiement, pas après.
Ensuite, elle illustre l'articulation entre RGPD et AI Act que beaucoup d'organisations sous-estiment encore. Un système biométrique d'identification déployé par les forces de l'ordre est typiquement un cas d'IA à haut risque, désormais encadré par le règlement européen sur l'intelligence artificielle. Les exigences de gouvernance, de transparence et d'évaluation préalable se cumulent avec celles du RGPD — elles ne se substituent pas. En France, ce sont des autorités spécifiques qui se partagent désormais le contrôle de l'AI Act, et leur coordination avec la CNIL est un sujet ouvert.
Enfin, la décision pointe une faille de gouvernance qui dépasse le RGPD : un projet financé à 75 % par le Fonds européen pour la sécurité intérieure (ISF) a pu être payé, livré et installé alors même qu'une autorité de protection des données instruisait une plainte le visant. La supervision ex ante des marchés publics intégrant des technologies sensibles reste un angle mort des dispositifs européens — et un sujet politique brûlant à mesure que les financements UE irriguent les systèmes nationaux de surveillance.
Ce que ça change pour les organisations
Pour les DPO et responsables conformité confrontés à des projets intégrant biométrie ou IA, trois actions concrètes s'imposent.
1. Documenter la base légale avant tout déploiement. La décision grecque rappelle que l'absence de base légale valable suffit à elle seule à rendre le traitement illégal — quelle que soit la sophistication technique. Les principes de l'article 5 RGPD (licéité, finalité, proportionnalité) doivent être formalisés avant la phase pilote.
2. Réaliser une AIPD en temps utile, pas a posteriori. La HDPA a explicitement reproché à la police grecque de n'avoir pas conduit son AIPD pendant la phase pilote. Le standard européen se durcit : le CEPD a d'ailleurs lancé en avril 2026 une consultation publique sur un modèle harmonisé d'AIPD qui devrait clarifier les attendus.
3. Cartographier l'articulation RGPD / AI Act dès le cahier des charges. Tout projet biométrique, de profilage ou d'aide à la décision automatisée doit faire l'objet d'une double évaluation. L'AI Act introduit des obligations supplémentaires (gouvernance des données d'entraînement, journalisation, supervision humaine) qui ne dispensent en rien des obligations RGPD historiques.
Ce que Leto pense de cette décision
Cette affaire est une victoire pour la société civile européenne — Homo Digitalis et EDRi ont tenu six ans avant d'obtenir gain de cause — mais c'est aussi un avertissement adressé aux décideurs publics. Quatre millions d'euros d'argent public, dont trois millions de fonds européens, ont été engagés sur un système qui ne pouvait juridiquement pas fonctionner. À l'heure où l'AI Act entre progressivement en application et où les budgets « innovation publique » s'orientent massivement vers les technologies d'IA, le principe de privacy by design doit redevenir un critère d'éligibilité aux financements, pas une case à cocher en fin de procédure. La décision 45/2025 fixe une nouvelle ligne rouge : les autorités de protection des données sont prêtes à invalider des projets de plusieurs millions d'euros si la chaîne juridique n'a pas été remontée correctement. Aucun DPO ne peut plus ignorer ce signal.
Sources : EDRi — Greece's AI Smart Policing system ruled unlawful · Homo Digitalis · Décision 45/2025 de la HDPA (31 décembre 2025).
