Smart Policing : la HDPA grecque juge illégal le programme IA à 4 M€ de la police hellénique
Six ans après la signature du contrat, la Grèce vient de mettre un coup d'arrêt brutal à son programme de « police intelligente ». Le 31 décembre 2025, l'autorité de protection des données grecque (HDPA) a rendu sa Décision 45/2025 : l'activation du système de reconnaissance faciale et d'empreintes digitales déployé par la Police hellénique constituerait un traitement illicite de données personnelles. Quatre millions d'euros de fonds publics — financés à 75 % par le budget européen — pour un dispositif qui ne pourra légalement jamais fonctionner.
Ce qui s'est passé
En 2019, la Police hellénique signe un contrat de 4 millions d'euros avec Intracom Telecom pour acquérir 1 000 dispositifs portables de surveillance biométrique. Ces appareils permettent aux agents, lors de contrôles d'identité dans l'espace public, de capturer le visage et les empreintes digitales d'une personne, puis de les comparer en temps réel à des bases nationales et européennes : SIS II, VIS, EURODAC, Europol et même des bases de pays tiers.
Dès décembre 2019, l'ONG Homo Digitalis, membre du réseau européen EDRi, alerte avec AlgorithmWatch sur les risques pour les droits fondamentaux. En mars 2020, elle dépose une plainte formelle devant la HDPA, qui ouvre son enquête en août 2020. Pendant ce temps, l'État grec verse l'intégralité de la somme à Intracom Telecom, et les 1 000 dispositifs sont livrés en septembre 2021, prêts à l'usage.
La HDPA tranche cinq ans plus tard. Sa Décision 45/2025 retient deux manquements majeurs : l'absence de base légale valide pour le traitement envisagé, et l'absence d'analyse d'impact relative à la protection des données (AIPD) au stade pilote — un défaut structurel qui rend, selon l'autorité, le système « illégal par conception ». La Police hellénique reçoit l'interdiction explicite d'activer le dispositif.
Pourquoi c'est important
La décision grecque s'inscrit dans un mouvement européen plus large de remise en cause des dispositifs de traitement de données biométriques, qui appartiennent à la catégorie des données sensibles strictement encadrées par l'article 9 du RGPD. Elle fait écho à une jurisprudence européenne en construction : la CJUE a condamné en mars 2026 le profilage biométrique policier français sur les fichiers TAJ et FAED pour défaut de nécessité stricte, selon la même logique de proportionnalité.
Surtout, l'affaire Smart Policing illustre concrètement le scénario que l'article 5(1)(h) de l'AI Act vise à empêcher : l'identification biométrique à distance en temps réel dans l'espace public à des fins policières. Si le système avait été activé après le 2 février 2025 (date d'entrée en application des interdictions de l'AI Act), il aurait cumulé violation du RGPD et violation des « red lines » du règlement IA. Pour les responsables conformité, c'est un cas d'école : l'AIPD prévue à l'article 35 du RGPD n'est pas une formalité documentaire, mais bien la condition de licéité d'un traitement à haut risque.
Ce que ça change pour les organisations
Trois enseignements opérationnels pour les DPO, RSSI et acheteurs publics confrontés à des projets d'IA traitant des données personnelles :
1. L'AIPD doit être réalisée avant l'achat, pas après le déploiement. La HDPA insiste : l'absence d'analyse d'impact « en temps utile » au stade pilote est un manquement à part entière. Reporter l'AIPD à la mise en production expose à une nullité du traitement, même si toutes les autres conditions sont réunies par la suite.
2. Une base légale doit être identifiée spécifiquement pour le traitement biométrique. L'invocation générale d'une mission d'intérêt public ne suffit pas : pour les données sensibles, il faut une base légale dédiée, idéalement adossée à un texte spécifique prévoyant des garanties appropriées (article 9-2-g du RGPD). Pour les traitements policiers, c'est la directive « Police-Justice » (LED) qui s'applique, pas le RGPD seul.
3. Le financement européen ne purge aucune obligation locale. Le fait que 75 % du budget vienne du Fonds Sécurité Intérieure de l'UE n'a pas empêché la HDPA de juger le système illégal au regard du droit national et européen. Les acheteurs publics doivent intégrer le contrôle ex ante de licéité dans leurs procédures, sous peine de gaspiller des fonds publics — comme le démontre cette affaire à 4 millions d'euros perdus. Pour les organismes engagés dans des projets IA, le passage par une grille d'évaluation AI Act et l'identification des autorités compétentes deviennent incontournables.
Ce que Leto pense de cette décision
La Décision 45/2025 est moins une victoire qu'un constat d'échec collectif. Une autorité de protection des données qui met six ans à statuer sur un programme aussi clairement problématique illustre le déficit chronique de moyens des régulateurs européens. Mais elle envoie un signal dont les DPO doivent se saisir : la conformité n'est pas un visa apposé après coup, c'est un préalable absolu. Trop d'organisations achètent encore des solutions IA « sur étagère » et les soumettent ensuite à leur DPO. Cette affaire prouve qu'il est plus simple — et infiniment moins coûteux — de tester la base légale et de réaliser l'AIPD avant de signer le bon de commande.
Sources :
