Reconnaissance faciale dans les stades tchèques : l'AI Act stoppe net le projet de Slavia Prague
Le club de football tchèque Slavia Prague a renoncé à activer la reconnaissance faciale qu'il avait installée dans son stade, à la suite d'une rencontre avec l'autorité tchèque de protection des données. L'épisode, documenté le 28 mai 2026 par l'ONG European Digital Rights (EDRi) et par son membre tchèque IuRe, montre comment l'AI Act et le RGPD opèrent comme garde-fous opérationnels, jusque dans les enceintes sportives.
Ce qui s'est passé
Le 9 mai 2026, le derby praguois entre Sparta et Slavia a viré au chaos : quelques minutes avant la fin du match, des centaines de supporters du Slavia ont envahi la pelouse, lancé des fumigènes vers la tribune adverse et agressé trois joueurs de Sparta. Réaction publique du président du Slavia, Jaroslav Tvrdík : il regrette que l'Union européenne « privilégie le droit à la protection des données sur la sécurité des spectateurs » et brandit la menace d'activer le système de reconnaissance faciale installé pour 16 millions de couronnes. Le propriétaire Pavel Tykač ajoute publiquement qu'il faudrait « activer ces systèmes, payer les amendes et attendre que les tribunaux les interdisent ».
Une semaine plus tard, après une réunion de trois heures et demie avec l'Office for Personal Data Protection (autorité tchèque), Tvrdík annonce l'abandon du projet. Le déclencheur, selon ses propres déclarations : l'AI Act et l'avertissement explicite d'un risque pénal de deux à trois ans d'emprisonnement et d'amendes en centaines de millions de couronnes. Sur les tribunes du week-end suivant, plusieurs groupes de supporters déploient une banderole : « Tvrdík, scanne ta conscience, pas nos visages. »
Pourquoi c'est important
L'affaire n'est pas un fait divers tchèque : c'est une démonstration de la façon dont s'articulent désormais RGPD et AI Act pour les traitements biométriques. L'article 5(1)(h) de l'AI Act interdit l'identification biométrique à distance en temps réel dans les espaces publics, avec des exceptions très étroites strictement encadrées. Nous avons détaillé les quatre critères cumulatifs et les trois exceptions dans notre analyse des red lines de l'AI Act sur la biométrie en temps réel. Un stade ouvert au public coche les cases : espace accessible, identification à distance, traitement temps réel.
Côté RGPD, les images de visage exploitables pour identifier individuellement une personne sont des données biométriques au sens de l'article 9, donc des données sensibles dont le traitement est interdit sauf base légale renforcée. Réaliser une analyse d'impact relative à la protection des données (AIPD) avant tout déploiement n'est pas une formalité : c'est la condition sine qua non de licéité. La DPA grecque l'a rappelé brutalement en décembre 2025 en enterrant un programme de reconnaissance faciale policière de 4 M€ pour absence de base légale et d'AIPD — un cas d'école désormais standard pour les autorités européennes.
L'affaire tchèque s'inscrit aussi dans un climat plus large. La CJUE a rendu en mars 2026 son arrêt Comdribus condamnant la France sur ses fichiers biométriques policiers (TAJ et FAED), et noyb a attaqué en parallèle la DPA de Hambourg pour son inaction face au moteur PimEyes. Le message est cohérent : les autorités acceptent de moins en moins le triptyque « j'installe, je paie, j'avise ».
Ce que ça change pour les organisations
Pour les responsables de traitement et les DPO confrontés à un projet biométrique — sécurité événementielle, contrôle d'accès en entreprise, biométrie clients —, l'affaire Slavia trace une feuille de route opérationnelle. Premier réflexe : qualifier le traitement au regard de l'AI Act. Une caméra qui compare le visage filmé à une base permettant l'identification individuelle est, par construction, un système d'identification biométrique. Si elle opère en temps quasi réel dans un lieu public, l'article 5(1)(h) s'applique. Notre guide AI Act recense les obligations applicables.
Deuxième réflexe : ne pas attendre l'installation pour saisir la DPA. La rencontre éclair entre Tvrdík et l'Office tchèque a réorienté un projet déjà financé à 16 millions de couronnes. Le coût d'un retrait après installation excède toujours le coût d'une consultation préalable.
Troisième réflexe : documenter l'AIPD avant le contrat, pas après. Le programme grec censuré en décembre 2025 et le système EyeDentity tchèque épinglé pour absence de DPIA partagent la même faille structurelle : la conformité a été pensée a posteriori, au lieu d'être un prérequis du cahier des charges. Pour les organismes publics et privés qui achètent des systèmes IA biométriques, le contrôle ex ante de licéité doit s'imposer dès la phase d'appel d'offres.
Quatrième réflexe : refuser le narratif de la « sécurité contre la vie privée ». L'argument du président du Slavia — « la sécurité d'abord, la protection des données ensuite » — n'est plus juridiquement opérant depuis l'entrée en application de l'AI Act. La proportionnalité au sens des articles 5 et 9 du RGPD impose de démontrer que des moyens moins intrusifs (filtrage à l'entrée, identification des personnes interdites de stade, dispositif de stewards renforcé) sont insuffisants avant d'envisager la biométrie.
Ce que Leto pense de cette décision
L'affaire Slavia rappelle une réalité que beaucoup de directions opérationnelles refusent encore d'intégrer : le RGPD et l'AI Act ne sont pas négociables par la voie du fait accompli. Activer un système biométrique illégal en espérant payer l'amende n'est plus une stratégie viable — c'est désormais un risque pénal personnel pour les dirigeants. Pour les DPO, ce cas est un précédent à archiver : il valide la légitimité d'une intervention précoce, y compris quand la pression politique ou médiatique pousse à fermer les yeux. Et il montre que les autorités tchèques, longtemps perçues comme plus permissives, alignent désormais leur doctrine sur celle des DPA les plus actives. Pour les clubs sportifs et plus largement pour les responsables de la sécurité d'événements de masse, la réponse ne se trouve pas dans la biométrie de masse, mais dans la sécurisation organisationnelle des accès et l'identification ciblée des individus déjà interdits de stade.
