L’Universitat Oberta de Catalunya (responsable du traitement) a adopté un système de reconnaissance faciale pour vérifier l’identité des étudiants avant qu’ils ne passent des examens en ligne. Le système capturait l’image du visage des étudiants pour la comparer aux photos figurant sur leur carte d’identité et leur permettre ainsi de passer l’examen. Les étudiants qui refusaient de le faire étaient considérés comme « absents ».
L’un des étudiants (personne concernée) a déposé une plainte auprès de l’autorité de protection des données catalane (APD ; Autoridad Catalana de Protección de Datos), qui a ouvert une enquête.
A cours de la procédure, l’APD a établi qu’un total de 31 501 étudiants avaient dû utiliser la technologie de reconnaissance faciale pour être autorisés à passer les examens.
L’APD, dans une décision PS 41/2022 (https://gdprhub.eu/index.php?title=APDCAT_(Catalonia)_-_PS_41/2022&mtc=today), commence par rappeler que l’article 4(14) RGPD définit les données biométriques comme les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. Il s’agit d’une catégorie spéciale de données au sens de l’art. 9 par. 1 RGPD et, en tant que telle, elle ne peut être traitée à des fins d’identification ou d’authentification que dans des situations exceptionnelles.
Toutefois, dans le cas d’espèce, le responsable du traitement n’a justifié d’aucune des exceptions prévues à l’art. 9 par. 2 RGPD. En outre, aucune alternative réelle n’ayant été proposée aux étudiants, tout consentement obtenu de leur part à l’usage de la reconnaissance faciale n’était pas valable.
Tout en reconnaissant que la technologie de reconnaissance faciale pouvait être un moyen efficace de prévenir la fraude académique, l’APD a déclaré qu’il existait d’autres mesures moins intrusives et tout aussi efficaces pour prévenir la fraude. Pour cette raison, sa mise en œuvre a été jugée disproportionnée.
Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)
Le droit du travail et de la protection des données en Suisse 
Bonjour ! j’ai 2 questions à propos de cette décision : quelles sont, selon l’APD, les « autres mesures moins intrusives » ? et selon vous, la décision pourrait-elle avoir pour effet une interdiction pure et simple de procéder à des examens online ?
Merci d’avance
Bonne question. Interdiction pure et simple de procéder à des examens en ligne? Je ne crois pas. On peut effectivement mettre en place des mesures d’identification moins intrusives, comme par exemple une identification id et mot de passe avec envoi d’un code par sms par exemple que devra rentrer le candidat. Cela se fait couramment,