Reconnaissance faciale : portée de l’analyse d’impact

Publié le 19 mai 2023 par Me Philippe Ehrenström
Photo de Dids sur Pexels.com

En 2021, le responsable du traitement a organisé un congrès à Barcelone et a demandé aux participants qui s’inscrivaient « en présentiel »  de télécharger leur document d’identité sur le site web du responsable du traitement.

Les participants pouvaient ensuite choisir le type d’accréditation à effectuer à l’entrée de l’événement : accréditation automatisée ou manuelle.

L’accréditation automatisée était effectuée par un système qui utilisait la reconnaissance faciale pour comparer l’image du visage du participant prise sur site avec la photo figurant sur le document d’identité. Les participants ayant opté pour l’accréditation automatique ont été invités à consentir à l’utilisation de leurs données biométriques.

Une personne concernée, qui avait été invitée en tant qu’orateur, a déposé une plainte auprès de l’autorité espagnole de protection des données au motif qu’il n’existait pas de base juridique pour procéder à une reconnaissance faciale dans ce contexte.

Le responsable du traitement a fait valoir que l’utilisation de la reconnaissance faciale avait pour but d’éviter tout contact personnel à l’entrée de l’événement et, par conséquent, de prévenir la contagion par le coronavirus. En tout état de cause, le responsable du traitement a déclaré que les participants avaient été invités à donner leur consentement, conformément à l’art. 6 par. 1 let. a RGPD, et qu’une autre option pour l’accréditation leur avait été proposée. Le responsable du traitement a également indiqué qu’environ 20 000 personnes avaient participé à l’événement et a présenté une analyse d’impact relative à la protection des données à l’autorité de protection des données (art. 35 et 36  RGPD : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679).

L’autorité espagnole de protection des données (APD ; Agencia Española de Protección de Datos), dans une décision EXP202100603 publiée et présentée sur gdprhub.eu le 18.05.2023 (présentation : https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202100603&mtc=today; décision originelle : https://www.aepd.es/es/documento/ps-00553-2021.pdf) commence son analyse en rappelant que l’image du visage est une donnée biométrique au sens de l’art. 4 ch. 14 RGPD.

Selon l’APD, les données biométriques ont la particularité d’être produites par le corps lui-même, ce qui les rend, en principe, immodifiables par la volonté de l’individu. Ainsi, l’accès non autorisé à des données biométriques permet de potentielles usurpations d’identité qui sont non seulement perpétuelles dans le temps, mais qui peuvent également servir à frauder plusieurs systèmes qui utilisent ces mêmes données.

L’APD poursuit en affirmant que le traitement de données d’une nature aussi sensible comporte un risque important pour les droits et libertés fondamentaux des personnes. Dans cette logique, elle a considéré que l’utilisation de systèmes de reconnaissance faciale ne devrait être appliquée que lorsqu’elle est essentielle ou indispensable, et non pour de simples raisons de commodité. Par conséquent, le responsable du traitement doit procéder à une évaluation de la nécessité et de la proportionnalité qui prend en considération les options alternatives les moins intrusives disponibles avant de mettre en œuvre un tel système.

En l’espèce, l’APD a estimé que, bien que le traitement des données biométriques repose sur une base juridique, le responsable du traitement aurait dû procéder à une analyse d’impact sur les données à caractère personnel prenant effectivement en compte ces risques. En ce qui concerne les exemples de risques liés à la reconnaissance faciale, l’autorité de protection des données mentionne notamment les risques liés à l’exactitude, au stockage dans de grandes bases de données, à la perte de qualité, à la confidentialité et à la disponibilité des données.

Selon l’APD, le responsable du traitement n’a pas pris en compte ces différents éléments et scénarios dans son évaluation des risques. Elle a considéré que l’analyse d’impact fournie était simplement nominale, puisqu’elle n’examinait aucun aspect substantiel, ni n’évaluait les risques ou la proportionnalité et la nécessité de l’utilisation de la technologie de reconnaissance faciale.

Sur cette base, l’autorité de protection des données a conclu à une violation de l’article 35 du règlement GDPR et a imposé une amende de 200 000 euros au responsable du traitement.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s