L’autorité de protection des données suédoises (APD ; Datainspektionen) a mené une enquête sur le conseil de l’école secondaire supérieure de la municipalité de Skellefteå et son projet pilote qui utilisait la reconnaissance faciale pour enregistrer l’assiduité des élèves (contrôles de présence),

Les caméras installées avec cette technologie utilisent des données personnelles biométriques pour identifier de manière unique des personnes physiques (les élèves). Ces données personnelles biométriques sont considérées comme des données personnelles particulièrement sensibles au sens de l’art. 9 par. 1 RGPD. Le traitement de ces données est donc interdit. L’interdiction ne s’applique toutefois pas si la personne concernée consent au traitement des données à caractère personnel pour une finalité spécifique (art. 9 par. 2 RGPD). Pour qu’un consentement soit valable, il doit avoir été donné volontairement.

À la suite d’une première décision de l’autorité suédoise de protection des données, selon laquelle le conseil scolaire avait enfreint le RGPD, le conseil a soutenu que les élèves et leurs représentants légaux avaient donné un consentement valable à l’utilisation de la technologie de reconnaissance faciale. Après plusieurs péripéties procédurales, la Kammarrätten i Stockholm (Cour d’appel) a rejeté l’appel du Conseil, la décision DI-2019-2221 de l’APD du 20 août 2019 devenant définitive et exécutoire (texte original : https://www.imy.se/globalassets/dokument/beslut/beslut-ansiktsigenkanning-for-narvarokontroll-av-elever-dnr-di-2019-2221.pdf; présentation et traduction : https://gdprhub.eu/index.php?title=KamR_Stockholm_-_Case_No._5888-20).

L’APD a estimé que l’utilisation de la technologie de reconnaissance faciale pour enregistrer l’assiduité des élèves était contraire aux art. a5, 9, 35 et 36 RGPD. Elle a expliqué que les élèves ne peuvent pas donner un consentement valable à un tel traitement de données en raison de leur dépendance à l’égard des services scolaires. S’il existe une base juridique pour gérer l’assiduité des élèves à l’école, il n’y a pas de base juridique pour effectuer cette tâche en traitant des données sensibles. La technologie constitue une intrusion dans l’intégrité de l’élève et est donc disproportionnée par rapport à la tâche de mesure de l’assiduité. En outre, l’autorité de protection des données a estimé que l’évaluation des risques effectuée par le conseil de l’école secondaire supérieure ne satisfaisait pas aux exigences l’art. 35 RGPD ; le conseil aurait dû consulter l’autorité de protection des données avant de mettre en œuvre la technologie et, faute de l’avoir fait, il a également enfreint l’art. 36 RGPD.

Sur la question du consentement, l’autorité de protection des données et la cour d’appel ont précisé que les consid. 42-43 RGDP  stipulent que le consentement ne doit pas être considéré comme volontaire si la personne concernée n’a pas la possibilité réelle ou libre de refuser ou de retirer son consentement. Afin de garantir que le consentement est donné volontairement, le consentement ne devrait donc pas constituer une base juridique valable pour le traitement des données à caractère personnel s’il existe une inégalité significative entre la personne concernée et le responsable du traitement. Cela s’applique en particulier si la personne responsable des données à caractère personnel est une autorité publique.

Dans le cas d’espèce, il existe une inégalité manifeste entre les étudiants et le responsable du traitement. Le consentement ne peut donc pas être considéré comme volontaire et ne constitue donc pas une base juridique pour le traitement des données à caractère personnel.

Sur la question de la proportionnalité, l’art. 5 RGPD n’autorise la collecte de données à caractère personnel que pour des finalités déterminées, explicites et justifiées. En outre, les données à caractère personnel traitées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées. La technologie de reconnaissance faciale a été utilisée dans l’environnement quotidien de l’étudiant, ce qui a entraîné une atteinte majeure à l’intégrité de l’étudiant. Les contrôles de présence sont possibles d’une manière moins attentatoire à la vie privée. Par conséquent, les contrôles d’assiduité par reconnaissance faciale ont été trop étendus et disproportionnés par rapport à la finalité.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)