FysioDanmark, une entreprise danoise, avait l’intention d’utiliser un système de reconnaissance faciale pour permettre aux clients et aux employés d’entrer dans sa salle de sport sans utiliser de cartes ou de mots de passe. Pour ce faire, une caméra serait installée à l’entrée du gymnase. Elle pourrait scanner les visages et les comparer aux photographies déjà stockées dans le système.

FysioDanmark a voulu que le système soit volontaire et basé sur le consentement. Le consentement est donné lorsque le client ou l’employé accepte d’être enregistré dans le système et qu’une photo de son visage est prise. Outre l’accès à la salle de sport, le système devait également permettre de collecter des informations sur les clients à des fins de statistiques et d’optimisation des activités.

L’autorité danoise de protection des données (APD ; Datatilsynet), dans une décision 2021-431-0145 du 17.03.2022 (https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/mar/datatilsynet-har-truffet-afgoerelse-i-en-sag-om-brugen-af-et-system-til-ansigtsgenkendelse; présentée et traduite ici : https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2021-431-0145) considère ce qui suit :

Le système traiterait des données biométriques dans le but d’identifier de manière unique une personne physique. En conséquence, l’APD a estimé qu’il ne pouvait être conforme au RGPD que s’il était fondé sur le consentement des personnes concernées en vertu de l’art. 9 par. 2 let. a RGPD, de l’art. 4 ch. 11 et de l’art. 7 RGPD (RGPD : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679).

Aucune autre base juridique au titre de l’article 9 RGPD n’était possible.

L’APD a accepté l’utilisation proposée du système à condition qu’elle soit réellement volontaire et que les clients ainsi que les employés, compte tenu l’inégalité de leur position envers l’employeur, puissent opter pour un accès par carte ou par mot de passe.

L’APD a aussi estimé que les clients devaient également donner leur accord pour que leurs données soient traitées à des fins statistiques et d’optimisation des activités. Normalement, les informations relatives au temps passé par les clients dans la salle de sport pourraient être traitées sur la base de l’art. 6 RGPD. Toutefois, dans le cas présent, il s’agit d’informations dérivées du traitement de données biométriques. C’est pourquoi ce traitement doit également être fondé sur le consentement en vertu de l’art. 9 par. 2 let. a RGPD.  Sur ce point, l’APD a souligné que le consentement ne pouvait pas être donné librement si la personne concernée ne pouvait pas consentir aux différentes activités de traitement séparément.

Enfin, l’APD a estimé que le système violait l’art. 9 RGPD parce qu’il traiterait les données biométriques même des personnes qui n’y ont pas consenti. Bien qu’il n’y ait pas de reconnaissance faciale des personnes dont la photo n’a pas été prise au préalable avec leur consentement, le système étaient en fait actif à tout moment. L’APD des données a souligné que c’est la finalité, et non l’identification unique proprement dite, qui détermine si elle est couverte par l’art. 9 RGPD. Par conséquent, pour éviter de violer l’art. 9 RGPD, FysioDanmark devrait permettre à la personne concernée de déclencher elle-même la reconnaissance faciale, par exemple en appuyant sur un bouton.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)