La personne concernée était membre d’un centre de fitness (responsable du traitement) ouvert 24 heures sur 24 et 7 jours sur 7. Auparavant, l’accès à ce centre de fitness était autorisé au moyen d’une puce électronique. Le responsable du traitement a toutefois décidé de renoncer au système de puce électronique et d’introduire la reconnaissance faciale comme seul système d’accès pendant les heures sans personnel du centre. En conséquence, l’absence de consentement à l’utilisation de la reconnaissance faciale était que l’utilisation de l’abonnement était limitée aux heures d’ouverture en présence du personnel.

La personne concernée a refusé d’utiliser un tel système et de fournir ses données biométriques au responsable du traitement. Ce dernier a répondu qu’il examinerait quelles autres options d’accès seraient disponibles en remplacement de la reconnaissance faciale. Cependant, il n’a jamais donné suite.

La personne concernée a donc déposé une plainte auprès de l’autorité danoise de protection des données (Datatilsynet ; APD). Elle a fait valoir que le consentement ne pouvait être considéré comme valable que s’il était donné sans pression et sans les conséquences négatives d’un refus de le donner. Selon la personne concernée, ce n’était pas le cas, car sans le système de reconnaissance faciale, elle ne pouvait utiliser le centre de fitness que pendant les heures d’ouverture en présence du personnel, or elle avait décidé d’être membre de ce centre parce qu’il était ouvert 24 heures sur 24 et 7 jours sur 7.

Le responsable de traitement a souligné qu’il informait ses membres de l’utilisation des données personnelles dans le cadre de la reconnaissance faciale via sa politique de confidentialité. Il a aussi fait valoir qu’il avait mis à disposition des formes d’accès alternatives pour les membres qui ne souhaitaient pas utiliser la reconnaissance faciale. Plus précisément, la personne concernée pouvait soit appeler le service d’assistance et lui demander de générer un code à usage unique à utiliser pour ouvrir la porte, soit simplement demander au service d’assistance de lui ouvrir la porte.

L’APD, dans une décision 2023-31-0028 du 03.07.2024 présentée sur gdprhub (https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2023-31-0028&mtc=today), a souligné que dans l’affaire FysioDanmark , elle avait jugé que l’utilisation de la reconnaissance faciale comme contrôle d’accès pour les centres de fitness ne pouvait en soi être considérée comme contraire aux principes fondamentaux fixés par l’article 5 du RGPD , y compris les exigences de proportionnalité.

Ainsi, l’APD a estimé que le responsable du traitement, à condition que les conditions d’un traitement licite soient par ailleurs remplies, pourrait également utiliser la reconnaissance faciale comme contrôle d’accès pour ses centres de fitness.

L’APD a rappelé que les images faciales utilisées pour identifier une personne sont des données biométriques conformément à l’article 4(14) du RGPD . Par conséquent, en vertu de l’article 9(1) du RGPD , le responsable du traitement ne peut pas utiliser les données obtenues grâce à l’utilisation de la reconnaissance faciale, sauf si une exception prévue à l’ article 9(2) du RGPD s’applique. Dans ce cas, l’APD a souligné que le consentement explicite conformément à l’article 9(2)(a) du RGPD devrait être le plus approprié.

En outre, en ce qui concerne l’utilisation du consentement dans le cadre de la reconnaissance faciale, la DPA a estimé que – conformément à ce qui est indiqué dans les lignes directrices 3/2019 du CEPD sur le traitement des données personnelles via des appareils vidéo – que, dans ce cas, l’exigence selon laquelle le consentement doit être « librement donné » implique que le responsable du traitement doit proposer une solution alternative qui n’inclut pas le traitement de données biométriques.

Selon l’APD, cette alternative ne doit pas nécessairement être identique, mais ne doit pas imposer de restrictions ou de coûts importants à la personne concernée. L’APD a noté que les options alternatives dans le cas présent (générer un code ou appeler le support) offrent le même accès au centre que le consentement à la reconnaissance faciale. De plus, les options alternatives n’impliquent pas de limitations importantes.

En outre, l’APD a noté que le consentement doit également être éclairé. Dans le cas présent, cela signifie que la personne concernée doit être informée des alternatives au consentement à la reconnaissance faciale. L’APD a constaté que le responsable du traitement a fait des efforts pour y parvenir, en affichant un avis sur les écrans d’information à l’entrée des centres de fitness et dans sa politique de confidentialité.

En ce qui concerne le caractère volontaire général du consentement, l’APD a noté que la personne concernée avait été informée par un employé du responsable du traitement que si le membre ne souhaitait pas consentir à la reconnaissance faciale, il n’était possible d’accéder au centre que pendant les heures d’ouverture avec personnel. L’APD a estimé que cela donnait à la personne concernée une perception justifiée qu’il n’y aurait pas d’alternative à la reconnaissance faciale.

Selon la DPA, cela signifie que le consentement qui a été tenté d’être obtenu auprès du plaignant à ce moment-là ne serait pas valable.

Dans ces circonstances, l’APD a adressé un avertissement au responsable du traitement.

L’APD a toutefois estimé qu’au moment de la décision, la personne concernée pouvait être considérée comme suffisamment informée des alternatives possibles. C’est pourquoi un consentement valable pouvait désormais être obtenu.

Me Philippe Ehrenström, avocat, LLM