La reconnaissance faciale s'implante peu à peu dans nos vies, aussi bien à l'initiative des pouvoirs publics de tous les pays dans un contexte de lutte contre le terrorisme ou la sécurité publique, que dans les entreprises (contrôle des personnes habilitées à pénétrer dans une zone protégée) ou dans la vie privé (protection d'un ordinateur ou d'un téléphone).
Rappelons que la reconnaissance faciale est une technique désormais fiable qui permet d'identifier une personne par la capture de l'image de son visage, par rapport à des images de références de la personne.
Un article de Me Arnaud Dimeglio, avocat, sur le site du Village de la justice du 15 mai et intitulé "Reconnaissance faciale : quelle réglementation ?", rappelle les règles applicables en cas de mise en œuvre de cette technique pour le moins intrusive pour les droits et libertés des personnes.
Des données à caractère personnel
Dès l'instant que la reconnaissance faciale, comme son nom l'indique, vise à identifier des personnes par leur image, il s'agit évidemment d'un "traitement de données à caractère personnel" au sens de l'article 4, points 1 et 2, du RGPD et par conséquent la législation européenne et française s'appliquent.
Des données sensibles
Mais en outre, le RGPD, dans son article 9 a élargi le champ des données dites "sensibles", celles dont le traitement est susceptible de mettre en péril les droits les plus intimes des personnes. Rappelons que la liste connue depuis 1978 en France et dans l'ancienne directive de 1995 est la suivante :
Données qui directement ou indirectement font apparaître :
- Les origines raciales ou ethniques
- Les opinions politiques, philosophiques ou religieuses
- L'appartenance syndicale
- La santé et la vie sexuelle
- Des personnes (article 8-I loi de 1978 dans sa version en vigueur jusqu'à 1er juin prochain),
À cette liste, inchangée, le RGPD a ajouté le traitement des données génétiques ou biométriques (article 9, point 1.
Des données biométriques
Les données biométriques sont définies par le RGPD comme "résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques" (article 4, point 14). La reconnaissance faciale est donc clairement visée dans cette définition. Il s'ensuit que cette reconnaissance constitue une donnée sensible au sens du Règlement, alourdissant les obligations et précautions à prendre, notamment quant au consentement requis des personnes intéressées.
L'article détaille ces points et pousse le raisonnement jusqu'à l'obligation de réaliser une étude d'impact avant la mise en œuvre d'un système de ce type. Il étudie notamment tous la plupart des cas de figure concrets dans lesquels ces traitements sont réalisés, tant dans le privé que dans le cadre étatique et de sécurité publique.
Toutes nos actualités sur les Données à caractère personnel.