Par Haas Avocats
Afin de rationaliser le flux de passagers dans les aéroports, de plus en plus d’exploitants d’aéroports et de compagnies aériennes ont décidé d’utiliser des technologies de reconnaissance faciale.
A l’ère de la protection renforcée des données personnelles dites sensibles[1], le traitement de données biométriques se doit toutefois d’être compatible avec les exigences imposées par le RGPD.
Depuis 2020, la CNIL rappelle ainsi régulièrement qu’il faut privilégier la conservation de ces données sur un support dont la personne à l’usage et le contrôle exclusif.
En effet, spécifiquement sur le lieu de travail[2], la CNIL demande à ce que soit justifié non seulement le recours aux différents types de dispositifs de contrôle biométrique (Type 1, 2 et 3) mais aussi le choix des données biométriques collectées (digital, empreinte de la main, reconnaissance faciale, etc)
C’est en vue d’une harmonisation des pratiques européennes en la matière et à la suite d’une demande de la CNIL, que le Comité européen sur la protection des données (CEPD) s’est à son tour récemment prononcé sur le sujet à travers un avis émis le 24 mai 2024[3].
Dans ce dernier, le CEPD semble avoir adopté une position semblable à celle de l’autorité française. Après avoir exhorté les compagnies aériennes à « opter pour des moyens moins intrusifs » pour rationaliser le flux de passagers, le président du CEPD a considéré que les personnes dont les données biométriques sont traitées doivent, pour le moins, avoir un contrôle maximal sur ces données.
Cependant, avant toute chose, les acteurs souhaitant traiter de telles données personnelles doivent le justifier au regard du régime de protection renforcé des données sensibles[4].
Au regard du RGPD, le traitement des données sensibles est par principe interdit, sauf si le responsable de traitement parvient à invoquer une des exceptions prévues.
A cet égard, le responsable de traitement peut solliciter le consentement de la personne concernée, invoquer un motif d’intérêt public important prévu par une disposition légale, ou encore mettre en œuvre ce traitement à des fins de recherche scientifique ou historique, …etc.
En l’espèce, l’avis ne traite pas la question de la reconnaissance faciale à des fins de sécurité, de contrôle aux frontières ou encore par les services répressifs, mais se contente d’envisager le cas du traitement de ces données biométriques fondé sur le consentement du passager[5].
Le cœur de l’avis du CPED concerne l’étude des solutions de stockage des données biométriques mises en place dans le cadre des technologies de reconnaissance faciale.
Plusieurs scénarios de solutions de stockage ont été envisagés lors de l’élaboration de cet avis :
Après avoir analysé l’ensemble de ces scénarios, le CEPD est parvenu à la conclusion selon laquelle seules les solutions permettant le stockage des données biométriques entre les mains de la personne concernée ou dans une base de données centrale, mais sous le contrôle exclusif de la personne concernée grâce à une clé de cryptage, sont compatibles avec les principes gouvernant le traitement des données personnelles énoncés par le RGPD[6].
Cette solution est ce que la CNIL nomme concernant le contrôle d’accès biométrique sur les lieux de travail[7], un dispositif de contrôle biométrique de type 1 (le moins « invasif »).
Enfin, ces solutions de stockage doivent être combinées avec la mise en place de garanties, pouvant être[8] :
Seules les solutions de stockage préconisées, couplées à la mise en œuvre de garanties permettant d’assurer la sécurité des données, seront en mesure de compenser le caractère intrusif du traitement des données biométriques. A nouveau, il s’agit de s’assurer que les personnes disposent d’un contrôle effectif sur leurs données personnelles.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Telles que les opinions politiques ou religieuse, les données de santé, ou encore les données biométriques.
[2] Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail
[4] Article 9 du RGPD
[6] Et surtout les principes d’intégrité, de confidentialité, la protection des données dès la conception et par défaut et la sécurité du traitement (article 5 du RGPD)
[7] Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail
[8] L’avis du CEPD liste un certain nombre de garanties, seuls quelques exemples sont donnés ici