L’autorité néerlandaise de protection des données (DPA) a enquêté sur 8 parcs de vacances qui utilisent la reconnaissance faciale pour donner accès aux piscines et aux aires de jeux. Il s’est avéré que tous les parcs de vacances enquêtés ont enfreint la loi sur la protection de la vie privée. Par exemple, en ne signalant pas à leurs clients qu’ils pouvaient également visiter la piscine sans se soumettre à la reconnaissance faciale. Sous la pression de l’APD néerlandaise, 7 des parcs enquêtés ont adapté leur façon de travailler, mais un parc de vacances ne l’a pas fait jusqu’à présent. Si cela continue d’être le cas, l’APD néerlandaise peut imposer d’autres mesures, comme une amende ou une pénalité progressive.

L’APD néerlandaise a ouvert l’enquête après avoir reçu des informations de citoyens. « Les gens étaient surpris », explique Monique Verdier, vice-présidente de l’APD néerlandaise. « Alors qu’avant, ils accédaient à la piscine avec une carte ou un bracelet, la reconnaissance faciale a soudainement été déployée. Pour les adultes, mais aussi pour les enfants. Uniquement pour accéder à la piscine. Est-ce autorisé, comme ça ? C’est ce qu’ils voulaient savoir. »

La reconnaissance faciale est généralement interdite

Le règlement général sur la protection des données (RGPD) impose des exigences strictes à l’utilisation de la reconnaissance faciale . « Son utilisation est en principe interdite. Et ce pour une raison », explique Verdier. « Une fois que vous avez fait l’objet d’un tel scan facial, vous perdez le contrôle. Vous pouvez alors être identifié et suivi partout. Votre visage est unique et vous ne pouvez pas simplement l’échanger contre un nouveau visage. »

En principe, la reconnaissance faciale n’est autorisée que dans 3 cas :

1. Si la reconnaissance faciale sert uniquement à des fins personnelles ou domestiques, comme le déverrouillage d’un téléphone.
2. Si la reconnaissance faciale est nécessaire à des fins d’authentification ou de sécurité. Une telle nécessité ne se pose cependant pas facilement. Elle doit concerner un intérêt public substantiel. Par exemple, la sécurité d’une centrale nucléaire ou des informations qui constituent un secret d’État.
3. Si la personne dont vous scannez le visage y consent explicitement.

Consentement explicite à la reconnaissance faciale

Dans le cas du contrôle d’accès à une piscine, l’option 3, le consentement explicite, est la seule option possible. Un nombre considérable d’exigences s’appliquent à la manière dont une organisation doit demander le consentement des personnes pour appliquer la reconnaissance faciale.

L’organisation doit informer correctement les personnes afin qu’elles sachent vraiment à quoi elles disent « oui ». De plus, elles doivent être libres de dire « non » et se sentir libres de le faire. Cela signifie, entre autres, qu’il faut également proposer une alternative. Dans ce cas, il faut également pouvoir accéder à l’aide d’une carte ou d’un bracelet, par exemple.

Diverses infractions commises par des parcs de vacances

L’enquête menée par l’APD néerlandaise a montré que tous les parcs de vacances ne respectaient pas la loi. L’APD néerlandaise a identifié plusieurs violations :

• Parfois, les parcs ne demandaient même pas le consentement des visiteurs, ou pas assez clairement.
• Parfois, les clients ne pouvaient pas utiliser d’alternative à la reconnaissance faciale. Ou bien il existait une alternative, mais le parc de vacances n’en informait pas les clients de son propre chef.
• D’autres parcs de vacances informent insuffisamment les clients sur la reconnaissance faciale et sur les droits dont disposent les clients dès lors qu’une organisation utilise leurs données personnelles à des fins de reconnaissance faciale.
• Souvent, les clients ne reçoivent aucune information sur la durée pendant laquelle le parc de vacances conserve les données et sur qui les reçoit.

Verdier : « C’est très grave. On n’a pas le droit de faire pression sur les gens pour qu’ils dévoilent leurs données biométriques. Or, c’est exactement ce qui s’est passé ici : des gens payent pour des vacances agréables, avec piscine, et se retrouvent devant le fait accompli : si vous voulez vous baigner, vous devrez dévoiler vos données. C’est interdit. »

Et maintenant ?

L’autorité néerlandaise de protection des données a imposé au parc de vacances une mesure qui ne répond pas encore aux exigences de la loi. Le parc de vacances a jusqu’au début du mois de décembre pour adapter son mode de fonctionnement en matière de reconnaissance faciale. Si le parc ne le fait pas, l’autorité néerlandaise de protection des données peut imposer d’autres mesures. Verdier : « Dans ce cas, l’entreprise a eu suffisamment de temps pour se conformer aux exigences de la loi. Une autre mesure, telle qu’une amende ou une pénalité progressive, peut alors être nécessaire. »

https://autoriteitpersoonsgegevens.nl/en/current/holiday-parks-adjust-use-of-facial-recognition-after-investigation-by-dutch-dpa