L’autorité espagnole de protection des données (AEPD) a infligé une amende de 2,5 millions d’euros à une chaîne de supermarchés pour l’utilisation illicite d’un système de vidéosurveillance équipé d’un système de reconnaissance faciale qui identifiait les visages des clients en recueillant une série de données biométriques qui étaient automatiquement comparées à une base de données afin de déterminer si le client avait un litige avec les tribunaux, en bloquant dans ce cas l’entrée avec une alarme pour demander l’intervention du personnel de sécurité.
À la suite de son enquête, l’année dernière, l’AEPD avait découvert que Mercadona utilisait depuis plusieurs mois un système de reconnaissance faciale dans 48 de ses magasins en Espagne. Ce système collectait et traitait les données biométriques des visages des personnes entrant dans les supermarchés, y compris ceux de millions de clients adultes et enfants, ainsi que des employés eux-mêmes, afin de détecter qui, parmi les clients, était blessé ou soumis à d’autres restrictions légales, en particulier les personnes qui avaient reçu une décision de justice après avoir attaqué un employé ou qui avaient été condamnées à la suite d’accidents dans le magasin.
L’Autorité de Protection des Données Personnelles a relevé qu’aucune des bases légales prévues par l’article 9 du GDPR ne pouvait être légalement utilisée par Mercadona pour ce traitement de données biométriques à travers son système de reconnaissance faciale, et également dans ce cas les principes de nécessité, de proportionnalité et de minimisation des données, de transparence et de privacy by deseno.
En outre, l’AEPD avait constaté que l’analyse d’impact sur la protection des données réalisée par Mercadona était insuffisante et incomplète en ce qu’elle ne tenait pas compte des risques liés au traitement des données biométriques relatives aux employés.
Près d’un an après le début de l’enquête, par la procédure N. PS/00120/2021 l’APED a décidé d’imposer une amende de 3.150.000 euros, et Mercadona a renoncé à toute possibilité d’appel, préférant payer le montant réduit de 2,5 millions d’euros.
SOURCE: FEDERPRIVACY