Le Commissaire Australien à l’information et à la protection de la vie privée a déterminé que le groupe de magasins de proximité 7-Eleven avait porté atteinte à la vie privée de ses clients en collectant des informations biométriques sensibles qui n’étaient pas raisonnablement nécessaires à ses fonctions et sans préavis ni consentement adéquat.
Cette décision fait suite à une enquête menée par le Bureau du commissaire australien à l’information (OAIC) sur la collecte par 7-Eleven d’images faciales lors d’un sondage auprès des clients sur leur expérience en magasin.
L’enquête a révélé que les images faciales des clients étaient utilisées pour générer des représentations algorithmiques, ou « faceprints », qui étaient comparées à d’autres faceprints afin d’exclure les réponses qui pourraient ne pas être authentiques. Les informations personnelles ont également été utilisées pour donner une idée générale du profil démographique des clients ayant répondu à l’enquête.
Les enquêtes ont été complétées entre juin 2020 et août 2021 sur des tablettes avec des caméras intégrées installées dans 700 magasins. Les clients ont répondu à 1,6 million d’enquêtes au cours des 10 premiers mois.
Le commissaire a estimé que les images faciales et les empreintes faciales étaient des informations sensibles couvertes par des protections supplémentaires en vertu de la loi sur la protection de la vie privée de 1988, car il s’agissait d' »informations biométriques utilisées à des fins d’identification biométrique automatisée », et les empreintes faciales étaient également des « modèles biométriques ».
Les informations biométriques sont uniques à un individu et ne peuvent normalement pas être modifiées.
Les entités doivent examiner attentivement si elles ont besoin de collecter ces informations personnelles sensibles et si les répercussions sur la vie privée sont proportionnelles à la réalisation des fonctions ou activités légitimes de l’entité.
Le commissaire Falk a constaté que les personnes n’avaient pas donné leur consentement explicite ou implicite à la collecte de leurs images ou empreintes faciales, et que 7-Eleven n’avait pas pris de mesures raisonnables pour informer les personnes de la collecte de renseignements personnels.
Le Commissaire a également constaté que la collecte à grande échelle d’informations biométriques sensibles par le biais du mécanisme de rétroaction des clients de 7-Eleven n’était pas raisonnablement nécessaire pour comprendre et améliorer l’expérience des clients en magasin.
Bien qu’elle accepte que la mise en œuvre de systèmes visant à comprendre et à améliorer l’expérience des clients constitue une fonction légitime pour l’entreprise 7-Eleven, les avantages pour l’entreprise de la collecte de ces données biométriques n’étaient pas proportionnels à l’impact sur la vie privée.
En réponse à l’enquête de l’OAIC, 7-Eleven a cessé de collecter des images faciales et des empreintes faciales dans le cadre du mécanisme de retour d’information des clients. Elle a également détruit les images faciales existantes.
Le Commissaire a ordonné que 7-Eleven détruise également toutes les empreintes faciales qu’elle a collectées.
La décision:
Commissioner-initiated-investigation-into-Eleven-Stores-Pty-Ltd-Privacy
SOURCE: AUTORITÉ AUSTRALIENNE DE PROTECTION DES DONNÉES – OIAC