Home

Entreprises qui nous ont choisis

Privacy Officer et Privacy Consultant
Schéma CDP selon ISO/IEC 17024:2012
European Privacy Auditor
Système de certification ISDP©10003 selon ISO/IEC 17065:2012
Auditor
Selon la norme UNI 11697:2017
Lead Auditor ISO/IEC 27001:2022
Selon la norme ISO/IEC 17024:2012
Délégué à la Protection des données
Selon la norme ISO/IEC 17024:2012
Anti-Bribery Lead Auditor Expert
Selon la norme ISO/IEC 17024:2012
ICT Security Manager
Selon la norme UNI 11506:2017
IT Service Management (ITSM)
Selon la Fondation ITIL
Ethical Hacker (CEH)
Selon EC-Council
Network Defender (CND)
Selon EC-Council
Computer Hacking Forensics Investigator (CHFI)
Selon EC-Council
Penetration Testing Professional (CPENT)
Selon EC-Council

Qualifications professionnelles

Restez au courant de l'actualité mondiale!

Sélectionnez les thèmes qui vous intéressent:

News

Home / News
/
AUTORITÉ DE CONTRÔLE FINLANDAISE: Avis à la police pour traitement illégal de données à caractère personnel à l’aide d’un logiciel de reconnaissance faciale

AUTORITÉ DE CONTRÔLE FINLANDAISE: Avis à la police pour traitement illégal de données à caractère personnel à l’aide d’un logiciel de reconnaissance faciale

Le Commissaire adjoint à la protection des données a adressé un avis au Conseil national de la police, conformément à la loi sur la protection des données criminelles, car la police a traité illégalement des données appartenant à des groupes spéciaux de données personnelles dans le cadre de l’utilisation expérimentale de la technologie de reconnaissance faciale. L’unité centrale de la police criminelle chargée de lutter contre l’exploitation sexuelle des enfants a testé la technologie de reconnaissance faciale pour identifier les victimes potentielles. La décision concernant le procès a été prise par la police et le Conseil national de la police n’était pas au courant du procès.

En avril 2021, le Conseil de la police nationale a notifié au Bureau du commissaire à la protection des données une violation de sécurité impliquant l’utilisation à titre expérimental d’un programme de reconnaissance faciale au sein de la police criminelle centrale au début de 2020. La police avait mis à l’essai le service d’intelligence artificielle Clearview, basé aux États-Unis, pour identifier les victimes potentielles d’abus sexuels sur des enfants à l’aide d’images faciales.

La police avait utilisé le service pendant une période d’essai, puis avait déclaré que Clearview AI n’était pas adapté à cet usage en Finlande. Au cours de l’enquête sur la violation de la sécurité, il est apparu que la police avait également essayé un service appelé Arachnid dans le même but.

Le traitement de données à caractère personnel au moyen de programmes de reconnaissance faciale avait eu lieu sans le consentement ou le contrôle du responsable du traitement des données, le Conseil national de la police. Le gouvernement de la police avait été informé de l’utilisation du service Clearview AI par la publication en ligne américaine Buzzfeed News.

Le responsable du traitement doit veiller à la licéité du traitement des données à caractère personnel

Selon la loi pénale sur la protection des données, le responsable du traitement des données est chargé de veiller à ce que les données personnelles soient traitées légalement. Le contrôleur adjoint de la protection des données déclare que la responsabilité du responsable du traitement des données à caractère personnel n’a pas été remplie dans la pratique. Le gouvernement de la police aurait eu le devoir de veiller à ce que les agents de police soient au courant des règlements et des procédures qu’ils devaient suivre.

Par exemple, le responsable du traitement doit s’assurer que des instructions à jour pour le traitement des données personnelles sont en place et que des contrôles adéquats sont en place pour le traitement des données personnelles. La formation à la conception et à l’utilisation de nouvelles méthodes de traitement relève également de la responsabilité du responsable du traitement des données. En l’espèce, les mesures prises par le responsable du traitement n’ont pas empêché le traitement illicite de données à caractère personnel.

La police n’a pas tenu compte des conditions relatives au traitement de groupes spéciaux de données à caractère personnel. Les images faciales sont des données personnelles biométriques au sens de la loi sur la protection des données pénales et appartiennent à des catégories spéciales de données personnelles. Ces données doivent être traitées avec une attention particulière. En outre, le traitement des données personnelles avait commencé sans que l’on ait obtenu d’informations sur la manière dont le service utilisait les données personnelles. Avant l’introduction du service, par exemple, la police n’avait pas précisé combien de temps les données seraient conservées ni si elles pouvaient être transmises à des tiers.

En plus de cette observation, le commissaire adjoint à la protection des données a ordonné à la commission de police de signaler la violation des données personnelles aux personnes dont l’identité est connue. En outre, la commission de police doit demander à Clearview AI de supprimer de ses supports de stockage les données transmises par la police.

Décision de l’Autorité de Protection des Données:

TSV päätös 3394.171.21

SOURCE: AUTORITÉ DE PROTECTION DES DONNÉES DE FINLANDE

Proposé pour vous

Recherche avancée