Le Commissaire adjoint à la protection des données a adressé un avis au Conseil national de la police, conformément à la loi sur la protection des données criminelles, car la police a traité illégalement des données appartenant à des groupes spéciaux de données personnelles dans le cadre de l’utilisation expérimentale de la technologie de reconnaissance faciale. L’unité centrale de la police criminelle chargée de lutter contre l’exploitation sexuelle des enfants a testé la technologie de reconnaissance faciale pour identifier les victimes potentielles. La décision concernant le procès a été prise par la police et le Conseil national de la police n’était pas au courant du procès.
En avril 2021, le Conseil de la police nationale a notifié au Bureau du commissaire à la protection des données une violation de sécurité impliquant l’utilisation à titre expérimental d’un programme de reconnaissance faciale au sein de la police criminelle centrale au début de 2020. La police avait mis à l’essai le service d’intelligence artificielle Clearview, basé aux États-Unis, pour identifier les victimes potentielles d’abus sexuels sur des enfants à l’aide d’images faciales.
La police avait utilisé le service pendant une période d’essai, puis avait déclaré que Clearview AI n’était pas adapté à cet usage en Finlande. Au cours de l’enquête sur la violation de la sécurité, il est apparu que la police avait également essayé un service appelé Arachnid dans le même but.
Le traitement de données à caractère personnel au moyen de programmes de reconnaissance faciale avait eu lieu sans le consentement ou le contrôle du responsable du traitement des données, le Conseil national de la police. Le gouvernement de la police avait été informé de l’utilisation du service Clearview AI par la publication en ligne américaine Buzzfeed News.
Le responsable du traitement doit veiller à la licéité du traitement des données à caractère personnel
Selon la loi pénale sur la protection des données, le responsable du traitement des données est chargé de veiller à ce que les données personnelles soient traitées légalement. Le contrôleur adjoint de la protection des données déclare que la responsabilité du responsable du traitement des données à caractère personnel n’a pas été remplie dans la pratique. Le gouvernement de la police aurait eu le devoir de veiller à ce que les agents de police soient au courant des règlements et des procédures qu’ils devaient suivre.
Par exemple, le responsable du traitement doit s’assurer que des instructions à jour pour le traitement des données personnelles sont en place et que des contrôles adéquats sont en place pour le traitement des données personnelles. La formation à la conception et à l’utilisation de nouvelles méthodes de traitement relève également de la responsabilité du responsable du traitement des données. En l’espèce, les mesures prises par le responsable du traitement n’ont pas empêché le traitement illicite de données à caractère personnel.
La police n’a pas tenu compte des conditions relatives au traitement de groupes spéciaux de données à caractère personnel. Les images faciales sont des données personnelles biométriques au sens de la loi sur la protection des données pénales et appartiennent à des catégories spéciales de données personnelles. Ces données doivent être traitées avec une attention particulière. En outre, le traitement des données personnelles avait commencé sans que l’on ait obtenu d’informations sur la manière dont le service utilisait les données personnelles. Avant l’introduction du service, par exemple, la police n’avait pas précisé combien de temps les données seraient conservées ni si elles pouvaient être transmises à des tiers.
En plus de cette observation, le commissaire adjoint à la protection des données a ordonné à la commission de police de signaler la violation des données personnelles aux personnes dont l’identité est connue. En outre, la commission de police doit demander à Clearview AI de supprimer de ses supports de stockage les données transmises par la police.