Home

Entreprises qui nous ont choisis

Privacy Officer et Privacy Consultant
Schéma CDP selon ISO/IEC 17024:2012
European Privacy Auditor
Système de certification ISDP©10003 selon ISO/IEC 17065:2012
Auditor
Selon la norme UNI 11697:2017
Lead Auditor ISO/IEC 27001:2022
Selon la norme ISO/IEC 17024:2012
Délégué à la Protection des données
Selon la norme ISO/IEC 17024:2012
Anti-Bribery Lead Auditor Expert
Selon la norme ISO/IEC 17024:2012
ICT Security Manager
Selon la norme UNI 11506:2017
IT Service Management (ITSM)
Selon la Fondation ITIL
Ethical Hacker (CEH)
Selon EC-Council
Network Defender (CND)
Selon EC-Council
Computer Hacking Forensics Investigator (CHFI)
Selon EC-Council
Penetration Testing Professional (CPENT)
Selon EC-Council

Qualifications professionnelles

Restez au courant de l'actualité mondiale!

Sélectionnez les thèmes qui vous intéressent:

News

Home / News
/
Protection des données : la reconnaissance faciale et les aspects les plus problématiques.

Protection des données : la reconnaissance faciale et les aspects les plus problématiques.

La reconnaissance faciale, comme toutes les techniques d’intelligence artificielle, pose sans aucun doute des problèmes de respect de la vie privée car elle traite des données biométriques extrêmement sensibles. Plus précisément, cette technique implique l’application d’un logiciel biométrique capable d’identifier et de vérifier universellement l’identité d’une personne en analysant les traits distinctifs du visage et en les comparant à ceux d’autres images.
En fait, chacun de nous a des caractéristiques faciales uniques.

Ce type de logiciel est capable de les analyser, de les comparer avec les images stockées dans une base de données et d’identifier la personne (si une correspondance est trouvée).

Selon la relation avec le secteur spécifique de la protection des données personnelles, comme cela arrive souvent dans le domaine des nouvelles technologies, il n’est pas possible de parler d’incompatibilité absolue, car le traitement des données, s’il respecte les principes de légalité, de nécessité, de proportionnalité et de minimisation détaillés dans le Règlement européen n. 2016/679 (GDPR), peut certainement être possible et licite.

Dans le cas contraire, nous pourrions être confrontés à des cas de diffusion illégitime de données extrêmement sensibles et, en fait, d’usurpation d’identité ou de traitement automatisé de données non autorisés par la réglementation ou d’autres formes de traitement illégal de données à caractère personnel.

En fait, si l’utilisation de ces technologies peut être perçue comme particulièrement efficace, les responsables du traitement doivent avant tout évaluer l’impact sur les droits et libertés fondamentaux et envisager les moyens les moins invasifs pour atteindre leurs objectifs légitimes.

Dans notre système juridique, il n’existe pas de lois ad hoc régissant la reconnaissance faciale, mais le traitement relatif des données à caractère personnel doit respecter certaines dispositions fondamentales de la GDPR, en particulier l’article 5 qui régit les principes applicables au traitement des données à caractère personnel, l’article 6 qui définit les conditions de licéité du traitement et l’article 9 qui régit le traitement de catégories particulières de données, y compris les données biométriques. En outre, récemment, le Conseil européen de la protection des données (CEPD), dans la directive n° 3./2019 sur le traitement des données à caractère personnel par les dispositifs de vidéosurveillance, accorde une attention particulière à la reconnaissance faciale et à la vidéosurveillance intelligente.

En ce qui concerne les données biométriques, à la lumière des articles 4.14 et 9 du GDPR, les trois critères suivants doivent être pris en compte:

  • Nature des données : données sur les caractéristiques physiques, physiologiques ou comportementales d’une personne physique;
  • Moyens et méthodes de traitement : données « résultant d’un traitement technique spécifique ».
  • Finalité du traitement : les données doivent être utilisées pour identifier de manière unique une personne physique.

Les directives soutiennent que l’article 9 de la GDPR s’applique si le responsable du traitement stocke des données biométriques (le plus souvent au moyen de modèles créés en extrayant des caractéristiques clés de la forme approximative des données biométriques (par exemple, les mesures du visage à partir d’une image)) pour identifier une personne de manière unique. Si un responsable du traitement souhaite enquêter sur un sujet qui se trouve dans la zone ou qui en sort dans une autre zone (par exemple pour projeter une publicité personnalisée), la finalité serait celle de l’identification unique d’une personne physique, ce qui signifie que l’opération fait partie dès le début du champ d’application de l’article 9.

Certains systèmes biométriques sont parfois installés dans des environnements non contrôlés, ce qui signifie que le système permet de capturer le visage de toute personne passant dans un rayon d’action de la caméra vidéo, y compris les personnes qui n’ont pas donné leur consentement au dispositif biométrique. Ces modèles sont comparés à ceux créés à partir de personnes qui ont donné leur consentement préalable lors d’un processus de recrutement (c’est-à-dire un utilisateur de dispositifs biométriques) afin que le responsable du traitement des données puisse reconnaître si la personne est ou non un utilisateur de dispositifs biométriques.

Dans ce cas, selon les directives de l’EDPB, le système est généralement conçu pour discriminer les individus qu’il veut reconnaître dans une base de données par rapport à ceux qui ne sont pas inscrits et une exemption spécifique est évidemment requise en vertu de l’article 9, paragraphe 2, du GDPR.

Lorsque le traitement biométrique est utilisé à des fins d’authentification, les lignes directrices recommandent que le responsable du traitement propose une solution de repli qui n’implique pas de traitement biométrique, sans restrictions ni coûts supplémentaires pour la personne concernée.

Cette solution de repli est également nécessaire pour les personnes qui ne respectent pas les limitations du dispositif biométrique (impossibilité d’enregistrer ou de lire les données biométriques, situation de handicap entravant son utilisation, etc.) et en cas d’indisponibilité du dispositif biométrique (comme un dysfonctionnement du dispositif), une « solution de secours » doit être mise en œuvre pour assurer la continuité du service proposé, limitée toutefois à un usage exceptionnel.

Bien entendu, conformément au principe de minimisation des données, les responsables du traitement doivent s’assurer que les données extraites d’une image numérique pour construire un modèle ne sont pas excessives et ne contiennent que les informations nécessaires à la finalité spécifiée, évitant ainsi tout traitement ultérieur éventuel.

D’un point de vue technique, selon les lignes directrices, le responsable du traitement doit prendre toutes les précautions nécessaires pour préserver la disponibilité, l’intégrité et la confidentialité des données traitées.

A cet égard, il doit :

  1. compartimenter les données pendant la transmission et le stockage ;
  2. stocker les modèles biométriques et les données brutes ou d’identité dans des bases de données séparées ;
  3. chiffrer les données biométriques, en particulier les modèles biométriques, et définir une politique de chiffrement et de gestion des clés ;
  4. Intégrer une mesure organisationnelle et technique pour la détection des fraudes ;
  5. Associer un code d’intégrité aux données (par exemple une signature ou un hachage) et interdire tout accès externe aux données biométriques.

Bien entendu, ces mesures devront évoluer avec les progrès des technologies.

SOURCE: FEDERPRIVACY

Proposé pour vous

Recherche avancée