Afin de rationaliser le flux de passagers dans les aéroports, de plus en plus d'exploitants d'aéroports et de compagnies aériennes ont décidé d'utiliser des technologies de reconnaissance faciale.
A l'ère de la protection renforcée des données personnelles dites sensibles1, le traitement de données biométriques se doit toutefois d'être compatible avec les exigences imposées par le RGPD.
Préconisation des autorités à la mesure
Depuis 2020, la CNIL rappelle ainsi régulièrement qu'il faut privilégier la conservation de ces données sur un support dont la personne à l'usage et le contrôle exclusif.
En effet, spécifiquement sur le lieu de travail2, la CNIL demande à ce que soit justifié non seulement le recours aux différents types de dispositifs de contrôle biométrique (Type 1, 2 et 3) mais aussi le choix des données biométriques collectées (digital, empreinte de la main, reconnaissance faciale, etc)
C'est en vue d'une harmonisation des pratiques européennes en la matière et à la suite d'une demande de la CNIL, que le Comité européen sur la protection des données (CEPD) s'est à son tour récemment prononcé sur le sujet à travers un avis émis le 24 mai 20243.
Dans ce dernier, le CEPD semble avoir adopté une position semblable à celle de l'autorité française. Après avoir exhorté les compagnies aériennes à « opter pour des moyens moins intrusifs » pour rationaliser le flux de passagers, le président du CEPD a considéré que les personnes dont les données biométriques sont traitées doivent, pour le moins, avoir un contrôle maximal sur ces données.
Cependant, avant toute chose, les acteurs souhaitant traiter de telles données personnelles doivent le justifier au regard du régime de protection renforcé des données sensibles4.
Le fondement du traitement des données biométriques
Au regard du RGPD, le traitement des données sensibles est par principe interdit, sauf si le responsable de traitement parvient à invoquer une des exceptions prévues.
A cet égard, le responsable de traitement peut solliciter le consentement de la personne concernée, invoquer un motif d'intérêt public important prévu par une disposition légale, ou encore mettre en œuvre ce traitement à des fins de recherche scientifique ou historique, …etc.
En l'espèce, l'avis ne traite pas la question de la reconnaissance faciale à des fins de sécurité, de contrôle aux frontières ou encore par les services répressifs, mais se contente d'envisager le cas du traitement de ces données biométriques fondé sur le consentement du passager5.
Le stockage des données biométriques sur un support contrôlé par la personne concernée
Le cœur de l'avis du CPED concerne l'étude des solutions de stockage des données biométriques mises en place dans le cadre des technologies de reconnaissance faciale.
Plusieurs scénarios de solutions de stockage ont été envisagés lors de l'élaboration de cet avis :
- Les données sont stockées entre les mains de la personne concernée qui en a le contrôle exclusif (par exemple sur son appareil électronique) ;
- Le stockage est centralisé dans une base de données au sein de l'aéroport mais sous une forme cryptée et seule la personne concernée dispose d'une clé de chiffrement lui permettant d'accéder à ces données ;
- Le stockage est centralisé au sein de l'aéroport sous une forme cryptée mais cette fois c'est l'exploitant de l'aéroport qui en a le contrôle ;
- Le stockage est centralisé dans le cloud (le nuage) sous le contrôle de l'exploitant de l'aéroport ou du fournisseur du service cloud ;
Après avoir analysé l'ensemble de ces scénarios, le CEPD est parvenu à la conclusion selon laquelle seules les solutions permettant le stockage des données biométriques entre les mains de la personne concernée ou dans une base de données centrale, mais sous le contrôle exclusif de la personne concernée grâce à une clé de cryptage, sont compatibles avec les principes gouvernant le traitement des données personnelles énoncés par le RGPD6.
Cette solution est ce que la CNIL nomme concernant le contrôle d'accès biométrique sur les lieux de travail7, un dispositif de contrôle biométrique de type 1 (le moins « invasif »).
Enfin, ces solutions de stockage doivent être combinées avec la mise en place de garanties, pouvant être8:
- générales (telle que la conduite d'une analyse d'impact relative à la protection des données pour mettre en œuvre ce traitement de données biométriques) ;
- organisationnelles (en veillant par exemple à la formation du personnel de manière appropriée) ; et
- techniques (comme la vérification de l'identité des utilisateurs grâce notamment à l'authentification multi-facteurs).
Seules les solutions de stockage préconisées, couplées à la mise en œuvre de garanties permettant d'assurer la sécurité des données, seront en mesure de compenser le caractère intrusif du traitement des données biométriques. A nouveau, il s'agit de s'assurer que les personnes disposent d'un contrôle effectif sur leurs données personnelles.
Footnotes
1. Telles que les opinions politiques ou religieuse, les données de santé, ou encore les données biométriques.
2. Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail
4. Article 9 du RGPD
6. Et surtout les principes d'intégrité, de confidentialité, la protection des données dès la conception et par défaut et la sécurité du traitement (article 5 du RGPD)
7. Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail
8. L'avis du CEPD liste un certain nombre de garanties, seuls quelques exemples sont donnés ici
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.