Le comité européen de la protection des données (CEPD) a statué dans son opinion rendu le 23 mai 2024, sur l’utilisation de la reconnaissance faciale par les aéroports et les compagnies aériennes.
- Contexte de l’avis :
À la suite de la demande introduite par l’autorité de protection des données française, le CEPD analyse la conformité du traitement des données biométriques par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports, avec certains principes du règlement général sur la protection des données (RGPD) (durée limitée de conservation, protection des données dès la conception et par défaut ainsi que sécurité du traitement).
- Constats du CEPD :
A. Un rappel sur le traitement des données biométriques
L’usage des données biométriques et en particulier des technologies de reconnaissance faciale pose un risque élevé sur les droits et libertés fondamentaux des personnes concernées puisqu’il s’agit du traitement des données considérées comme données sensibles par l’article 9 du RGPD.
Par conséquent, les responsables du traitement doivent conduire une analyse d’impact sur les droits et libertés fondamentaux des personnes concernées et évaluer si d’autres moyens moins intrusifs peuvent être mises en place pour atteindre leurs finalités de traitement.
B. Les différents scénarios envisagés
L’analyse du CEPD est faite dans le contexte de 4 scénarios :
- Le premier scénario concerne le stockage des données biométriques dans un support individuel qui reste sous le contrôle de la personne concernée, par exemple un téléphone. L’opinion considère qu’un tel moyen peut être conforme au principe de nécessité du traitement si le responsable de traitement démontre qu’aucune solution moins intrusive ne peut atteindre le même objectif. De plus, le charactère intrusif du traitement peut être contrebalancé par la participation active des passagers, car leur modèle biométrique est stocké uniquement entre leurs mains, sous leur seul contrôle et leurs données sont supprimées peu après que la correspondance a été complétée.
- Le second scénario concerne le stockage des données biométriques dans une base de données centrale avec une clé de chiffrement exclusivement entre les mains de la personne concernée et activable à distance, par exemple via un téléphone portable. De même, l’opinion considère qu’un tel moyen peut être conforme au principe de nécessité si le responsable de traitement démontre qu’aucune solution moins intrusive ne peut atteindre le même objectif. De plus, le caractère intrusif du traitement peut être contrebalancé par l’implication active du passager, car il détient sous son seul contrôle la clé de ses données biométriques chiffrées. Le conseil ajoute qu’en mettant en place des garanties techniques et organisationnelles appropriées, les risques de sécurité liés à l’utilisation d’une base de données centralisée dans ce scénario pourraient être atténués et l’impact négatif sur les droits et les libertés fondamentaux des personnes concernées pourrait être considéré comme proportionnel au bénéfice attendu. Ces mesures comprennent par exemple la fixation des périodes de stockage limitées à ce qui est nécessaire pour l’objectif spécifique du traitement, tout en offrant aux personnes concernées l’option de choisir cette période.
- Le troisième scénario concerne le stockage des données biométriques dans une base de données centrale avec une clé de chiffrement sous le contrôle de l’opérateur aéroportuaire. Le conseil considère qu’il existe un souci de confidentialité des données et que la centralisation du stockage sous le contrôle de l’opérateur de l’aéroport, entraîne également aux passagers une perte de contrôle plus importante de leurs données. L’opinion considère qu’un tel moyen ne peut pas être conforme au principe de nécessité du traitement puisqu’il existe d’autres solutions moins intrusives pour atteindre le même objectif.
- Le quatrième scénario comprend le stockage centralisé d’un modèle biométrique inscrit sous forme chiffrée dans le cloud, sous le contrôle de la compagnie aérienne ou de son fournisseur de services cloud. L’opinion considère que ce moyen n’est pas conforme au principe de nécessité puisque les données sont sous le seul contrôle de la compagnie aérienne. Cette centralisation entraîne également aux passagers une perte de contrôle plus importante de leurs données. Les données pourraient également être stockées pendant une période significative, ce qui expose les données à des risques plus élevés de sécurité et semble aller au-delà de ce qui est strictement nécessaire et proportionné aux fins de traitement.