Chaque jour, les aéroports sont amenés à contrôler de nombreux passagers. Le recours à des dispositifs de reconnaissance faciale peut leur permettre d’automatiser les différentes étapes de ce contrôle (au niveau de la sécurité, lors du dépôt des bagages ou à l’embarquement) avec pour objectif de rationaliser le flux de passagers et d’améliorer leur expérience.
Quels sont les outils de reconnaissance faciale compatible avec le Règlement général sur la protection des données (ci-après RGPD) ?
La mise en place de ces dispositifs nécessite un encadrement juridique.
Dans son avis 11/2024, le Comité européen de la protection des données (ci-après EDPB) s’est penché sur l’utilisation de la reconnaissance faciale dans les aéroports et sa compatibilité avec plusieurs dispositions du RGPD :
- L’article 5(1)(e) et (f), consacré au principe de limitation de la conservation et au principe d’intégrité et de confidentialité
- L’article 25 consacré à la protection des données dès la conception et par défaut
- L’Article 32 consacré à la sécurité du traitement
Quatre scénarios techniques ont été examinés par l’EDPB :
- Scénario 1 : stockage du modèle biométrique sur l’appareil personnel du passager.
- Scénario 2 : stockage centralisé à l’aéroport, modèle chiffré, clé détenue par le passager.
- Scénario 3 : stockage centralisé dans une base de données située à l’aéroport sous le contrôle de l’exploitant de l’aéroport
- Scénario 4 : stockage centralisé dans le cloud sous le contrôle de la compagnie aérienne.
Quelles sont les recommandations de l’EDPB ?
L’EDPB a conclu que les scénarios 1 et 2 sont compatibles avec les dispositions précitées sous réserve que des garanties minimales (générales, organisationnelles et techniques) soient adoptées. Parmi ces garanties, on peut citer :
- La réalisation d’une analyse d’impact (AIPD) puisqu’il s’agit d’un traitement de données biométriques à grande échelle ;
- La définition d’une politique de cryptage et de gestion des clés ;
- La formation appropriée du personnel à l’utilisation de ce dispositif ;
- Le chiffrement des données biométriques ;
- La suppression immédiate des données après leur utilisation ;
- La limitation de l’accès aux données.
Ces deux scénarios, contrairement aux scénarios 3 et 4, permettent un contrôle par le passager sur ses données.
Que faire en pratique ?
En pratique, un aéroport qui souhaite mettre en place ce type de dispositif devra donc privilégier le recours à un dispositif similaire à ceux des scénarios 1 et 2. L’utilisation de cet outil devra toutefois faire l’objet d’une analyse juridique approfondie et d’un encadrement juridique.
Our advice:
- Ne minimisez pas l’importance d’une AIPD pour déterminer la conformité du recours à un dispositif de reconnaissance faciale. Les risques juridiques et financiers sont réels.
- Veillez à adopter des garanties minimales afin que votre dispositif de reconnaissance faciale soit conforme au RGPD.
Pour la réputation de votre aéroport et la conformité légale, agissez sans tarder. N’hésitez pas à nous contacter !
