Actualité du CEPD : avis sur l’utilisation de la reconnaissance faciale par les aéroports et les compagnies aériennes
Le Comité européen de la protection des données (CEPD) a adopté un avis sur la reconnaissance faciale dans les aéroports indiquant que les individus doivent garder le contrôle sur leurs données biométriques.
Le 24 mai 2024, le CEPD s’est réuni en session plénière. Au cours de cette séance, il a adopté un avis sur l'utilisation des technologies de reconnaissance faciale par les exploitants d'aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports.
Cet avis fait suite à une demande de la CNIL afin d'avoir une position harmonisée à l'échelle européenne face à une pratique qui tend à se répandre en Europe et au-delà.
Les données biométriques sont des données particulièrement sensibles, car leur traitement peut entraîner des risques importants pour les individus. Dans son avis, le CEPD analyse la compatibilité du traitement de données biométriques avec certains principes du règlement général sur la protection des données (RGPD) (durée limitée de conservation, protection des données dès la conception et par défaut ainsi que sécurité du traitement).
Le CEPD envisage quatre scénarios différents concernant le stockage des données biométriques et considère que les solutions compatibles avec les principes énoncés sont celles dans lesquelles les données biométriques restent sous le contrôle de la personne concernée (stockage dans un support individuel qu'elle détient - par exemple un téléphone - ou dans une base de données centrale avec une clé de chiffrement exclusivement entre les mains de la personne concernée et activable à distance, par exemple via un téléphone portable). Ces solutions de stockage doivent être mises en œuvre avec une liste de garanties techniques, notamment destinées à assurer la sécurité des données. Ce n’est qu’avec ces garanties que le caractère intrusif du traitement sera contrebalancé et offrira aux individus le contrôle sur leurs données biométriques.
Il est à noter que l'avis a une portée limitée et n'examine pas l'utilisation de la reconnaissance faciale en général et, en particulier, il ne couvre pas l'utilisation de la reconnaissance faciale à des fins de sécurité, de contrôle des frontières ou par les services répressifs.
