Reconnaissance faciale dans les aéroports : quels enjeux et quels grands principes à respecter ?

09 octobre 2020

L’utilisation de la reconnaissance faciale pour le contrôle d’identité dans les aéroports n’est pas anodin pour les droits et libertés des personnes concernées. Ces dispositifs doivent donc intégrer des garanties fortes en matière de protection des données personnelles.

 

 

La CNIL constate actuellement une généralisation du recours à des dispositifs biométriques de reconnaissance faciale au sein des aéroports, en France, et particulièrement à l’international. Selon le rapport « Air Transport IT Insights 2018 » de la société internationale de télécommunication aéronautique (SITA), 59% des aéroports et 63% des compagnies aériennes prévoient de déployer des dispositifs de reconnaissance faciale d’ici 2021.

C’est dans ce contexte que plusieurs gestionnaires d’aéroports français ou prestataires ont fait appel à la CNIL pour être accompagnés dans l’expérimentation de ce type de dispositif.

Au sein d’un aéroport, la reconnaissance faciale peut permettre d’automatiser les différentes étapes de contrôle (telles que la dépose bagages ou l’embarquement) en se substituant au contrôle des documents de voyage et d’identité, avec pour objectifs une fluidification du parcours du voyageur et une amélioration de son expérience en réduisant son temps d’attente. En pratique, la photographie du visage du passager présent sur son titre d’identité est comparée par reconnaissance faciale à son visage capturé lors de son passage aux points de contrôle de l’aéroport.

Compte tenu de la sensibilité des données biométriques et des enjeux pour les droits et libertés des personnes concernées, la CNIL souhaite préciser sa position en la matière.

La reconnaissance faciale : un traitement de données particulièrement sensibles faisant l’objet d’une protection renforcée

La reconnaissance faciale appartient à la catégorie plus large des techniques biométriques qui permettent de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, physiologiques ou comportementales (empreintes digitales, réseau veineux, iris, reconnaissance vocale etc.). Ces caractéristiques sont qualifiées de « données biométriques » par le RGPD, parce qu’elles permettent ou confirment l’identification unique de cette personne.

Les données biométriques présentent la particularité d’être produites par le corps lui-même et le caractérise de façon définitive. Elles sont ainsi uniques, permanentes dans le temps et la personne ne peut s’en affranchir. À la différence de toute autre donnée personnelle, la donnée biométrique n’est pas attribuée par un tiers ni même choisie par la personne. Contrairement à un mot de passe ou un identifiant, elle ne peut donc pas être modifiée en cas de compromission (perte, intrusion dans le système, etc.).

Les données biométriques sont ainsi des données « sensibles » au sens de la législation en matière de protection des données, et font, à ce titre, l’objet d’un régime spécifique. Leur traitement est par principe interdit et ne peut être mis en œuvre, par exception, que dans certains cas énumérés par le RGPD.

La reconnaissance faciale, tout comme les autres techniques biométriques, n’est jamais un traitement tout à fait anodin.

Les dispositifs de reconnaissance faciale constituent également une technologie « sans contact ». Ils peuvent engendrer des risques supplémentaires pour les personnes concernées puisqu’ils permettent le traitement des données à distance et potentiellement sans qu’elles le sachent.

Introduire dans le quotidien des passagers un processus de contrôles biométriques dématérialisés à chaque étape de leur parcours risque d’alimenter un sentiment d’accoutumance à ces technologies, porteur de risques pour les droits et libertés des citoyens à plus grande échelle.

Les grands principes à respecter

  1. Justifier la nécessité et la proportionnalité du dispositif de reconnaissance faciale envisagé

Un traitement de données doit être proportionné, en termes d’impact pour les droits et libertés des personnes, par rapport à l’objectif (finalité) qu’il poursuit et ne porter que sur des données « nécessaires » pour l’atteindre.

Ces critères de nécessité et de proportionnalité doivent s’apprécier avec une vigilance particulière en matière de traitements de données biométriques, particulièrement intrusifs et sensibles. Ainsi, le déploiement de dispositifs de reconnaissance faciale en aéroports devra répondre à des besoins spécifiques.

Par exemple, et en fonction des circonstances, le recours à un dispositif de reconnaissance faciale pour fluidifier l’embarquement des passagers et ainsi éviter la formation de files d’attente pour des motifs de sécurité apparaît proportionné. D’autres usages pourraient ne pas être considérés comme proportionnés.

  1. Recueillir le consentement préalable des passagers concernés

La mise en œuvre de ces dispositifs afin de fluidifier le parcours des passagers doit reposer sur le recueil préalable de leurs consentements (conformément à l’article 9.2.a du RGPD). Pour que ce consentement soit valable, il doit être « libre, spécifique et éclairé », ce qui implique que :

  • Consentement libre : les passagers devront pouvoir choisir librement d’utiliser le dispositif biométrique ou un dispositif alternatif non biométrique et ce, sans contrainte, ni incitation ou contrepartie particulière (par exemple l’obtention d’avantages dans le cadre d’un programme de fidélisation). Le passager doit également pouvoir retirer son consentement à tout moment.
  • Consentement spécifique : l’accord du passager doit porter spécifiquement sur le traitement de ses données biométriques et ne doit donc pas être dilué dans une acceptation générale des conditions de vente du billet par exemple.
  • Consentement éclairé : les passagers devront avoir reçu une information individuelle renforcée, dans un langage clair et accessible, sur le dispositif de reconnaissance faciale et son alternative.

Des mesures techniques et organisationnelles doivent également être mises en œuvre afin de s’assurer que le dispositif de reconnaissance faciale traite uniquement les données de personnes ayant préalablement consenti, par exemple :

  • une activation des caméras de reconnaissance faciale uniquement après une action du passager concerné,
  • une configuration technique floutant le visage des passagers se trouvant en arrière-plan,
  • des panneaux d’affichage et des marquages au sol distinguant les zones de contrôle par reconnaissance faciale des zones de contrôle classiques,
  • etc.
  1. Maintenir les données biométriques sous le contrôle exclusif des passagers concernés

Concernant les données biométriques, la CNIL rappelle, de manière constante, la nécessité de privilégier leur conservation sur un support dont la personne a l’usage et le contrôle exclusif. L’objectif est de limiter le risque de piratage associé à la centralisation de gabarits biométriques dans une base de données.

En effet, placer la donnée biométrique sous le contrôle exclusif des intéressés permet, mécaniquement, de réduire ces risques de mauvais usage, de compromission ou de détournement de celle-ci. La compromission d’une base de données biométriques pourrait engendrer des risques pour de nombreuses personnes, alors que la compromission d’un support individuel n’impactera que les données de son détenteur.

En pratique :

  • soit la donnée biométrique est stockée sur un support individuel dont le passager a la maîtrise et l’usage exclusif (sur une application mobile sécurisée sur son téléphone portable, sur un badge, une carte, etc.) ;
  • soit la donnée biométrique est stockée en base de données sous une forme chiffrée la rendant inutilisable sans la communication par le passager d’un élément ou secret permettant de la déchiffrer.

Ainsi, le passager est certain que sa donnée biométrique ne sera utilisée que s’il le décide, à la suite d’une action de sa part (en présentant le support ou en communicant le secret permettant de l’utiliser). Le passager peut ainsi également choisir les étapes de contrôle pour lesquelles il souhaite ou non avoir recours à une authentification biométrique. Cela permet également de soumettre le passager à une authentification biométrique à chaque étape du parcours et non à une identification biométrique, ce qui garantit une plus grande fiabilité du dispositif en réduisant les risques d’erreurs (faux positifs ou faux négatifs).

Ce principe de maintien de la donnée sous le contrôle exclusif de la personne concernée répond ainsi aux principes posés par le RGPD, de protection des données par défaut et dès la conception et au principe de minimisation des données.

  1. Réaliser une analyse d’impact relative à la protection des données (AIPD)

Une AIPD doit obligatoirement être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

Dans le cas de la mise en œuvre d’un dispositif de reconnaissance faciale en aéroport et compte tenu de la sensibilité des données traitées, du nombre de passagers potentiellement concernés et des risques inhérents à ce type de technologie, la CNIL recommande la réalisation d’une AIPD avant la mise en œuvre du traitement, qu’il soit expérimental ou non.

Au sein de cette AIPD, le responsable du traitement devra notamment déterminer le régime juridique applicable au traitement de données mis en œuvre. Cette détermination présente des enjeux essentiels. En effet, un traitement qui s’inscrirait dans le cadre du régime de la Directive dite « Police-Justice » ou qui serait mis en œuvre pour le compte de l’État agissant dans ses prérogatives de puissance publique devrait être prévu par des textes spécifiques.