La CNIL vient d’émettre le 9 octobre une recommandation sur la reconnaissance faciale dans les aéroports.
Cette recommandation ne comprend pas d’éléments très nouveaux pour les praticiens du RGPD et les professionnels de la vidéoprotection, mais ils méritent néanmoins d’être rappelés :
Il faut pouvoir justifier de la nécessité et de la proportionnalité du dispositif de reconnaissance faciale envisagé. Par exemple, pourra remplir cette obligation un dispositif de reconnaissance faciale pour fluidifier l’embarquement des passagers et ainsi éviter la formation de files d’attente pour des motifs de sécurité.
Il faut ensuite recueillir le consentement préalable des passagers concernés. En conséquence, les passagers doivent avoir reçu une informations spécifique. Leur accord doit être également spécifique c’est-à-dire qu’il ne doit par exemple pas être noyé dans des conditions générales de vente d’un billet. Il faut également qu’un passager se refusant au contrôle biométrique dispose d’une alternative et puisse bénéficier d’un contrôle traditionnel
La donnée biométrique est soit stockée sur un support individuel dont le passager a la maîtrise et l’usage exclusif (sur une application mobile sécurisée sur son téléphone portable, sur un badge, une carte, etc.) ou elle est stockée dans une base de données sous une forme chiffrée la rendant inutilisable sans la communication par le passager d’un élément ou secret permettant de la déchiffrer.
Il faudrait donc réaliser une analyse d’impact relative à la protection des données.
Thibault du Manoir de Juaye • Avocat à la Cour