Reconnaissance faciale en milieu de travail : un commentaire sur les dernières dispositions du Garant
Cinq responsables de traitement ont été sanctionnés pour utilisation non conforme de la reconnaissance faciale sur le lieu de travail. La nouvelle provient de la dernière newsletter publiée par l'Autorité de protection des données personnelles le 28 mars. Dans ce cas, le traitement visait à contrôler la présence des travailleurs.
Index des sujets :
Le Garant : aucune règle n’autorise l’utilisation de données biométriques
Le Garant, en justifiant les mesures de sanction, souligne qu'il n'existe, à l'heure actuelle, aucune règle permettant l'utilisation de données biométriques, comme l'exige le Règlement, pour mener à bien une telle activité. Pour cette raison, cinq entreprises ont été sanctionnées, toutes opérant dans la même décharge, avec des amendes de 70 mille, 20 mille, 6 mille, 5 mille et 2 mille euros, pour avoir traité illégalement les données biométriques d'un grand nombre de travailleurs. .
Comme on l'apprend sur le site Internet de l'Autorité, l'intervention a eu lieu à la suite de plusieurs plaintes de divers employés et a mis en lumière, entre autres, une série de risques particuliers pour les droits des travailleurs liés à l'utilisation des systèmes de reconnaissance faciale, à la lumière de les règles et garanties prévues tant par la législation nationale qu'européenne.
Les dispositions du Garant en détail
D'autres violations commises par les entreprises ont également émergé de l'activité d'inspection du Garant, menée en collaboration avec l'Unité spéciale de confidentialité et de fraude technologique de la police financière. L'Autorité a notamment constaté que trois sociétés partageaient le même système de détection biométrique depuis plus d'un an, sans avoir adopté de mesures techniques et de sécurité adéquates. En outre, le même système, considéré comme illégal par l'Autorité, a été utilisé dans neuf autres bureaux où opérait l'une des sociétés sanctionnées. Enfin, les entreprises n’ont pas fourni d’informations claires et détaillées aux travailleurs et n’ont pas non plus réalisé l’analyse d’impact requise par la loi.
Les entreprises, de l'avis du Garant, auraient dû utiliser de manière plus appropriée des systèmes moins invasifs pour contrôler la présence de leurs employés et collaborateurs sur le lieu de travail (tels que les badges). Outre le paiement des amendes, le Garant a ordonné la suppression des données collectées illégalement.
Commentaire sur les dispositions du Garant concernant la reconnaissance faciale
Licéité, transparence, adéquation
De ce qui ressort, de nombreuses pistes de réflexion peuvent être glanées, qui remontent toutes, en un mot, aux principes du traitement (art. 5 du RGPD).
Tout d’abord, en effet, le Garant soulève la question relative à la licéité du traitement, qui impacte directement le choix de la base juridique de référence : en effet, il n’existe aucune règle contraignante qui impose un traitement aussi invasif dans ces contextes de travail. Cela peut facilement être lié au principe d'adéquation, de pertinence, de proportionnalité et de non-excès des données personnelles au regard des finalités poursuivies, dans le sens où l'absence de base juridique solide provoque, de manière pratiquement naturelle, toute motivation apportée pour étayer la thèse en voie de disparition selon laquelle ce traitement était dans une certaine mesure nécessaire: en y regardant de plus près, en effet, pour atteindre le même objectif, on peut utiliser des systèmes et mettre en œuvre des processus de données personnelles nettement plus simples, moins invasifs, plus garantis et tout aussi efficace.
Le point, ici, concerne l'abondance d'informations par rapport à ce que nous voulions réaliser : nous avions vraiment besoin de la géométrie du visage, de la distance entre deux points du visage d'une personne, pour l'identifier avec une extrême certitude et dire que « oui, en fait, un tel était présent aujourd'hui et a donc droit à l'intégralité de son salaire » ou toute autre considération ou conjecture ? Même la réponse la plus prudente liée à des raisons de sécurité nationale ne pourrait pas nous amener à dire le contraire.
Gestion des risques
Deuxièmement, la théorie de la sanction du Garant nous ramène à l’approche plus générale »orienté vers le risque », qui montre également ses effets en ce qui concerne les références au respect de la vie privée dès la conception, à l'implication des parties intéressées et des parties prenantes et pas seulement à l'évaluation des risques au sens strict. Il est vrai que l’on pourrait affirmer que les systèmes de contrôle d’accès et de présence sortent du champ d’application de l’art. 4 du Statut des Travailleurs, c'est pourquoi on pourrait affirmer qu'aucune implication des représentants syndicaux ou de l'Inspection Nationale du Travail n'était nécessaire, mais cette position est très peu défendable, si l'on s'arrête à réfléchir sur le fait que les évaluations des risques impliquer, au moins dans la phase initiale de collecte d’informations, d’impliquer toutes les parties concernées, par le biais d’entretiens, de questionnaires ou de brainstorming par exemple.
Cette activité, qui semble raisonnablement réalisable dans ce contexte, exclut l'exemption selon laquelle le responsable du traitement ne peut pas recueillir l'opinion des parties intéressées au cours de l'AIPD si cela est objectivement difficile, ainsi qu'une plus grande sensibilisation et transparence à l'égard des intéressés. parties, aurait certainement pu conduire rapidement à se rendre compte que le traitement était excessif et annonciateur de risques très évitables et potentiellement élevés, étant donné qu'il était effectué à grande échelle, avec des données sensibles et envers des sujets faibles méritant une protection et des garanties particulières, et aurait certainement pu pousser les responsables du traitement à se demander s'il existait une solution moins gênante et plus sûre pour les droits et libertés des intéressés, comme celle proposée par le Garant (le badge).
Impact de l'intelligence artificielle sur la reconnaissance faciale
On se demande donc, également à la lumière des récentes dispositions relatives àLoi sur l'IA et considérant que la reconnaissance faciale présuppose l'utilisation intrinsèque de systèmes de détection vidéo et vision par ordinateurquelle évolution ce type de traitement de données pourrait suivre dans les années à venir.
La reconnaissance faciale, en effet, est un processus complexe qui permet d'identifier ou de confirmer l'identité d'une personne à partir de son visage et qui repose sur la coordination de diverses technologies qui partent de la détection du visage via une caméra, en passant par l'analyse faciale. (l'image est capturée et comparée à une autre image et un logiciel examine la géométrie du visage en tenant compte de facteurs tels que la distance entre les yeux, la profondeur des orbites, la distance entre le front et le menton, la forme des pommettes et le contour des lèvres, des yeux et du menton, facteurs fondamentaux pour distinguer un visage unique) et convertir l'image en une « empreinte faciale » qui est ensuite comparée aux autres empreintes faciales disponibles dans la base de données de référence, établissant ainsi une éventuelle reconnaissance de l'individu.
Techniquement donc, nous sommes partis d'un logiciel « simple » basé uniquement sur la géométrie du visage, mais nous sommes arrivés à l'utilisation de l'intelligence artificielleen particulier celui qui exploite le apprentissage automatique créer des systèmes de catégorisation biométrique basés sur des caractéristiques sensibles et l’extrapolation aveugle d’images faciales.
Considérant que le prochain règlement sur l'intelligence artificielle prévoit l'interdiction de certaines applications d'IA qui menacent les droits des citoyens, notamment les systèmes de caméras en circuit fermé pour créer des bases de données de reconnaissance faciale, il faut s'attendre à ce que des pratiques telles que celles sanctionnées par le Garant sont absolument interdites, comme l’a déjà précisé le Parlement européen dans le communiqué de presse annonçant l’approbation du projet de loi sur l’IA.