Une amende pour l’analyse d'impact RGPD (AIPD) manquante ou incomplète en cas d'utilisation de la reconnaissance faciale (biométrie) | Agoria

Une amende pour l’analyse d'impact RGPD (AIPD) manquante ou incomplète en cas d'utilisation de la reconnaissance faciale (biométrie)

Image
Publié le 17/09/21 par Thomas Van Gremberghe
L'autorité espagnole de protection des données a infligé une amende de 2.520.000 euros à une chaîne de supermarchés pour l'utilisation illégale de la reconnaissance faciale (biométrie). L'une des infractions relevées était une analyse d'impact relative à la protection des données (AIPD) incomplète suite à l'utilisation de la biométrie. Inscrivez-vous dès à présent à notre Agoria Academy GDPR Data Protection Impact Assessment pour découvrir quels éléments doit contenir une AIPD complète.

Un régime RGPD très strict

Une chaîne de supermarchés espagnole avait utilisé des systèmes de reconnaissance faciale dans 48 magasins pour identifier des personnes ayant fait l'objet de condamnations pénales ou d’une interdiction de rue à la suite d’incidents survenus dans des magasins ou avec des employés de magasin. Le système de reconnaissance faciale avait également conservé les enregistrements de tous les clients visitant le supermarché, y compris donc les enfants et les travailleurs.

Lorsque des données biométriques sont utilisées aux fins d'identifier une personne physique de manière unique (reconnaissance faciale, scan de l'iris, reconnaissance des empreintes digitales ou de la paume de la main), elles sont considérées comme une catégorie particulière de données à caractère personnel (données à caractère personnel sensibles), de sorte que cette utilisation est soumise à un régime (RGPD) plus strict.

Il ne suffit pas d’avoir raison, encore faut-il le prouver !

La chaîne de supermarchés n'a pas pu démontrer (suffisamment) sa conformité aux obligations suivantes du RGPD : 

  • Le traitement devant reposer sur une base juridique valable en vertu de l'article 9 du RGPD (c'est-à-dire une base juridique spécifique pour les données à caractère personnel sensibles).
  • L’obligation de transparence (politique de protection de la vie privée) envers les visiteurs et les travailleurs du supermarché (voir étape 3 du GDPR — obligation d'information).
  • L’analyse d'impact relative à la protection des données (AIPD) inadéquate et incomplète. Vous souhaitez savoir quand une AIPD est nécessaire, qui doit la réaliser et comment vous y prendre ? Dans ce cas, ne manquez pas de vous inscrire à l’Agoria Academy GDPR Data Protection Impact Assessment. Nous vous présenterons le guide AIPD d’Agoria et vous apprendrez comment réaliser une AIPD complète.

L'autorité espagnole de protection des données a également constaté qu’en raison des manquements de l'AIPD, les principes de protection des données dès la conception (data protection by design), de traitement minimal des données et de nécessité et de proportionnalité du traitement n’étaient pas respectés.

Profitez du guide AIPD réalisé par Agoria 

La réalisation d'une AIPD rigoureuse est loin d'être un exercice évident et de nombreux modèles disponibles en ligne ne répondent pas aux exigences du RGPD ou aux recommandations des autorités. Agoria a élaboré un guide AIPD en étroite collaboration avec le secteur des télécommunications et la VUB.

Une consultation publique de l'Autorité de protection des données sur son projet de recommandation sur le traitement des données biométriques (reconnaissance faciale, scan de l'iris, empreintes digitales) est actuellement en cours.

Intéressé par l'AIPD? Inscrivez-vous à notre formation du 18 novembre 2021 de 9 à 12h30
Vous souhaitez en savoir plus? Lisez cet article. Et.... n'hésitez pas à faire part de vos commentaires à Agoria !

 

 

 

Cet article était-il utile ?