Si la reconnaissance faciale est plébiscitée par les acteurs du transport aérien pour rendre plus efficaces les contrôles, cette technique pose des questions en matière de protection des données. Des questions auxquelles le Comité européen de la protection des données (CEPD) apporte des réponses.
Le passager au cœur du stockage de ses données
Pour rappel, la reconnaissance faciale est une technique qui utilise les traits du visage pour :
- authentifier une personne, c’est-à-dire vérifier qu’elle est bien qui elle prétend être ;
- identifier une personne, c’est-à-dire la retrouver parmi d’autres individus, dans une base de données.
Très concrètement, cette technologie s’appuie sur des photographies ou des enregistrements desquels on extrait des données biométriques afin de créer un « gabarit ».
La reconnaissance faciale se fait ensuite par comparaison entre le gabarit de la personne à authentifier ou identifier et les autres modèles.
Cette technique se répand partout dans le monde et, notamment, dans le secteur aéroportuaire. Le passager est ainsi invité à scanner sa carte d’embarquement et son document d’identité avec lequel sera comparé son visage pour passer les contrôles sans avoir à présenter à nouveau ses documents.
L’avantage est évident : l’embarquement et l’enregistrement des bagages sont plus rapides.
En revanche, ce système peut présenter des dangers en matière de protection des données biométriques qui sont, d’après le RGPD, des données personnelles.
Si la CNIL avait déjà donné ses recommandations pour assurer le respect des droits et libertés des passagers, c’est au tour du Comité européen de la protection des données (CEPD) de se prononcer sur le sujet et sur le respect des principes suivants :
- la limitation de la conservation des données ;
- l’intégrité et la confidentialité des données ;
- la protection des données dès la conception et par défaut ;
- la sécurité du traitement.
Pour respecter les principes énoncés plus haut, le CEPD conseille des solutions de stockage sur des supports offrant aux passagers la possibilité de garder le contrôle sur leurs données, à savoir :
- soit directement entre leurs mains, par exemple grâce à leur téléphone portable ;
- soit via une base de données centrale avec une clé de cryptage mise uniquement à leur disposition.
De cette manière, la sensibilité des données recueillies est contrebalancée avec le contrôle rendu aux passagers dans le stockage de ces données.
Enfin, notez que le CEPD indique que seuls les passagers ayant donné leur consentement et s’étant eux-mêmes inscrits devraient pouvoir être contrôlés via la reconnaissance faciale.