
Bruxelles, le 24 mai - Au cours de sa dernière session plénière, l’EDPB a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes pour rationaliser le flux de passagers dans les aéroports*. Cet avis au titre de l’article 64, paragraphe 2, à la suite d’une demande de l’autorité française de protection des données, porte sur une question d’application générale et produit des effets dans plus d’un État membre.
Le président du comité européen de la protection des données, Anu Talus, a déclaré: «De plus en plus d’exploitants d’aéroports et de compagnies aériennes dans le monde pilotent des systèmes de reconnaissance faciale permettant aux passagers de passer plus facilement les différents points de contrôle. Il est important de savoir que les données biométriques sont particulièrement sensibles et que leur traitement peut créer des risques importants pour les individus. La technologie de reconnaissance faciale peut entraîner de faux négatifs, des préjugés et de la discrimination. L'utilisation abusive de données biométriques peut également avoir de graves conséquences, telles que la fraude à l'identité ou l'usurpation d'identité. Par conséquent, nous exhortons les compagnies aériennes et les exploitants d'aéroports à opter pour des moyens moins intrusifs de rationaliser les flux de passagers, lorsque cela est possible. De l’avis de l’EDPB, les personnes devraient avoir un contrôle maximal sur leurs propres données biométriques.»
L’avis analyse la compatibilité du traitement avec le principe de limitation de la conservation [article 5, paragraphe 1, point e), du RGPD], le principe d’intégrité et de confidentialité [article 5, paragraphe 1, point f), du RGPD], la protection des données dès la conception et par défaut (article 25 du RGPD) et la sécurité du traitement (article 32 du RGPD). Le respect d'autres dispositions du RGPD, y compris en ce qui concerne la licéité du traitement, n'entre pas dans le champ d'application du présent avis.**
Il n’existe pas d’obligation légale uniforme dans l’UE pour les exploitants aéroportuaires et les compagnies aériennes de vérifier que le nom figurant sur la carte d’embarquement du passager correspond au nom figurant sur leur document d’identité, et cela peut être soumis aux législations nationales. Par conséquent, lorsqu’aucune vérification de l’identité des passagers au moyen d’un document d’identité officiel n’est requise, aucune vérification de ce type à l’aide de données biométriques ne devrait être effectuée, car cela entraînerait un traitement excessif des données.
Dans son avis, l’EDPB a examiné la conformité du traitement des données biométriques des passagers avec quatre types différents de solutions de stockage, allant de celles qui stockent les données biométriques uniquement entre les mains de l’individu à celles qui reposent sur une architecture de stockage centralisée avec des modalités différentes. Dans tous les cas, seules les données biométriques des passagers qui s'inscrivent activement et consentent à participer devraient être traitées.
L’EDPB a constaté que les seules solutions de stockage qui pourraient être compatibles avec le principe d’intégrité et de confidentialité, la protection des données dès la conception et par défaut et la sécurité du traitement, sont les solutions par lesquelles les données biométriques sont stockées dans les mains de la personne ou dans une base de données centrale, mais avec la clé de cryptage uniquement dans leurs mains. Ces solutions de stockage, si elles sont mises en œuvre avec une liste de garanties minimales recommandées, sont les seules modalités qui contrebalancent adéquatement le caractère intrusif du traitement en offrant aux individus le plus grand contrôle.
L’EDPB a constaté que les solutions fondées sur le stockage dans une base de données centralisée, soit dans l’aéroport, soit dans le nuage, sans les clés de cryptage entre les mains de l’individu, ne peuvent pas être compatibles avec les exigences de protection des données dès la conception et par défaut et, si le responsable du traitement se limite aux mesures décrites dans les scénarios analysés, ne respecteraient pas les exigences de sécurité du traitement.
En ce qui concerne le principe de limitation de la conservation, les responsables du traitement doivent s’assurer qu’ils disposent d’une justification suffisante de la durée de conservation envisagée et la limiter à ce qui est nécessaire à la finalité proposée.
Ensuite, un rapport a été adopté par les APD sur les travaux du groupe de travail ChatGPT. Ce groupe de travail a été créé par l’EDPB pour promouvoir la coopération entre les APD enquêtant sur le chatbot développé par OpenAI.
Le rapport fournit des avis préliminaires sur certains aspects discutés entre les APD et ne préjuge pas de l’analyse qui sera effectuée par chaque APD dans le cadre de son enquête respective en cours***.
Il analyse plusieurs aspects concernant l’interprétation commune des dispositions applicables du RGPD pertinentes pour les différentes enquêtes en cours, tels que:
- la licéité de la collecte des données d’entraînement («web scraping»), ainsi que du traitement des données pour l’entrée, la sortie et la formation de ChatGPT.
- équité: veiller au respect du RGPD relève de la responsabilité d’OpenAI et non des personnes concernées, même lorsque des personnes saisissent des données à caractère personnel.
- transparence et exactitude des données: le responsable du traitement devrait fournir des informations appropriées sur la nature probabiliste des résultats de ChatGPT et faire explicitement référence au fait que le texte généré peut être biaisé ou composé.
- Le rapport souligne qu'il est impératif que les personnes concernées puissent exercer leurs droits de manière effective.
Les membres du groupe de travail ont également élaboré un questionnaire commun pouvant servir de base à leurs échanges avec Open AI, qui est publié en annexe au rapport.
En outre, l’EDPB a décidé d’élaborer des lignes directrices sur l’IA générative, en se concentrant dans un premier temps sur le grattage des données dans le contexte de la formation à l’IA.
Enfin, l’EDPB a adopté une déclaration sur le paquet «Accès aux données financières et paiements» de la Commission [qui comprend les propositions de règlement relatif au cadre pour l’accès aux données financières (FIDA), de règlement relatif aux services de paiement (PSR) et de directive sur les services de paiement 3 (PSD3)].
L’EDPB prend note des rapports du Parlement européen sur les propositions FIDA et PSR, mais estime qu’en ce qui concerne la prévention et la détection des transactions frauduleuses, des garanties supplémentaires en matière de protection des données devraient être incluses dans le mécanisme de suivi des transactions de la proposition PSR. Il importe de veiller à ce que le niveau d’ingérence dans le droit fondamental à la protection des données à caractère personnel des personnes concernées soit nécessaire et proportionné à l’objectif de prévention de la fraude aux paiements.
Note aux rédacteurs:
* L’avis a une portée limitée et n’examine pas l’utilisation de la reconnaissance faciale en général et, en particulier, il ne couvre pas l’utilisation de la reconnaissance faciale à des fins de sécurité, de contrôle aux frontières ou par les services répressifs.
** Dans la demande, il est supposé que le traitement serait basé sur le consentement de chaque passager. Toutefois, compte tenu de la portée limitée de la demande, l’avis n’examine pas la base juridique et, en particulier, la validité du consentement à un tel traitement.
***Jusqu’au 15 février 2024, OpenAI n’avait pas d’établissement dans l’UE. Par conséquent, le mécanisme de guichet unique ne s’appliquait pas et chaque APD est compétente en ce qui concerne les infractions potentielles qui ont été commises et qui ont pris fin avant cette date. Les enquêtes nationales concernant des infractions potentielles commises avant février 2024 continueront d’être examinées au sein du groupe de travail. Pour les infractions qui se poursuivent ou se produisent après février 2024, le mécanisme du guichet unique s’applique.
Tous les documents adoptés au cours de la session plénière du comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de formatage nécessaires et seront mis à disposition sur le site web du comité européen de la protection des données une fois qu’ils auront été achevés.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.