Idency adopte les dernières orientations de l'ICO en matière de protection de la vie privée

Blog par Andy | Publié le Vendredi mars 17 2023

La biométrie est un sujet d'actualité. Nous utilisons de plus en plus les données biométriques pour nous authentifier sur des appareils tels que les téléphones mobiles, les tablettes et les ordinateurs portables. Cela commence à nous sembler tout à fait normal dans notre vie de tous les jours. Nous pensons qu'il s'agit d'une avancée extraordinaire en matière de sécurité, d'authentification et de précision.

La protection de la vie privée reste une préoccupation pour de nombreuses personnes. C'est compréhensible. Vous avez probablement vu d'innombrables histoires, articles et opinions sur toutes sortes de médias vous mettant en garde contre les dangers de la perte de la vie privée.

Et soyons réalistes, chaque fois que vous visitez un nouveau site web, on vous demande d'accepter les cookies qui peuvent suivre votre comportement.

Ce choix est à la base d'une histoire qui a été rapportée au cours de l'hiver 2023-24. Une grande entreprise qui gère des installations de loisirs au Royaume-Uni a été critiquée pour avoir mis en place des systèmes de reconnaissance faciale pour les présences des employés. Dans un jugement rendu par l'ICO, il a été constaté que l'entreprise n'avait pas donné à ses employés un choix suffisant quant à la manière dont leurs informations étaient utilisées et qu'elle était donc en infraction avec les lois sur le GDPR.

Orientations de l'ICO

L'ICO a mis à jour ses lignes directrices de sorte que les employés doivent avoir le choix de la méthode utilisée lors de l'utilisation de la technologie de gestion du temps et des présences. Aux fins du GDPR, une personne doit pouvoir contrôler où, quand et comment ses données personnelles sont utilisées, et l'utilisation de données biométriques telles que la reconnaissance faciale et les lecteurs d'empreintes digitales nécessite un consentement.

Comment la reconnaissance faciale fonctionne-t-elle dans nos dispositifs de gestion du temps et des présences ?

Il est faux de croire que les empreintes digitales ou les images 3D des visages sont prélevées et stockées lorsque vous utilisez des dispositifs biométriques. En fait, c'est un ‘modèle’ de points de données aléatoires qui est prélevé. Ces données sont codées et cryptées par le dispositif avant d'être stockées.

Du point de vue du flux de travail et des principes de l'algorithme, les modèles de visage ne sont plus des données de points de caractéristiques faciales, mais des fragments ou des couches de caractéristiques faciales requises par l'algorithme de l'appareil utilisé (voir image à droite). Ces données sont stockées dans ce dispositif en tant que données de modèle de visage et l'image originale est éliminée. Par conséquent, les données stockées ne peuvent pas être utilisées pour reproduire l'image originale, ni par une autre organisation. Cependant, leur utilisation est classée comme traitement de données de catégorie spéciale par l'ICO, et c'est la base de la clarification pour le GDPR.

Que dois-je faire pour être en conformité avec le GDPR ?

Pour une mise en œuvre correcte, les organisations doivent donner au personnel le choix de l'authentification lors de l'utilisation de ces dispositifs. Notre conseil est de veiller à proposer des alternatives à l'authentification biométrique. Bien que les dispositifs de reconnaissance faciale utilisent par défaut les données faciales, ils disposent de solutions de rechange telles que les lecteurs de cartes RFID et l'ID & PIN, qui peuvent être choisies à la place. Les entreprises doivent également mettre en place des mécanismes permettant d'effacer toutes les données collectées au moyen de dispositifs biométriques qui ne sont plus nécessaires ou lorsqu'une personne en fait la demande. Veillez à inclure des clauses concernant le traitement de ces données dans les politiques de confidentialité pertinentes.

Si vous souhaitez obtenir plus d'informations, veuillez consulter le site Guide de l'ICO sur l'utilisation de la reconnaissance biométrique ou contactez-nous pour discuter des options possibles pour votre organisation.