La GSMA, les organisateurs du Mobile World Congress (MWC) annuel de Barcelone, a été condamnée à une amende de 200 000 € pour ne pas avoir réalisé d’analyse d’impact sur la protection des données (DPIA)
Par Tech Crunch (s’ouvre dans un nouvel onglet)le décision (s’ouvre dans un nouvel onglet) (PDF) délivré en espagnol par l’Agencia Española de Protección de Datos (AEPD) a constaté que la GSMA n’a pas tenu compte de biométrique les données collectées auprès des participants, en partie grâce à BREEZZ – un système de vérification d’identité automatisé et facultatif permettant l’entrée à l’événement.
L’évaluation de la GSMA a été jugée, selon la décision, « simplement nominale », négligeant de tenir compte des « aspects de fond » de ses méthodes de traitement des données, ni des risques ou de la nécessité du système BREEZZ.
Le RGPD et le DPIA du MWC
Le règlement général sur la protection des données (RGPD) de l’UE exige qu’une DPIA solide soit effectuée lorsque la collecte de données peut présenter un « risque élevé » pour le droit à la vie privée des personnes concernées. La technologie de reconnaissance faciale biométrique entre dans cette catégorie dans ce cas parce que lesdites données ont été utilisé pour identifier les participants au MWC.
L’AEPD a également statué que la GSMA collectait les passeports et les documents d’identité de l’UE auprès des participants, et leur demandait de consentir à la collecte de données biométriques dans le cadre du processus de téléchargement.
Le RGPD stipule clairement que le consentement doit être spécifique et donné librement, mais, comme l’a découvert le défenseur du bien-être numérique, le Dr Anastasia Dedyukhina, ce n’était clairement pas une option.
« Je n’ai pas trouvé de justification raisonnable à cela », a-t-elle écrit dans un LinkedIn (s’ouvre dans un nouvel onglet) post, « leur site Web a suggéré que je pouvais également apporter ma carte d’identité/passeport pour une vérification en personne, ce qui ne me dérangeait pas. »
« Cependant, les organisateurs ont insisté sur le fait qu’à moins que je ne télécharge les détails de mon passeport, je NE POURRAIS PAS assister à l’événement en direct et je devrais participer virtuellement, ce que j’ai fini par faire. »
La GSMA a poursuivi ces pratiques pour les événements de 2022 et 2023, mais, à la lumière de la décision de l’AEPD, les choses devront probablement changer – presque certainement pour le mieux.
Dans un rapport (s’ouvre dans un nouvel onglet)la GSMA l’a déclaré, « prend la protection des données très au sérieux et a mis en place un programme de conformité solide pour répondre à ses obligations en matière de protection des données. La GSMA révise et met à jour en permanence son approche de la protection des données, en utilisant une technologie innovante pour offrir une expérience sûre aux participants ».