Les conférences et autres événements en personne se précipitant pour imposer la reconnaissance faciale aux participants en Europe sans faire la diligence raisonnable nécessaire sur les risques de protection des données, méfiez-vous : les organisateurs du shindig de l’industrie mondiale de la connectivité, le Mobile World Congress (MWC), qui a lieu chaque année à Barcelone , ont été condamnés à une amende de 200 000 € (~ 224 000 $) par l’organisme espagnol de protection des données pour violation des règles de confidentialité lors de l’édition 2021 de l’émission.
Dans une décision de 8 pages (PDF en espagnol) rejetant un recours de l’organisateur du MWC, la GSMA, contre le constat d’infraction, l’Agencia Española de Protección de Datos (AEPD) conclut qu’elle a enfreint l’article 35 du Règlement général sur la protection des données (RGPD) — qui traite des exigences relatives à la réalisation d’une analyse d’impact sur la protection des données (DPIA).
La découverte de violation concerne la collecte de données biométriques par la GSMA sur les participants au salon, y compris pour un système de reconnaissance faciale qu’elle a mis en place (appelé BREEZZ), qui offrait aux participants la possibilité d’utiliser la vérification automatisée de l’identité pour entrer dans le lieu en personne plutôt que de montrer manuellement leur pièce d’identité. documentation au personnel.
Si vous vous souvenez de 2021, vous vous souviendrez que l’événement de l’industrie mobile a eu lieu à un moment où les inquiétudes liées à la pandémie de COVID-19 concernant la participation à des événements en personne étaient toujours d’actualité. Ce n’est pas que cela ait empêché l’organisateur du MWC d’organiser une conférence physique à l’été de cette année-là – des mois plus tard que le calendrier habituel du salon et sous une forme inexorablement allégée avec beaucoup moins d’exposants et de participants que les années précédentes.
En fait, moins de 20 000 personnes inscrites ont assisté au MWC 2021 en personne (17 462 pour être exact), selon les divulgations de la GSMA faites à l’AEPD – et parmi celles-ci, seulement 7 585 ont effectivement utilisé le système de reconnaissance faciale BREEZZ pour accéder au lieu. La majorité aurait opté pour l’alternative du contrôle manuel de leurs pièces d’identité. (Bien qu’avec le MWC 2021 qui se déroule (toujours) au milieu de la pandémie, la GSMA a également proposé une participation virtuelle, les sessions de conférence étant diffusées en continu aux téléspectateurs à distance – et aucune vérification d’identité n’était requise pour ce type de participation.)
Pour en revenir au RGPD, le règlement exige qu’un DPIA soit effectué de manière proactive dans les situations où le traitement des données des personnes comporte un risque élevé pour les droits et libertés des individus. FLa technologie de reconnaissance sociale, quant à elle, implique le traitement de données biométriques – qui, lorsqu’elles sont utilisées pour identifier des individus, sont classées comme données de catégorie spéciale dans le cadre du RGPD. Cela signifie que l’utilisation de la biométrie pour l’identification tombe inévitablement dans ce type de catégorie à haut risque nécessitant une évaluation proactive.
Cette évaluation doit tenir compte de la nécessité et de la proportionnalité du traitement proposé, ainsi qu’examiner les risques et détailler les mesures envisagées pour faire face aux risques identifiés. Le RGPD met l’accent sur les contrôleurs de données qui effectuent une évaluation proactive solide et rigoureuse des traitements à risque. Ainsi, le fait que l’AEPD ait constaté que la GSMA avait enfreint l’article 35 indique qu’elle n’a pas réussi à démontrer qu’elle avait fait preuve de diligence raisonnable à cet égard.
En fait, le régulateur a estimé que la DPIA de la GSMA était « simplement nominale », selon la résolution – affirmant qu’elle n’avait pas examiné les « aspects de fond » du traitement des données ; elle n’a pas non plus évalué les risques ni la proportionnalité et la nécessité du système qu’elle a mis en place.
« Ce que conclut la résolution, c’est qu’un [DPIA] qui ne considère pas ses éléments essentiels n’est ni efficace ni ne remplit aucun objectif », ajoute l’AEPD, confirmant son point de vue selon lequel le DPIA de la GSMA ne remplissait pas les exigences du RGPD [NB: this is a machine translation of the original Spanish text].
En savoir plus sur la résolution de l’AEPD :
Le [GSMA’s DPIA] le document ne comporte pas d’évaluation de la nécessité et de la proportionnalité des opérations de traitement par rapport à sa finalité ; l’utilisation de la reconnaissance faciale pour l’accès aux événements, son évaluation des risques pour les droits et libertés des personnes concernées visées à l’article 35, paragraphe 1, du RGPD et des mesures envisagées pour faire face aux risques, y compris les garanties, les mesures de sécurité et mécanismes pour assurer la protection des données personnelles et pour démontrer la conformité avec le GDPR, en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes concernées. Il énumère également les données du passeport et de la carte d’identité qui, selon lui, sont requises par le Mossos d’Esquadra [local police] qui auraient un but, afin de le relier à la photo prise avec le logiciel, qui initie le processus de reconnaissance faciale, correspondant à votre identité pour faciliter l’accès.
Une description de la DPIA de la GSMA dans la résolution de l’AEPD suggère qu’en plus de ne pas avoir procédé à une évaluation adéquate, la GSMA a prêté une justification de sécurité pour la collecte des passeports / documents d’identité de l’UE des participants au spectacle – affirmant qu’elle avait été chargée par la police espagnole de mettre en place des « processus stricts » pour les participants au contrôle d’identité.
Il semble également avoir exigé des participants qu’ils consentent au traitement biométrique de leurs données faciales dans le cadre du processus de téléchargement de l’ID, l’AEPD notant les informations de consentement fournies dans BREEZZ qui demandaient à l’individu son consentement en utilisant « des données biométriques obtenues à partir des photographies ». fourni à des fins de validation d’identification dans le cadre de l’inscription en ligne et du MWC Barcelona à des fins d’accès au site ».
Ceci est important puisque le RGPD établit une barre claire pour que le consentement soit une base juridique valide – exigeant qu’il soit informé, spécifique (c’est-à-dire non groupé) et donné librement. Par conséquent, vous ne pouvez pas forcer le consentement. (Alors que le consentement au traitement de données sensibles telles que la biométrie faciale a une barre encore plus élevée de consentement explicite pour être légalement traitées.)
C’est l’absence de libre choix pour les participants à la conférence concernant le téléchargement de données biométriques sensibles qui a conduit à une plainte contre le traitement des données de la GSMA déposée auprès de l’AEPD par le Dr Anastasia Dedyukhina, une conférencière sur le bien-être numérique qui avait été invitée à prendre la parole lors d’un panel à MWC 2021. C’est sa plainte qui a conduit – quelques années plus tard – à la sanction de la GSMA maintenant.
« Je n’ai pas trouvé de justification raisonnable pour cela », a-t-elle expliqué dans un article sur LinkedIn à la fin de la semaine dernière, lorsqu’elle a rendu sa plainte publique, discutant de ce qu’elle considérait comme une demande disproportionnée de la GSMA pour que les participants au MWC téléchargent des documents d’identité. « Leur site Web a suggéré que je pouvais également apporter ma carte d’identité/passeport pour une vérification en personne, ce qui ne me dérangeait pas. Cependant, les organisateurs ont insisté sur le fait qu’à moins que je ne télécharge les détails de mon passeport, je NE POURRAIS PAS assister à l’événement en direct et je devrais participer virtuellement, ce que j’ai fini par faire.
Le technologue Adam Leon Smith, co-auteur de sa plainte, a également écrit à ce sujet dans un article sur LinkedIn – dans lequel il prévient: «La reconnaissance faciale dans les espaces publics est très sensible et si vous avez vraiment besoin de l’utiliser, faites appel à un excellent avocat et équipe technique.
Expliquant les préoccupations soulevées dans leur plainte, Smith a déclaré à TechCrunch : « Premièrement, nous avons constaté que la politique de confidentialité indiquait que nous fournissions une identification pour la reconnaissance faciale à des fins d’identité sur la base du consentement. Cependant, il est devenu clair qu’il n’était pas possible de se retirer. Deuxièmement, la société qui gérait la technologie se trouvait en Biélorussie, en dehors de l’UE. Ce sont les informations que nous pouvions trouver publiquement au moment de déposer les plaintes. Je vois que ScanViz, la société qui fournit la technologie, répertorie maintenant une adresse à Hong Kong sur son site Web. »
« L’AEPD a pu demander des documents internes d’évaluation de la confidentialité à MWC, et a pu constater qu’ils étaient obsolètes et insuffisants. La décision de l’AEPD se concentre principalement sur cela », a-t-il également déclaré. « Il n’y avait pas d’autres remèdes spécifiques, même si je pense que le MWC devra mener cette évaluation des risques et de l’impact avec beaucoup de soin. »
Bien que la résolution du régulateur espagnol de la protection des données ne se prononce pas sur la validité ou non de la base juridique de la GSMA pour le traitement biométrique, Smith suggère que cela pourrait simplement être une conséquence séquentielle de la conclusion de la DPIA inadéquate – c’est-à-dire qu’elle aurait pu décider une évaluation technique plus complète n’en vaut pas la peine.
« Je ne serais pas surpris s’ils abandonnaient l’utilisation de la technologie de reconnaissance faciale », a-t-il suggéré à propos de la GSMA. « Ce type d’application de la technologie relèverait de la catégorie à haut risque dans les dernières ébauches du [EU] Loi sur l’IA, cela signifie qu’ils auraient besoin d’une forme d’évaluation de la conformité par une partie indépendante.
La GSMA a été contactée pour commenter la sanction de l’AEPD, mais au moment de la rédaction de cet article, elle n’avait pas répondu.
Il convient de noter que si le processus administratif de l’AEPD sur cette plainte se termine par cette résolution, la GSMA pourrait chercher à contester le résultat via un recours en justice devant l’Audiencia Nacional (Haute Cour nationale espagnole).
En faisant un zoom arrière, comme le souligne Smith, la nouvelle loi paneuropéenne sur l’IA devrait introduire un cadre basé sur les risques pour réglementer les applications de l’IA dans les années à venir.
La version préliminaire de cette législation proposée par la Commission en 2021 comprend une interdiction de l’utilisation de la biométrie à distance, comme la reconnaissance faciale, dans les lieux publics qui, si elle parvient à la version finale, augmentera certainement le risque réglementaire lié à la mise en œuvre contrôles de vérification automatisés à l’avenir. (Ajoutez à cela, les parlementaires ont fait pression pour renforcer davantage l’interdiction de la biométrie à distance.) Et cela s’ajoute aux risques existants du RGPD pour tout processeur de données adoptant une approche bâclée de la diligence raisonnable des risques (ou en fait de l’exigence stricte d’avoir un légal valide base d’un tel traitement de données sensibles).
Pour sa part, la GSMA a continué à fournir une option de vérification d’identité automatisée basée sur la biométrie faciale pour les participants au MWC (cette année et l’année dernière) – tout en continuant d’exiger le téléchargement de documents d’identité pour l’enregistrement en personne. Il sera donc intéressant de voir s’il modifie ses déclarations de confidentialité et/ou apporte des modifications au processus d’inscription pour le MWC 2024 à la lumière de la sanction GDPR. (Et, s’il continue à offrir une option de vérification d’identité automatisée basée sur la biométrie au salon à l’avenir, il pourrait être bien avisé de s’assurer que son fournisseur de technologie est entièrement situé à l’intérieur de l’UE.)