Il y a quelques jours nous apprenions que la Commission Européenne cherche à mettre en place une réglementation autour de la technologie de reconnaissance faciale. Son utilisation devient de plus en plus courante, suscite les débats et les abus sont nombreux.
Aujourd’hui ComputerSweden rapporte que la ville de Skellefteå en Suède, et plus précisément un lycée va écoper d’une amende de 200 000 SEK, soit environ 19 000 euros pour violation du RGPD.
Un usage de la reconnaissance faciale à l’encontre du RGPD
À l’automne 2018, le lycée a durant trois semaines utilisé la reconnaissance faciale à travers un projet pilote sur 22 élèves afin de suivre leur présence à l’école.
L’idée étant de remplacer le traditionnel système d’appel.
En février dernier, l’Autorité suédoise de protection des données a ouvert une enquête suite à la médiatisation du projet.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Résultat ? L’Autorité a estimé qu’il y avait eu plusieurs violations au RGPD et inflige une amende à l’établissement de 18 600 euros. Il s’agit d’une première pour le pays. Elle reproche notamment le fait que le lycée n’ait pas consulté l’Autorité suédoise avant de lancer son programme et qu’aucune évaluation d’impact n’ait été réalisée. Ainsi, l’établissement a traité de manière illégale les données biométriques des élèves.
La première amende pour le pays suite à la mise en place du RGPD
Avec l’entrée en vigueur du RGPD en mai 2018, l’Autorité suédoise estime que malgré le fait que l’établissement ait eu le consentement des élèves pour utiliser la reconnaissance faciale, cela n’est pas suffisant. La reconnaissance des visages est considérée comme une donnée à caractère personnel sensible. Elle estime ainsi qu’il y a un « déséquilibre évident entre la personne concernée et le responsable du traitement« .
L’amende n’est pas colossale comparée à celle de 400 000 euros infligée à une agence immobilière par la CNIL en juin dernier, pour ne pas avoir respecté les délais de conservation et avoir porté atteinte à la sécurité des données de ses clients. Cependant elle montre bien l’impact du RGPD sur les données personnelles et son application dans l’Europe.