Si la reconnaissance faciale a d’abord été utilisée comme un outil de surveillance et de sécurité, son usage se développe dans les industries du marketing, de la santé et du tourisme. La compagnie aérienne Ryanair a d’ailleurs été assignée devant l’Autorité chargée de la protection des données en Espagne. L’ONG autrichienne Noyb (Non of your business) l’accuse d’utiliser la reconnaissance faciale de manière abusive et comme un levier financier.
Un recours à la reconnaissance faciale pour ceux qui n’achètent pas leur billet sur le site de la compagnie
Après avoir acheté un billet d’avion Ryanair en passant par une agence de voyages en ligne, une cliente espagnole s’est vue demandée par la compagnie de réaliser un processus de vérification. Le processus coûte 0,59 centime d’euros et prend la forme d’une reconnaissance faciale auprès d’un sous-traitant. En cas de refus, le client a le choix entre remplir un formulaire en ligne qui peut prendre jusqu’à sept jours à être validé ou se rendre au comptoir d’enregistrement et s’acquitter de frais variant de 30 à 55 euros en fonction des aéroports.
L’ONG Noyb accuse Ryanair d’utiliser la reconnaissance faciale de manière abusive. Elle reproche à la compagnie aérienne d’imposer la reconnaissance faciale pour décourager l’achat de ses billets ailleurs que sur son site internet et promouvoir les autres services proposés sur son site comme la location de chambres d’hôtels et de voitures.
Pour justifier sa demande, Ryanair accusent certaines agences de voyages en ligne de ne pas être autorisées à vendre ses vols. Ils seraient commercialisés avec des marges cachées et des informations de contact et détails de paiement incorrects. La méthode de la compagnie aérienne permettrait donc de s’assurer « que les clients font les déclarations de sécurité nécessaire et sont informés directement de tous les protocoles de sécurité et de réglementation requis lors du voyage, comme l’exige la loi ».
Quel est le régime juridique encadrant la reconnaissance faciale ?
La reconnaissance faciale est un système automatisé qui permet d’analyser les caractéristiques d’un visage pour en former un code numérique capable de reconnaître la personne. Son utilisation est conditionnée au respect de la loi informatique et liberté ainsi que du règlement européen RPGD encadrant le traitement des données personnelles.
La reconnaissance faciale implique donc un traitement des données personnelles de la personne et plus précisément des données biométriques de son visage. En cas de piratage ou de protection insuffisante, ces données peuvent permettre d’usurper l’identité d’une personne et de commettre des actes en son nom. Ce risque est accru par la possibilité de manipuler la technologie à distance et d’accéder à des bases de données regroupant le visage de milliers de personnes.
Dès lors, se pose la question de la protection des données des clients de Ryanair et de la légalité de son utilisation pour l’achat d’un billet d’avion. En principe interdite en raison de la sensibilité de des données utilisées, la reconnaissance faciale peut être autorisée si la personne a donné son consentement, si les données sont rendues publiques par la personne en question ou si un intérêt public important justifie l’action. Pour être valide, le consentement doit être libre, spécifique, éclairé et univoque. En l’espèce, c’est bien le recueil du consentement qui est remis en question par l’ONG alors que les clients n’ont pas connaissance de la procédure au moment de l’achat. Difficile dès lors de parler de consentement éclairé.
Cette affaire illustre tout l’enjeu de définir clairement un cadre à l’utilisation des technologies telles que la reconnaissance faciale. Cette réflexion doit se faire en accord avec le respect du droit des personnes tout en permettant au droit d’évoluer pour utiliser les nouvelles technologies et soutenir cette industrie.