Reconnaissance faciale et expérience client : comment sécuriser la donnée ?

Les concrétisations de la reconnaissance faciale se multiplient dans l’expérience client :

Apple pour déverrouiller son smartphone, Mariott pour le check-in dans quelques-uns de ses hôtels en Chine, ADP et Air France à Orly également pour fluidifier le check-in… La reconnaissance faciale est même utilisée dans certains pubs londoniens pour connaître son ordre d’arrivée et estimer son temps d’attente…

Ces applications soulèvent bien évidemment la question du traitement des données. Ce faisant, la rédaction vous a sélectionné un article du magazine Security qui revient sur les différentes démarches légales adoptées aux États-Unis sur le sujet de la reconnaissance faciale.

« La reconnaissance faciale pour les nuls : comment ça marche ? »

La technologie de reconnaissance faciale consiste à utiliser la « biométrie » (c’est-à-dire les caractéristiques physiques individuelles) pour cartographier numériquement la « géométrie » du visage d’un individu.  Ces mesures sont ensuite utilisées pour créer une formule mathématique connue sous le nom de « modèle facial » ou « signature faciale ». Ce modèle ou signature stocké est ensuite utilisé pour comparer la structure physique du visage d’un individu afin de confirmer son identité ou d’identifier cette personne de manière unique.

Contrairement à d’autres formes d’informations personnelles modifiables, une fois compromises, les modèles faciaux et autres formes de données biométriques perdent leur capacité à être utilisés comme élément d’identification sécurisé.

Un tour de vis de la réglementation pour la protection de la vie privée

Pour lutter contre ces risques, plusieurs États américains ont promulgué des lois qui réglementent la collecte et l’utilisation des données de gabarit facial par les entités commerciales.

La loi de l’Illinois sur la confidentialité des informations biométriques (« Biometric Information Privacy Act », BIPA) est considérée comme la loi la plus stricte des États-Unis. En vertu de la BIPA, une entité privée ne peut pas collecter ou stocker des données de modèles faciaux sans :

  • Avoir au préalabale informé les publics visés
  • Consentement écrit

La BIPA contient également une disposition relative au droit privé qui permet de recouvrer des dommages-intérêts légaux compris entre 1 000 et 5 000 dollars. Au-delà de l’Illinois, les États du Texas et de Washington ont également promulgué des lois sur la confidentialité biométrique qui imposent des exigences similaires liées à la notification, au consentement et aux mesures de sécurité obligatoires.

Durcissement de la loi et sanctions exemplaires contre Facebook

Cette nouvelle vague de lois biométriques sur la protection de la vie privée a créé un principe de responsabilité fort pour les entreprises.

Ce risque est principalement dû aux dommages-intérêts légaux prévus par la BIPA, que la Cour suprême de l’Illinois a rendus beaucoup plus faciles à recouvrer grâce à un arrêt de 2019 selon lequel les plaignants peuvent poursuivre les demandes de la BIPA même si aucun préjudice ou dommage réel n’est subi.

Début 2020, Facebook a perdu une « class action » et a dû verser 550 millions de dollars.

Plusieurs Etats- suivent la même tendance réglementaire.

Le Washington Privacy Act (« WPA ») impose un ensemble d’exigences et de limitations strictes sur les données biométriques et l’utilisation de la technologie de reconnaissance faciale.

Dans ce projet de loi, une disposition prévoyait notamment dans le cadre d’une class action, des sanctions de 50 000 dollars pour chaque violation par négligence et de 100 000 dollars pour les violations intentionnelles. Si ce projet était adopté, il s’agirait du montant le plus élevé de dommages-intérêts statutaires de toute la législation américaine sur la protection des données.

Que doivent faire les entreprises ? 5 mesures concrètes à mettre en place

La reconnaissance faciale pourrait potentiellement changer presque tous les aspects de notre vie quotidienne. Face au labyrinthe de lois de plus en plus complexe, les entreprises doivent prendre leur destin en main et adopter des mesures proactives pour créer/mettre en œuvre des programmes de conformité. En voici les 5 enjeux majeurs :

Les entreprises doivent garantir la transparence de la manière dont elles collectent, utilisent, stockent et éliminent les données des modèles faciaux utilisés dans le cadre de leurs activités commerciales en mettant en œuvre une politique de confidentialité détaillée spécifique à la reconnaissance faciale.

Concrètement, les politiques de protection de la vie privée doivent inclure les éléments suivants :

  • Un préavis visible que les données de modèle facial sont collectées et/ou stockées ;
  • Les finalités actuelles et à venir pour lesquelles l’entreprise utilise les données de modèle facial ;
  • La manière dont les données de modèle facial seront utilisées ;
  • Une description des mesures de protection utilisées pour sauvegarder les données de modèle facial ;
  • Les politiques et pratiques de l’entreprise en matière de conservation et de destruction des données du modèle facial. Ces politiques devraient également interdire strictement la divulgation des données des modèles faciaux de toute personne sans son consentement et devraient interdire à l’entreprise et à ses employés de vendre ou de tirer profit de ces données…

Retrouvez l’intégralité de l’article ici