Lois sur la reconnaissance faciale en France

Une donnée personnelle est un élément d’information qui permet d’identifier directement ou indirectement une personne physique. Cela peut inclure :

• Directement : Nom, prénom, photo, e-mail.
• Indirectement : Localisation, numéro de téléphone, plaque d’immatriculation.

Même des détails comme le lieu et la date de naissance, ou des habitudes de déplacement, peuvent révéler votre identité lorsqu’ils sont combinés. Par exemple, un trajet régulier entre votre domicile et votre lieu de travail peut suffire à vous identifier.

Le traitement des données personnelles englobe toute opération, informatisée ou non, visant à manipuler des informations permettant d’identifier une personne, directement ou indirectement. Cela inclut:

• Actions : Collecte, enregistrement, modification, destruction, consultation.

Par exemple, le service des ressources humaines d’une entreprise collecte et gère des informations sur les employés (numéros de sécurité sociale, noms, adresses, parcours académiques). Ces opérations doivent respecter le Règlement général sur la protection des données (RGPD) et en assurer la conformité.

Au sein de votre organisation, il est crucial de respecter les droits des citoyens européens concernant leurs données personnelles. Ces droits, définis par le Règlement général sur la protection des données (RGPD), offrent aux individus un contrôle renforcé sur leurs informations personnelles.

Parmi ces droits, on trouve:

• Droit à l’information : Informer les individus sur la collecte, le traitement et l’utilisation de leurs données personnelles.
• Droit d’accès : Permettre aux individus de consulter les données personnelles détenues à leur sujet par votre organisation.
• Droit à la portabilité : Permettre aux individus de récupérer et de transférer leurs données personnelles d’un service à un autre.
• Droit de rectification : Permettre aux individus de corriger ou compléter des données personnelles inexactes ou incomplètes.
• Droit à la limitation : Restreindre le traitement des données personnelles dans certaines circonstances spécifiques.
• Droit d’opposition ou de suppression : Permettre aux individus de s’opposer au traitement de leurs données personnelles dans certaines situations, ou de demander leur suppression.
• Droit de disposer de ses données avant sa mort : Permettre aux individus de définir des directives concernant la conservation, l’effacement et la communication de leurs données personnelles après leur décès.

1.Qu’est-ce que la CNIL?

La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité française chargée de veiller à la protection des données personnelles. Créée par la loi « Informatique et Libertés » du 6 janvier 1978, elle opère de manière indépendante pour garantir le respect des droits individuels en matière de données personnelles.

2.Quels sont ses objectifs?

La CNIL poursuit plusieurs objectifs clés:

• Informer : Éclairer les professionnels et les citoyens sur la protection des données personnelles.
• Accompagner : Aider les entreprises à se conformer aux normes du RGPD et conseiller le gouvernement sur les réglementations.
• Anticiper : Surveiller les évolutions technologiques pour protéger les données personnelles.
• Contrôler et sanctionner : Vérifier la conformité des traitements de données et sanctionner les infractions.

3.Comment contrôle et sanctionne la CNIL?

La CNIL dispose de pouvoirs de contrôle et de sanction:

• Pouvoir de contrôle : Effectuer des vérifications sur place, sur documents, en ligne, ou par auditions auprès des responsables de traitement. Ces contrôles peuvent être initiés de sa propre initiative ou suite à des plaintes.
• Pouvoir de sanction : En cas de non-conformité, elle peut infliger des mises en demeure, des amendes allant jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise ou 20 millions d’euros, et rendre ces sanctions publiques, impactant ainsi la réputation des entreprises.

Adopté par le Parlement européen en 2016 et en vigueur depuis 2018, le RGPD est un cadre juridique rigoureux pour la protection des données personnelles des résidents européens. Il s’applique à toutes les entités traitant des données personnelles de citoyens de l’UE, qu’elles soient situées en Europe ou non.

1.Principaux aspects du RGPD

• Droits des individus : Droit d’accès, de rectification, d’effacement et de portabilité des données.
• Obligations des responsables de traitement : Tenue d’un registre des traitements, notification des violations de données.
• Responsabilisation : Les entreprises doivent démontrer leur conformité au RGPD.

2.Engagement de Jibble envers le RGPD

Jibble reconnaît l’importance du RGPD et s’engage à respecter ses principes. En tant que plateforme de gestion des présences et du suivi des heures de travail, nous veillons à la confidentialité et à la sécurité des données de nos utilisateurs. Notre système est conçu pour être conforme aux normes les plus strictes en matière de protection des données, garantissant un traitement sûr et transparent des informations personnelles. Les entreprises peuvent utiliser Jibble en toute confiance, sachant que la protection des données personnelles est au cœur de notre mission.

Le 31 mai 2023, la commission des lois a adopté une proposition de loi pour encadrer strictement l’utilisation de la reconnaissance biométrique dans les espaces publics, initiée par le rapporteur Philippe Bas. Cette mesure vise à prévenir une surveillance excessive et à protéger les droits individuels et la vie privée des citoyens.

Principales dispositions de la loi

• Restrictions générales: La reconnaissance faciale est interdite sans consentement préalable, sauf dans des cas exceptionnels.
• Utilisation en sécurité publique: Autorisée uniquement pour les enquêtes sur les crimes les plus graves et dans la lutte contre le terrorisme, avec des procédures strictes d’autorisation et de contrôle.
• Régime expérimental: Une phase d’expérimentation de trois ans est prévue pour développer les outils nécessaires et recueillir des retours d’expérience. Cette phase sera supervisée par le Parlement, les autorités judiciaires et la commission nationale de contrôle des techniques de renseignement.

Cette législation établit des lignes rouges claires pour l’utilisation de la reconnaissance biométrique, garantissant une approche responsable et respectueuse des droits individuels.

Contrairement aux lieux publics, la reconnaissance faciale est autorisée sous plusieurs conditions. Voici ce que stipule le texte du Sénat:

Nouvel article inséré dans la loi n° 78-17 du 6 janvier 1978 :

Article 6-1 :

• Interdiction générale:

Le traitement de données biométriques pour identifier une personne à distance dans l’espace public et dans les espaces accessibles au public est interdit, sauf si la personne a donné son consentement explicite, libre et éclairé.

Les exceptions prévues aux articles 31 et 88 ne s’appliquent pas.

• Exceptions pour des motifs graves:

Des dérogations sont possibles pour des motifs d’une exceptionnelle gravité, dans des conditions expérimentales prévues par une loi spécifique.

Ces dérogations sont destinées à des finalités limitées et nécessitent des autorisations préalables, avec des contrôles effectués par des autorités indépendantes du service mettant en œuvre ces exceptions.

• Principes de nécessité et de proportionnalité:

Les dérogations doivent respecter les principes de nécessité et de proportionnalité.

Elles doivent être évaluées en fonction de leur finalité, des circonstances de leur mise en œuvre, de la limitation des images traitées et de la durée de leur conservation.

• Interdiction de catégorisation et de notation:

Toute catégorisation et notation des personnes physiques basée sur leurs données biométriques sont interdites.

Ce cadre législatif vise à encadrer strictement l’utilisation de la reconnaissance faciale tout en protégeant les droits et libertés des individus.

Amazon France Logistique a récemment été sanctionnée par la CNIL d’une amende de 32 millions d’euros. Voici les raisons principales:

• Usage excessif des scanners: Les employés utilisent des scanners pour enregistrer des données lors de diverses tâches (stockage, prélèvement, rangement, emballage). Ces données évaluent la productivité, la qualité du travail et les périodes d’inactivité.
• Surveillance excessive: La CNIL a jugé que les indicateurs mesurant les temps d’inactivité et la vitesse d’utilisation des scanners étaient excessifs. Ces pratiques augmentaient la pression sur les employés, les obligeant à justifier chaque pause ou interruption, augmentant ainsi le risque d’erreurs.
• Conservation des données: La durée de conservation des données et des indicateurs statistiques (31 jours) a été jugée disproportionnée, impliquant une surveillance continue et détaillée des employés.
• Impact sur les employés: Ces pratiques impactent plusieurs milliers de salariés, influençant directement leurs conditions de travail et contribuant aux gains économiques d’Amazon, offrant un avantage concurrentiel dans le secteur de la vente en ligne.

Cette amende souligne l’importance pour les entreprises de respecter les normes de protection des données personnelles établies par le RGPD, tout en équilibrant les objectifs de performance et les droits des employés.

En France, l’utilisation de la reconnaissance faciale dans les lieux privés est autorisée mais strictement encadrée par la législation et les directives de la CNIL, conformément au RGPD. La loi exige un consentement explicite, libre et éclairé des individus pour garantir la protection de leurs droits et prévenir les abus.

La CNIL supervise l’application de ces règles, fournit des orientations aux entreprises, et peut imposer des sanctions en cas de non-conformité, assurant une gestion responsable des données personnelles. Cette régulation équilibre les avantages de la technologie, comme l’amélioration de la sécurité et de l’efficacité, avec la protection de la vie privée et des libertés individuelles.

Les fournisseurs de solutions de reconnaissance faciale doivent respecter toutes les normes légales et réglementaires, obtenir un consentement explicite des utilisateurs et concevoir leurs plateformes pour protéger la vie privée. Les pratiques doivent être conformes au RGPD et aux directives de la CNIL, garantissant une utilisation sûre et éthique des technologies de reconnaissance faciale.