Le face ID d’Apple face au Règlement général sur la protection des données (RGPD) (eu)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Europe >   Droit privé >  Droit européen >  Protection des données personnelles


Eu flag.png

Dreyfus & Associés, Cabinet Parisien
Mai 2018



Parallèlement à une législation toujours plus stricte, les nouvelles technologies sollicitent de manière accrue nos données personnelles, souvent à caractère sensible.


La reconnaissance faciale

La reconnaissance faciale est une innovation aujourd’hui largement utilisée par les grands groupes de la Tech, tels que Samsung ou Hauwai.


Apple reste néanmoins la société ayant indéniablement reçu le plus grand écho lors de la sortie de son nouvel iPhone X en novembre 2017 en présentant sa technologie de face ID, qui permet de déverrouiller son téléphone portable sans effort.


Pour ce faire, cette innovation se base sur des mesures extrêmement précises des dimensions du visage de l’utilisateur.


Ces données biométriques permettent ensuite de le détecter en toute circonstance, quelle que soit sa position.


A la fois pratique et ludique, cette technologie permet cependant de se questionner sur la compatibilité d’un tel traitement de données par la firme à la pomme avec les législations en vigueur et à venir et tout particulièrement le Règlement général sur les données personnelles (RGPD) qui entrera en application le 25 mai 2018.


Ce dernier tendant en effet à être de plus en plus stricte vis-à-vis des entreprises collectant des données personnelles, il est ainsi intéressant d’analyser si un recueil de telles données biométriques ne puisse pas être remis en question par le règlement.


Le traitement des données sensibles

En effet, contrairement à la directive sur les données personnelles antérieurement applicable, le RGPD spécifie que les données biométriques entrent dans le champ des « données sensibles » (article 9 du règlement).Le considérant n° 51 du RGPD les définit en tant que données « traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique ».


Bien que cette définition reste relativement vague, il est fort à parier que les juges feront rentrer la reconnaissance faciale dans une telle catégorie de données personnelles.


Une telle qualification dispose d’une grande importance, dans la mesure où le RGPD interdit en principe une telle collecte, sauf si ce recueil remplit les conditions énoncées à l’article 9-2.


Elle est en effet tolérée si « la personne concernée a donné son consentement explicite au traitement de ces données (…) pour une ou plusieurs finalités spécifiques ».


En faisant attention à remplir rigoureusement de telles conditions, Apple pourrait en effet effectuer ces traitements de données, à condition que, tel qu’autorisé par l’article 9-3 dudit règlement, l’Etat européen dans lequel le traitement est effectué ne prévoit pas de dispositions plus contraignantes.


La firme devra en outre s’atteler à répondre aux exigences de l’article 35 dudit règlement. En effet, concernant les données collectées avec le recours à de nouvelles technologies qui représenteraient un risque élevé pour les droits et liberté de personnes physiques, le RGPD exige que les entreprises effectuent une analyse détaillée les concernant.


A travers sa collecte de données biométriques via son iPhone X, la firme se trouve de fait confrontée à une telle obligation.


L’analyse visée devra notamment comporter une description systématique des opérations de traitement envisagées, une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ainsi qu’une une évaluation des risques pour les droits et libertés des personnes concernées.


Concernant les potentiels risques, Apple avait déjà communiqué sur le degré de sécurisation accrue qu’il accordait à ce type de données : en effet, la firme ne conserve pas les données biométriques de l’utilisateur sur un serveur externe dans la mesure où celles-ci sont chiffrées et verrouillées dans le processeur du smartphone via le Secure Enclave (espace de stockage ultra sécurisé).


Cependant un tel degré de sécurité avait été remis en cause par une polémique ayant éclaté il y a quelques mois.


L’American Civil Liberties Union (ACLU), équivalent de la CNIL aux Etats-Unis, avait averti sur le fait qu’Apple partagerait ces données biométriques avec des développeurs d’applications tiers.


Le partage de données en ce qui concerne la reconnaissance faciale permettrait aux développeurs d’ajouter de nouvelles fonctionnalités sur leurs applications.


Même si Apple leur interdisait d’utiliser les données pour faire de la publicité ou du marketing, des experts en sécurité avait soulevé le fait qu’un risque subsistait, quand à une utilisation frauduleuse des données par les développeurs, les détournant de leur utilisation présupposée.


Le face ID, conforme au RGPD ?

Apple devra donc prendre au sérieux les enjeux du RGPD en assurant à la fois un consentement explicite et éclairé des utilisateurs quant aux traitement de leurs données, une haute sécurisation de celles-ci ainsi qu’un usage strictement proportionné au but poursuivi des images collectées.


L’innovation de la firme à travers son face ID est en effet un exemple typique de l’usage accru de données de plus en plus sensibles à travers les nouvelles technologies. C’est d’ailleurs bien ce que l’Union européenne avait compris lors de ses réflexions sur le RGPD.


Quand bien même à ce stade, de simples suppositions concernant l’alignements des entreprises de la high-tech avec cette législation peuvent être faites, il faudra rester bien attentif à l’interprétation des juges concernant le traitement de ce type de données.