Quelles sont les lois sur la reconnaissance faciale en France?

By Marc Zerbola Challande,

juin 19th 2024

À Savoir

• Données personnelles: les données personnelles comprennent des informations directes telles que nom et adresse, ainsi que des indices indirects comme la localisation ou les habitudes de déplacement, qui, ensemble, peuvent révéler votre identité.
• Traitement des données personnelles: tout traitement de données personnelles, qu’il soit informatisé ou non, vise à identifier une personne directement ou indirectement. Cela inclut des actions telles que la collecte, l’enregistrement, la modification ou la destruction de ces informations.
• Droits des individus: le RGPD accorde aux individus des droits étendus sur leurs données personnelles, notamment le droit à l’information, d’accès, de portabilité, de rectification, de limitation et de suppression, ainsi que le droit de disposer de leurs données après leur mort.
• Les lois sur la reconnaissance faciale en France: l’utilisation de la reconnaissance faciale dans les lieux publics est strictement encadrée, avec des restrictions claires pour préserver la vie privée. Dans les lieux privés ou entreprises, son utilisation est autorisée sous certaines conditions, notamment le consentement explicite de la personne concernée.

Pour plus de renseignements:

• Reconnaissance faciale: Tout ce que vous devez savoir en 2024
• L’Europe francophone face à la reconnaissance faciale

Connaître les lois sur la reconnaissance faciale en France peut paraître farfelu. Cette technologie, bien que récente, est déjà étroitement surveillée, tant pour son caractère innovant que pour les risques qu’elle pose en termes de surveillance de la population. Pour que vous soyez bien informé, nous avons rédigé ce guide pour vous aider à mieux comprendre les lois régissant la reconnaissance faciale.

• Qu’est-ce qu’une donnée personnelle et le traitement des données personnelles?
• Quels sont vos droits sur vos données?
• La Commission Nationale de l’Informatique et des Libertés
• Le Règlement Général sur la Protection des Données
• Que disent les lois sur la reconnaissance faciale en France dans les lieux publiques?
• Que disent les lois sur la reconnaissance faciale en France dans les entreprises?
• Exemple de poursuite pénale
• Que retenir des lois sur la reconnaissance faciale en France?
• Articles connexes pour plus de renseignements

Qu’est-ce qu’une donnée personnelle et le traitement des données personnelles?

1.Qu’est-ce qu’une donnée personnelle?

Une donnée personnelle est une pièce du puzzle de votre identité, un indice qui peut vous mener directement à une personne physique, ou qui peut vous révéler indirectement à travers un ensemble d’indices.

• Pensez aux évidences: votre nom, votre prénom, une photo de vous prise à un mariage, ou même votre e-mail. Ces éléments vous représentent de manière directe, vous exposant tel que vous êtes au monde digital. Mais attention, l’identification peut être plus rusée : votre localisation, votre numéro de téléphone, ou même une plaque d’immatriculation peuvent, par leur association, vous dévoiler sans même que vous ne le réalisiez.
• Imaginez: votre lieu de naissance, votre date de naissance, ou votre adresse actuelle. Individuellement, ils peuvent sembler anodins, mais ensemble, ils tissent un fil qui vous relie au vaste réseau de données. Et saviez-vous que même des détails apparemment banals comme vos loisirs ou vos habitudes de déplacement peuvent contribuer à votre identification? Par exemple, prenez un trajet récurrent entre votre domicile et votre lieu de travail, et voilà, vous devenez l’un des 50% des gens potentiellement identifiables.

2.Qu’est-ce que le traitement des données personnelles?

Dans le vaste écosystème des données personnelles, chaque action, qu’elle soit réalisée à l’aide d’outils informatiques sophistiqués ou sur des supports plus traditionnels tels que des fichiers papier, revêt une importance cruciale. Un traitement de données personnelles se matérialise par toute opération, qu’elle soit informatisée ou non, visant à manipuler des informations permettant d’identifier une personne, que ce soit de manière directe ou indirecte.

Pour mieux appréhender la portée de ces traitements, il convient d’envisager les multiples actions qui y sont associées : la collecte, l’enregistrement, la modification, la destruction, la consultation, entre autres. Chacune de ces étapes constitue un maillon essentiel dans la gestion et la protection des données personnelles.

Illustrons cette notion à travers un exemple concret: imaginons le service des ressources humaines d’une entreprise française. Chargé de centraliser et d’administrer les informations relatives aux employés, telles que leurs numéros de sécurité sociale, noms, prénoms, adresses, ainsi que leurs parcours académiques, ce service est soumis aux dispositions du Règlement général sur la protection des données (RGPD). En conséquence, il se doit de se conformer rigoureusement à ce cadre réglementaire et de pouvoir en justifier la conformité.

Quels sont vos droits sur vos données?

Au sein de votre organisation, le respect des droits des citoyens européens en matière de données personnelles revêt une importance capitale. Ces droits, inscrits dans le cadre du Règlement général sur la protection des données (RGPD), garantissent aux individus un contrôle accru sur leurs informations personnelles.

Parmi ces droits figurent :

• Le droit à l’information – informer les individus sur la manière dont leurs données personnelles sont collectées, traitées et utilisées.
• Le droit d’accès – permettre aux individus de consulter les données personnelles détenues à leur sujet par votre organisation.
• Le droit à la portabilité – permettre aux individus de récupérer et de transférer leurs données personnelles d’un service à un autre.
• Le droit de rectification – permettre aux individus de corriger ou de compléter les données personnelles inexactes ou incomplètes.
• Le droit à la limitation – restreindre le traitement des données personnelles dans certaines circonstances spécifiques.
• Le droit d’opposition ou de suppression – permettre aux individus de s’opposer au traitement de leurs données personnelles dans certaines situations, voire de demander leur suppression.
• Le droit de disposer de ses données avant sa mort – permettre aux individus de définir des directives relatives à la conservation, à l’effacement et à la communication de leurs données personnelles après leur décès.

La Commission Nationale de l’Informatique et des Libertés

1.Qu’est-ce que la CNIL?

La CNIL incarne le gardien vigilant des droits fondamentaux en matière de données personnelles et représentées par les lois sur la reconnaissance faciale en France.

Instituée par la loi du 6 janvier 1978, baptisée « Loi Informatique et Libertés », la CNIL fut pionnière dans son domaine, érigeant les premières pierres d’une protection des données avant-gardiste bien avant l’avènement des régulations européennes.

Cette loi a connu une refonte majeure avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, auquel elle se réfère expressément. La CNIL opère en tant qu’autorité administrative indépendante (AAI), affranchie de toute tutelle étatique, jouissant d’une liberté totale dans ses positions et décisions.

Composée de 18 membres issus de diverses institutions telles que l’Assemblée nationale, le Sénat, ou encore des hautes juridictions, la CNIL incarne l’union et la diversité au service d’une mission cruciale : protéger les droits et libertés des individus dans le paysage numérique en constante évolution.

2.Quels sont ses objectifs?

La CNIL s’érige en bouclier protecteur contre toute intrusion, qu’elle soit numérique ou sur papier, opérée par des entités tant publiques que privées.

Dans son arsenal de missions, elle s’engage résolument à:

• Mission n°1 – Éclairer les acteurs professionnels et les citoyens sur la protection des données personnelles. Par exemple, en partageant des ressources destinées aux professionnels afin de les guider dans la conformité aux normes du RGPD et de la Loi Informatique et Libertés.
• Mission n°2 – Accompagner les acteurs professionnels dans leur démarche de conformité et conseiller le Gouvernement dans l’élaboration de nouvelles réglementations. À titre d’exemple, la CNIL apporte son soutien aux entreprises dans la nomination de leur délégué à la protection des données (DPO), chargé, en interne, de les orienter dans leur politique de protection des données personnelles. Elle émet également des avis sur les projets législatifs ou réglementaires du Gouvernement.
• Mission n°3 – Anticiper les évolutions. La CNIL se positionne en avant-garde sur les sujets émergents afin de favoriser le développement des nouvelles technologies tout en garantissant le respect des données personnelles.
• Mission n°4 – Exercer un contrôle rigoureux et sanctionner si nécessaire. La CNIL procède à des vérifications sur site (et sur documents) auprès des responsables de traitement pour évaluer leur niveau de conformité. Ces contrôles peuvent être initiés de sa propre initiative ou à la suite de plaintes multiples. En cas de non-conformité avérée, des sanctions peuvent être infligées aux responsables de traitement.

3.Comment contrôle et sanctionne la CNIL?

La CNIL détient des pouvoirs étendus, agissant comme une sentinelle vigilante au service de la protection des données personnelles. Voici un aperçu de ses prérogatives::

Pouvoir de contrôle

La CNIL effectue des vérifications auprès des responsables de traitement, qu’il s’agisse d’organismes publics ou privés opérant en France, ainsi que de leurs sous-traitants. Ces contrôles peuvent être déclenchés de sa propre initiative ou suite à des réclamations ou des signalements.

Concrètement, ces vérifications peuvent prendre différentes formes: elles peuvent être effectuées sur place, sur pièces, sur audition, ou même en ligne. Elles peuvent impliquer l’accès aux locaux de l’entreprise, la consultation de documents, des entretiens avec le personnel, voire des tests.

Il est important de noter que le responsable de traitement doit être informé préalablement par la CNIL de tout contrôle envisagé, et ce, au moins 24 heures à l’avance. De plus, s’opposer à un contrôle de la CNIL est passible de sanctions pénales.

Pouvoir de sanction

À l’issue des contrôles, plusieurs scénarios sont possibles : aucune irrégularité constatée, observations mineures relevées avec recommandations, ou manquements graves entraînant des sanctions.

En cas de non-conformité avérée, la CNIL peut prononcer diverses sanctions, telles que des mises en demeure assorties d’astreintes financières en cas de non-respect des obligations, ou des amendes administratives.

Ces amendes peuvent être considérables, pouvant atteindre jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise contrevenante, ou un montant fixe allant jusqu’à 20 millions d’euros. De plus, ces sanctions peuvent être rendues publiques, entraînant des conséquences supplémentaires sur le plan de la réputation.

Le Règlement Général sur la Protection des Données

Le Règlement général sur la protection des données (RGPD), adopté par le Parlement européen en 2016 et en vigueur depuis 2018, constitue un jalon majeur dans la législation européenne en matière de protection des données à caractère personnel. En effet, il établit un cadre juridique rigoureux visant à garantir la confidentialité et la sécurité des informations personnelles des résidents européens.

Ce texte transcende les frontières de l’Europe, imposant ses directives à toute entité manipulant des données personnelles de citoyens de l’Union européenne, qu’elle soit située sur le sol européen ou non. Ainsi, les responsables de traitement et les sous-traitants étrangers sont tenus de se conformer au RGPD, même si les opérations de traitement s’effectuent en dehors des frontières de l’UE.

Le RGPD renforce les droits des individus dont les données sont collectées, leur accordant un contrôle accru sur leurs informations personnelles. Ces droits incluent notamment le droit d’accès, de rectification, d’effacement et de portabilité des données. En parallèle, ce règlement impose aux responsables de traitement un ensemble d’obligations strictes, telles que la tenue d’un registre des traitements et la notification obligatoire à l’autorité de contrôle en cas de violation de données.

Ces obligations s’accompagnent d’une responsabilisation accrue des acteurs impliqués dans le traitement des données. Les responsables de traitement doivent non seulement garantir la conformité de leurs activités au RGPD, mais également être en mesure de démontrer cette conformité de manière tangible. Ainsi, le RGPD place la protection des données au cœur des préoccupations des entreprises et des organisations, promouvant une culture de transparence et de respect de la vie privée à l’échelle mondiale.

Jibble reconnaît l’importance cruciale du RGPD dans la protection des données personnelles des individus et s’engage à respecter pleinement ses principes et exigences. En tant que plateforme de gestion des présences et de suivi des heures de travail, nous accordons une attention particulière à la confidentialité et à la sécurité des données de nos utilisateurs. Notre système est conçu pour être en conformité avec les normes les plus strictes en matière de protection des données, garantissant ainsi que les informations personnelles de nos utilisateurs sont traitées de manière sûre, transparente et conforme à la législation en vigueur. Les entreprises du monde entier peuvent utiliser Jibble en toute confiance, sachant que notre engagement envers la protection des données personnelles est au cœur de nos pratiques et de notre philosophie d’entreprise.

Que disent les lois sur la reconnaissance faciale en France dans les entreprises?

Le 31 mai 2023, la commission des lois a adopté une proposition de loi visant à encadrer strictement l’utilisation de la reconnaissance biométrique dans les espaces publics. Cette mesure, initiée par le rapporteur Philippe Bas, vise à prévenir toute dérive vers une société de surveillance excessive. Elle établit des lignes rouges claires pour limiter cette pratique sans consentement préalable, préservant ainsi les droits individuels et la vie privée des citoyens.

La commission a reconnu l’importance de la reconnaissance faciale dans des situations graves pour assurer la sécurité publique. Cependant, elle a restreint son utilisation à des cas exceptionnels et bien définis. Dans le cadre judiciaire, elle est autorisée uniquement pour les enquêtes sur les crimes les plus graves, tandis que dans le domaine du renseignement et de la sécurité, elle est limitée à la lutte contre le terrorisme, avec des procédures strictes d’autorisation et de contrôle.

De plus, consciente du caractère novateur et intrusif de ces technologies, la commission a opté pour un régime expérimental. Cette phase d’expérimentation, d’une durée de trois ans, permettra de développer les outils nécessaires tout en recueillant des retours d’expérience essentiels. Le Parlement, les autorités judiciaires et la commission nationale de contrôle des techniques de renseignement superviseront de près cette démarche pour garantir une utilisation responsable et respectueuse des droits individuels.

Que disent les lois sur la reconnaissance faciale en France dans les lieux publiques?

Contrairement aux lieux publiques, la reconnaissance faciale est autorisée sous plusieurs conditions. Voici ce que dit le texte du Sénat.

Après l’article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, il est inséré un article 6-1 ainsi rédigé:

• « Art. 6-1. – Sauf si la personne a donné son consentement explicite, libre et éclairé, le traitement de données biométriques aux fins d’identifier une personne à distance dans l’espace public et dans les espaces accessibles au public est interdit. Le II de l’article 31 et l’article 88 ne sont pas applicables.»
• « Il ne peut être dérogé au premier alinéa du présent article que pour des motifs d’une exceptionnelle gravité, dans les conditions expérimentales prévues par la loi n°       du       relative à la reconnaissance biométrique dans l’espace public, pour des finalités limitativement énumérées et selon un régime d’autorisations préalables dont l’exécution est assortie de contrôles exercés par des autorités indépendantes du service habilité à mettre en œuvre ces exceptions.»
• « Le recours à ces dérogations obéit aux principes de nécessité et de proportionnalité, appréciés notamment au regard de la finalité qu’elles poursuivent et des circonstances dans lesquelles elles sont mises en œuvre, du caractère limité des images traitées et de leur durée de conservation.»
• « Toute catégorisation et notation des personnes physiques sur la base de leurs données biométriques sont interdites.»

Exemple de  poursuite pénale

Amazon France Logistique a récemment été sanctionnée par une amende de 32 millions d’euros de la part de la Commission Nationale de l’Informatique et des Libertés (CNIL). Voici les raisons principales qui ont conduit à cette amende importante :

• Usage excessif des scanners : Les employés utilisent des scanners pour enregistrer des données lors de diverses tâches telles que le stockage, le prélèvement, le rangement, et l’emballage des articles. Ces données servent à évaluer la productivité et la qualité du travail ainsi que les périodes d’inactivité.
• Surveillance excessive : La CNIL a jugé que les indicateurs mesurant les temps d’inactivité et la vitesse d’utilisation des scanners étaient excessifs. Ceux-ci pouvaient augmenter la pression sur les employés, les forçant à justifier chaque pause ou interruption et augmentant ainsi le risque d’erreurs.
• Conservation des données : La durée de conservation des données et des indicateurs statistiques, fixée à 31 jours, a été considérée comme disproportionnée. Cette conservation est perçue comme un moyen de maintenir une surveillance continue et détaillée sur le personnel.
• Impact sur les employés : La CNIL a noté que ces pratiques impactent plusieurs milliers de salariés, imposant des contraintes qui influencent directement leurs conditions de travail. Ces méthodes de suivi détaillé sont distinctes des méthodes traditionnelles et contribuent directement aux gains économiques de l’entreprise, lui permettant de bénéficier d’un avantage concurrentiel dans le secteur de la vente en ligne.

L’amende prononcée souligne la nécessité pour les entreprises de respecter les normes de protection des données personnelles établies par le RGPD et de trouver un équilibre entre les objectifs de performance et les droits des employés.

Que retenir des lois sur la reconnaissance faciale en France?

En France, la reconnaissance faciale dans les lieux privés est autorisée, mais strictement encadrée par la législation en vigueur et les directives de la CNIL, conformément au Règlement Général sur la Protection des Données (RGPD). La loi stipule que l’utilisation de technologies biométriques, telles que la reconnaissance faciale, doit respecter le consentement explicite, libre et éclairé de l’individu. Ce consentement est essentiel pour garantir que les droits individuels sont préservés et que les pratiques de surveillance ne deviennent pas intrusives ou abusives.

La CNIL joue un rôle crucial en supervisant l’application de ces règles, en offrant des orientations aux entreprises, et en s’assurant que les droits des individus sont respectés. Elle a également le pouvoir d’imposer des sanctions en cas de non-conformité, soulignant l’importance d’une gestion responsable et conforme des données personnelles.

Cette régulation permet d’équilibrer les avantages de la technologie de reconnaissance faciale, tels que l’amélioration de la sécurité et de l’efficacité opérationnelle, avec la nécessité impérative de protéger la vie privée et les libertés individuelles. Ainsi, bien que l’utilisation de la reconnaissance faciale soit permise dans les contextes privés, elle est strictement réglementée pour prévenir tout abus potentiel et maintenir la confiance du public dans les technologies numériques.

Jibble, en tant que fournisseur de solutions de reconnaissance faciale, s’engage à respecter scrupuleusement toutes les normes légales et réglementaires en vigueur, y compris celles établies par la CNIL en France. Notre plateforme est conçue avec une attention particulière portée à la protection de la vie privée et au respect des droits individuels. Nous nous engageons à obtenir un consentement explicite et éclairé de la part des utilisateurs avant toute utilisation de leurs données biométriques, garantissant ainsi une approche responsable et transparente de la technologie de reconnaissance faciale. Les pratiques de Jibble sont en totale conformité avec le RGPD et les directives de la CNIL, offrant ainsi aux entreprises et au public la garantie d’une utilisation sûre et éthique de nos services.

Articles connexes pour plus de renseignements

• Reconnaissance faciale: tout ce que vous devez savoir en 2024
• L’Europe francophone face à la reconnaissance faciale
• Logiciel de pointage par reconnaissance faciale
• Présence par reconnaissance faciale