11.02.2020 - Collecter des données faciales sans le consentement des intéressés constitue une atteinte à leur personnalité

11.02.2020 - En complément de sa déclaration concernant l’application Clearview, le PFPDT précise sa position quant à la collecte massive et au traitement de données faciales disponibles en ligne.

Même si les données faciales ne sont pas en soi des données sensibles au sens de l’art. 3, let. c, de la loi fédérale sur la protection des données (LPD), la collecte massive de données faciales disponibles en ligne constitue une atteinte à la personnalité au sens de l’art. 12, al. 2, let. a, LPD si elles font l’objet d’un traitement qui contrevient aux principes énoncés aux art. 4, 5, al. 1, et 7, al. 1, LPD. Ainsi, collecter massivement et sans le consentement des intéressés des données faciales et les traiter à des fins qui n’ont pas été communiquées lors de cette collecte, qui ne ressortent pas des circonstances et qui ne sont pas non plus prévues par la loi, est contraire aux principes de la transparence, de la proportionnalité et de la finalité.

Ces principes s’appliquent à tous les traitements de données qui concernent des personnes en Suisse, que les données aient été collectées sans leur consentement en Suisse ou non, manuellement ou de manière automatisée.

Télécharger des données faciales sans le consentement des intéressés est difficilement justifiable

Si une personne confie ses données faciales à un réseau social qui interdit dans ses conditions d’utilisation toute forme de collecte automatisée des données ou crawling, on peut en déduire que cette personne interdit elle aussi formellement tout traitement de ses données par un tiers. En conséquence, tout téléchargement de données faciales effectué sans le consentement des intéressés par un tiers depuis ce réseau social doit être considéré comme constituant une atteinte illicite à la personnalité si leur traitement n’est pas justifié par un intérêt prépondérant privé ou public ou par la loi, conformément à l’art. 13 LPD. Il devrait être difficile dans la pratique de faire valoir un tel motif justificatif.

Pas de comparaison d’images faciales sans le consentement des intéressés

Selon l’art. 13, al. 1, LPD, il n’y a pas en règle générale d’atteinte à la personnalité lorsque les intéressés ont rendu leurs données accessibles à tout un chacun et qu’ils n’ont pas formellement interdit leur traitement. Tel n’est cependant pas le cas lorsque, comme cela a été indiqué ci-dessus, les données faciales des intéressés sont comparées au mépris du principe de la transparence avec des données collectées sans leur consentement sur un réseau social ou un site internet. Aussi le Préposé recommande-t-il de s’abstenir de procéder à des comparaisons d’images faciales sans s’être assuré du consentement des intéressés.

Constituer une base centralisée de données biométriques et mettre celle-ci à la disposition notamment des autorités de poursuite pénale pour leur permettre de procéder à des comparaisons, contrevient gravement au principe de la transparence parce que ce type de traitement va bien au-delà de ce que permet normalement un moteur de recherche et que les personnes dont les images faciales sont ainsi utilisées sans leur consentement ne peuvent se douter que leurs données font l’objet d’un pareil détournement de finalité.

Les responsables du traitement des données et les opérateurs de réseaux sociaux doivent prendre leurs responsabilités

Si un réseau social veut délibérément communiquer à un tiers des données faciales, cette communication doit être conforme et aux paramètres de confidentialité sélectionnés par les intéressés et aux conditions d’utilisation. Si ces données sont collectées par un tiers sans que le réseau social ait donné son accord, cela constitue une fuite incontrôlable de données (data breach), dont doivent répondre non seulement les responsables du traitement des données, mais aussi les opérateurs de réseaux sociaux vis-à-vis de leurs utilisateurs. Enfin, si ces données sont collectées ou communiquées à un tiers par un utilisateur du réseau social, cela constitue une violation des conditions d’utilisation, dont doivent répondre et l’utilisateur et l’opérateur du réseau social concerné.

Conclusion : collecter des données faciales sans le consentement des intéressés en vue de les traiter au moyen de technologies automatisées de reconnaissance faciale ne saurait s’accorder dans la pratique avec les principes établis par la LPD pour le traitement des données. Aussi de tels traitements doivent-ils en règle générale, soit reposer sur une base légale conforme à la Constitution s’ils sont le fait d’une autorité publique, soit avoir été consentis par les intéressés s’ils sont effectués par une personne privée.

Que fait le Préposé ?

Au-delà des investigations concrètes qu’il a menées dans l’affaire Clearview (voir sa déclaration du 21.01.2020 ci-dessous), le Préposé fera usage de tous les moyens que lui confère la loi pour protéger la population suisse contre le téléchargement non consenti d’image faciales. Il continuera par ailleurs de tout mettre en œuvre pour que la population suisse puisse se déplacer en tout anonymat dans l’espace public, que ce soit à pied ou de toute autre manière.