Le FC Barcelone condamné à une amende pour violation de la vie privée liée à la collecte de données biométriques

5 0

Le FC Barcelone s’est vu infliger une amende de 500.000 € (579.219 $) pour avoir scanné les visages et enregistré les voix de plus de 100.000 membres sans avoir préalablement respecté les obligations légales.

L’autorité espagnole chargée de la protection des données, l’AEPD, a constaté que le club avait mis en place un système de vérification d’identité biométrique lors d’une mise à jour du fichier des membres et avait traité toutes ces données sans disposer d’une analyse d’impact sur la protection des données valide.

Les membres renouvelant leurs informations à distance devaient soit soumettre un scan facial via la caméra de leur appareil, soit enregistrer leur voix. Les deux systèmes étaient opérationnels, tous deux traitaient des données biométriques à grande échelle, et la documentation fournie par Barcelone pour justifier ces pratiques ne répondait pas aux critères fixés par le RGPD pour les traitements à haut risque.

L’article 35 du RGPD exige des organisations qu’elles réalisent une analyse d’impact relative à la protection des données (AIPD) avant de déployer tout système susceptible de présenter un risque élevé pour les personnes. Les données biométriques utilisées à des fins d’identification sont automatiquement concernées.

Les traitements touchant plus de 100.000 personnes, y compris des mineurs, sont concernés. L’utilisation de nouvelles technologies est concernée. Le système de Barcelone répondait à ces trois critères. L’AEPD a conclu que la documentation du club ne comportait pas les éléments essentiels d’une véritable analyse : aucune analyse réelle de la nécessité et de la proportionnalité, aucune évaluation adéquate des risques réels que le traitement fait courir aux personnes dont les visages et les voix ont été capturés.

La décision de l’AEPD dans l’affaire PS-00450-2024 met particulièrement en évidence un point : le consentement ne remplace pas une AIPD. Barcelone avait demandé à ses membres d’accepter la collecte de données biométriques, et ceux-ci avaient donné leur accord.

Cet accord n’a aucune pertinence juridique par rapport à l’obligation procédurale distincte d’évaluer les risques avant la mise en service du système. Le RGPD les traite comme des exigences indépendantes. Le fait de satisfaire à l’une ne dispense pas de l’autre.

Selon cette décision, une AIPD valide exige en réalité une description claire du traitement, une véritable évaluation de la nécessité et de la proportionnalité, une évaluation détaillée des risques, des mesures d’atténuation proposées et une évaluation des risques résiduels après application de ces mesures. Les organisations qui produisent une documentation AIPD comme une simple formalité de conformité, sans examiner ces questions de manière approfondie, restent exposées, quel que soit le libellé du consentement qu’elles présentent aux utilisateurs.

L’engouement pour les données biométriques faciales est devenu quasi universel dans tous les secteurs, et l’affaire de Barcelone survient à un moment où cet engouement s’accélère plus rapidement que les règles censées le régir.

Les banques déploient la reconnaissance faciale pour l’intégration des clients. Les détaillants l’utilisent pour vérifier l’âge au point de vente. Les hôpitaux scannent les patients à leur arrivée. Les stades ont remplacé les billets par des scans faciaux.

L’argument avancé est toujours la commodité, la sécurité ou la sûreté. Mais les organisations de tous les secteurs constituent des dossiers biométriques permanents sur les personnes qu’elles servent, souvent sans se demander sérieusement si elles en ont besoin.

La reconnaissance faciale représente désormais près de 30 % des utilisations de l’authentification biométrique chez les utilisateurs américains, avec environ 131 millions d’interactions traitées chaque jour à travers le pays. Plus de la moitié de la population américaine utilise régulièrement des systèmes de reconnaissance. Cette infrastructure touche la vie quotidienne de centaines de millions de personnes, dont la plupart n’ont guère de compréhension réelle de ce qui est capturé ni de la destination de ces données.

Le problème fondamental de tout cela est un problème que les organisations minimisent systématiquement : les données biométriques faciales ne peuvent pas être modifiées si elles sont compromises, ce qui crée une vulnérabilité permanente qui persiste tout au long de la vie d’un individu. Contrairement aux mots de passe, aux cartes de crédit ou même aux numéros de sécurité sociale, les traits du visage constituent des identifiants permanents qui ne peuvent être réinitialisés ni remplacés. Lorsqu’une entreprise stocke la géométrie de votre visage et subit une violation de données, vous ne pouvez pas changer de visage. L’exposition est à vie.

 

yogaesoteric
2 avril 2026

 

You might also like More from author
Leave A Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More