Le Règlement européen sur la protection des données à caractère personnel (RGPD) définit ce qu’est une donnée à caractère personnel et, à l’intérieur de cette catégorie, dresse la liste de données particulièrement sensibles dont le traitement est, sinon interdit, du moins soumis à des contraintes ou conditions particulières. L’une d’elles est le consentement de l’intéressé, mais dans certaines hypothèses, comme le transfert hors Union européenne d’un grand volume de données, d’autres contraintes peuvent s’imposer aux opérateurs.
Une photo permettant d’identifier une personne est une donnée à caractère personnel, selon la définition donnée à l’article 4 du RGPD. Le même article 4 dispose que sont des « données biométriques, les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ».
Une image faciale est par nature une donnée biométrique. Mais elle peut perdre cette qualité eu égard à la manière dont elle est traitée et plus encore, à l’usage auquel on la destine :
Dans son considérant 51 (l’équivalent d’un attendu), le RGPD dispose que « le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu'elles sont traitées selon un mode technique spécifique permettant l'identification ou l'authentification unique d'une personne physique ».
Ainsi, pour qu’une photo soit une donnée biométrique, encore faut-il qu’elle soit traitée en tant que telle. Les termes « permettant identification » pourraient laisser penser que si l’identification est possible, même si cet objectif n’a pas été initialement recherché, la dimension biométrique de la photo pourrait être retenue, avec les éventuelles restrictions et obligations formelles qui en résultent. Mais l’article 9.1 du RGPD apporte une précision d’importance : la qualité biométrique d’une donnée doit être appréciée en fonction de l’usage auquel on la destine, en l’espèce « aux fins d’identifier une personne physique de manière unique ».
Une photo publiée par un magazine ou utilisée aux fins de recherche et développement d’applications biométriques ne serait alors pas une donnée biométrique sensible, voire même de donnée à caractère personnel au sens du RGPD, à fortiori si le sujet a donné son consentement éclairé à l’utilisation de son image (au nom du droit à l’image et non du RGPD), ou si la photo a été prise dans un lieu public. On imagine mal qu’avant de publier une photo ou de diffuser un reportage télévisé d’une manifestation de rue, il faille recueillir le consentement de chacun des manifestants (ou flouter leur visage).
La question de la nature personnelle et biométrique d’une photo ne peut donc recevoir une réponse lapidaire. C’est un nouveau champ de contentieux qui s’ouvre aux juristes, en particulier aux avocats, sachant qu’il est souvent possible de plaider une chose et son contraire, en attendant que la jurisprudence se forme. Néanmoins, nous ne pouvons que regretter que l’on focalise sur les risques, les contraintes, les amendes encourues, les obligations de forme, et non sur la souplesse du RGPD, texte certes (relativement) protecteur des droits des individus de contrôler l’utilisation de leurs données, mais dont l’objet est aussi de favoriser le partage desdites données, au bénéficie de l’économie et de la recherche (notamment médicale), et de protéger le citoyen européen des excès des GAFA et autres multinationales. La justice américaine s’était arrogée le droit de condamner BNP Paribas à une amende de 8.9 milliards de dollars pour violation d’embargos des Etats-Unis, là où la CNIL ne pouvait qu’infliger une amende de 150.000 euros à Facebook pour utilisation abusive des données des utilisateurs. Désormais, l’amende pourra atteindre 4 % de son chiffre d’affaires annuel mondial, qui est d’environ 40 milliards de dollars, et ce, pour la seule CNIL française. De quoi réfléchir !
Raymond Taube
Directeur de l'IDP - Formation et conseils (dont RGPD).
Rejoignez Raymond Taube sur Twitter : https://twitter.com/RaymondTaube