Le visage est une donnée biométrique sensible. Selon le RGPD, le traitement de ce type de données est interdit sauf exceptions Première exception possible : la reconnaissance faciale peut être autorisée si les utilisateurs marquent leur consentement. Mais pas n’importe comment. Ce consentement doit être libre, spécifique, informé, éclairé. La simple acceptation de conditions générales ne suffit pas.
Autre exception possible : se prévaloir d’un intérêt public supérieur. Pour cela, il faut un cadre législatif qui n’existe pas, pour l’instant, en Belgique. C’est la raison pour laquelle les services de police ne peuvent pas (encore) utiliser la reconnaissance faciale.
Du côté des entreprises, l’utilisation de la reconnaissance faciale doit s’accompagner de certaines précautions. « Les entreprises qui veulent utiliser des systèmes de reconnaissance faciale ne sont pas tenues de prévenir les autorités, mais elles sont obligées d’effectuer une analyse d’impact préalable. Si, dans le cadre de cette analyse, elles constatent qu’il existe un risque élevé au niveau du traitement des données personnelles – ce qui est fort probable – elles doivent contacter les autorités de protections de données. » L’Autorité peut alors éventuellement les enjoindre d’abandonner le projet. L’Autorité peut également demander des informations complémentaires sur un projet, comme elle l’a fait récemment un Carrefour, qui souhaite utiliser le paiement par empreinte digitale dans un de ses magasins.
