Comment rester conforme aux réglementations sur les données biométriques
Table des matières:
La technologie de reconnaissance faciale basée sur l'IA est un outil de plus en plus populaire pour les organisations qui cherchent à rationaliser les contrôles d'accès et à améliorer la sécurité. Mais comme Serco Leisure l’a découvert récemment, les régulateurs de la protection des données ciblent ces déploiements et font l’objet d’un examen plus approfondi. Les évaluations des risques liés à la vie privée et d'autres bonnes pratiques deviennent rapidement indispensables pour garantir que les déploiements restent du bon côté de la loi.
Face / Off
Les régulateurs du Bureau du commissaire à l'information (ICO) ont pénalisé Serco Leisure pour ne pas avoir proposé une alternative à la numérisation des visages et des empreintes digitales des employés pour pointer à l'entrée et à la sortie du travail. Des moyens moins intrusifs tels que des cartes d'identité ou des porte-clés auraient pu facilement être utilisés à la place, a statué l'ICO.
Plus de 2,000 38 employés de XNUMX établissements de loisirs ont été obligés de soumettre des données biométriques pour le contrôle des présences. Serco Leisure n'a pas réussi à démontrer que son utilisation des technologies biométriques était « nécessaire et proportionnée » pour enregistrer les présences des travailleurs.
« Les données biométriques sont entièrement propres à une personne, de sorte que les risques de préjudice en cas d'inexactitudes ou de faille de sécurité sont bien plus importants : vous ne pouvez pas réinitialiser le visage ou les empreintes digitales d'une personne comme vous pouvez réinitialiser un mot de passe », John Edwards, commissaire à l'information du Royaume-Uni. , dit dans un déclaration. "Serco Leisure n'a pas pleinement pris en compte les risques avant d'introduire la technologie biométrique pour surveiller la présence du personnel, donnant la priorité aux intérêts commerciaux plutôt qu'à la vie privée de ses employés."
L'ICO a en outre reproché à Serco de ne pas avoir fourni aux travailleurs mal à l'aise avec les contrôles biométriques un mécanisme leur permettant de se retirer du système. Serco Leisure, Serco Jersey et sept fiducies communautaires associées ont reçu l'ordre d'arrêter le traitement des données biométriques destinées à surveiller la présence des employés au travail. Les entreprises ont en outre reçu l'ordre de détruire toutes les données biométriques qu'elles ne sont pas légalement tenues de conserver.
Les sanctions ont coïncidé avec la publication par l'ICO de nouvelle orientation sur la manière dont les organisations peuvent traiter les données biométriques en toute légalité.
Contrôle d'accès
La technologie de reconnaissance faciale gagne du terrain dans les entreprises pour contrôler l'accès à des emplacements sécurisés et authentifier les utilisateurs via des services de vérification d'identité, entre autres. Mais les données biométriques, contrairement aux mots de passe, sont intrinsèquement liées à un individu, de sorte que l’impact de leur exposition en cas de violation de données peut être plus grave et plus durable.
Reconnaissant la protection accrue de la vie privée qu'elle mérite, l'Union européenne Règlement Général de Protection des Données (RGPD) établit des règles plus strictes régissant le traitement des données biométriques, y compris la limitation de la finalité comme garantie contre la dérive de la mission, les exigences de transparence et de consentement.
Obstacles au déploiement
Le déploiement de technologies biométriques sur le lieu de travail peut être compatible avec les exigences réglementaires, mais seulement à condition qu'elles soient introduites après une évaluation complète de l'impact sur la protection des données (DPIA), selon les experts.
Jon Bartley, associé et responsable du groupe consultatif sur les données du cabinet d'avocats international RPC, déclare à ISMS.online qu'il est « essentiel d'avoir un processus clair pour l'intégration des technologies » qui impliquent l'utilisation de données biométriques, telles que les analyses d'empreintes digitales ou d'iris.
« Du point de vue de la législation sur la protection des données, les entreprises doivent être conscientes des obstacles au déploiement », explique-t-il. « Par exemple, selon le cas d’utilisation de la technologie, il peut être difficile d’établir une base légale pour le traitement des données biométriques à moins que les personnes concernées n’aient réellement le choix d’accepter la technologie ou de choisir une alternative. »
Puisqu’elles peuvent être utilisées pour identifier de manière unique des individus, les données biométriques entrent dans une catégorie particulière et sont donc soumises à des règles de traitement des données plus strictes.
"Ces données présentent un risque plus élevé et une condition supplémentaire doit être remplie pour légitimer le traitement, ce qui peut être difficile en raison du nombre et de la portée limités de ces conditions", explique Bartley.
L'IA augmente le risque
Sarah Pearce, associée chez les avocats Hunton Andrews Kurth et experte en confidentialité des données, affirme que la décision Serco Leisure de l'ICO montre pourquoi les entreprises devraient consulter des professionnels du droit sur la conformité réglementaire. Outre la loi sur la protection des données, la reconnaissance faciale qui s'appuie sur la technologie de l'IA impose de se conformer à un nombre croissant de lois régissant cet espace technologique émergent, a-t-elle déclaré à ISMS.online.
Le récemment ratifié Loi de l'UE sur l'IA établit un cadre juridique fondé sur les risques pour la gouvernance de l’IA, qui qualifie l’utilisation de l’IA en conjonction avec les technologies de reconnaissance faciale de « risque élevé ».
Cela signifierait que, pour se conformer pleinement à cette loi, les entreprises devraient « conférer une surveillance humaine au système d’IA, mener une évaluation d’impact sur les droits fondamentaux (qui n’est pas sans rappeler une AIPD en vertu du RGPD) et informer les employés et les entreprises. comité d'entreprise le cas échéant », explique-t-elle.
La désignation à haut risque s’applique aux déploiements de technologies biométriques destinés aux clients et aux employés en conjonction avec l’IA.
Bartley de RPC ajoute : « L'utilisation de la technologie de reconnaissance faciale pour suivre les employés peut être classée comme une utilisation de l'IA à haut risque en vertu de la loi sur l'IA, ce qui déclenche diverses obligations telles que la surveillance humaine, la surveillance, la tenue de dossiers et la consultation des employés. »
Avantages opérationnels
Ashley Avery, associée du cabinet d'avocats britannique Foot Anstey, a déclaré à ISMS.online qu'elle avait enregistré une « augmentation significative » du volume de requêtes des clients cherchant à déployer une technologie biométrique. Ces organisations en voient les avantages commerciaux à des fins de sécurité ou dans le cadre d'une offre client, mais se « méfient » des risques liés à la confidentialité des données, explique Avery.
"Les directives publiées par l'ICO sont utiles car elles détaillent les points à prendre en compte avant d'adopter une telle technologie et comment les entreprises peuvent démontrer leur conformité à la législation sur la confidentialité des données", ajoute-t-elle.
Cadres et normes – tels que ISO 27001 – peut aider les entreprises à se positionner pour se mettre en conformité lors du déploiement de technologies de reconnaissance faciale. La norme ISO 27001 propose une approche systématique de la gestion et de la protection des informations sensibles, y compris les données traitées par les technologies de reconnaissance faciale.
Les orientations de l'ICO mettent fortement l'accent sur l'obligation de réaliser des DPIA.
« D'après notre expérience, les DPIA sont un outil précieux pour identifier les risques liés à la vie privée, ce qui signifie que les entreprises peuvent mettre en place des mesures pour minimiser ces risques dès le départ – ce qui est crucial lors du traitement de données aussi sensibles », conclut Avery.
Les entreprises souhaitant déployer des technologies biométriques doivent prendre en compte les éléments suivants :
⦁ Envisagez des options d'authentification ou de contrôle d'accès moins intrusives
⦁ Suivez les nouvelles directives biométriques de l'ICO
⦁ Réaliser une DPIA rigoureuse
⦁ Consulter les parties prenantes (clients, partenaires et employés) avant le déploiement
⦁ Fournir des informations claires et transparentes sur la manière dont les données biométriques seront utilisées
⦁ Mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité et l'intégrité des données biométriques – en utilisant des normes comme ISO 27001 le cas échéant
