Le Bureau du Commissaire à l’Information sanctionne le Chelmer Valley High School pour l’utilisation de la reconnaissance faciale sans évaluation d’impact sur la protection des données
Le régulateur des données au Royaume-Uni a récemment pris des mesures contre un établissement secondaire dans l’Essex pour avoir mis en œuvre illégalement une technologie de reconnaissance faciale pour les paiements sans espèces à la cantine.
Conformément au Règlement Général sur la Protection des Données (RGPD) au Royaume-Uni, le Bureau du Commissaire à l’Information (ICO) a le pouvoir d’émettre des réprimandes officielles, ainsi que des amendes et d’autres avis d’application, lorsque des organisations enfreignent la loi.
Étant donné les risques élevés liés à la protection des données associés au traitement de données biométriques sensibles, les organisations souhaitant utiliser la reconnaissance faciale pour traiter les informations des enfants doivent réaliser des évaluations d’impact sur la protection des données (DPIA) afin d’identifier et de gérer les risques liés à ce système.
Malgré cette exigence légale, l’ICO a constaté que le Chelmer Valley High School à Chelmsford avait commencé à utiliser le système de reconnaissance faciale, fourni par CRB Cunninghams, en mars 2023 sans avoir jamais réalisé de DPIA. Cela a signifié qu’aucune évaluation préalable des risques concernant les informations des 1 200 élèves fréquentant l’établissement n’a été effectuée.
« Une DPIA est exigée par la loi – ce n’est pas une simple formalité. C’est un outil essentiel qui protège les droits des utilisateurs, assure la responsabilité et incite les organisations à réfléchir à la protection des données dès le début d’un projet », a déclaré Lynne Currie, responsable de l’innovation en matière de confidentialité à l’ICO.
« Gérer correctement les informations des personnes dans un environnement scolaire est tout aussi crucial que la gestion de la nourriture elle-même. Nous attendons de toutes les organisations qu’elles effectuent les évaluations nécessaires lors de l’introduction d’une nouvelle technologie pour atténuer les risques liés à la protection des données et garantir leur conformité avec les lois sur la protection des données. »
Currie a ajouté que bien que l’ICO ne souhaite pas décourager les écoles d’adopter de nouvelles technologies, la protection de la vie privée et des droits des données des enfants doit rester une priorité.
Le régulateur a également constaté que l’école n’avait pas obtenu de consentement clair pour traiter les informations biométriques des élèves et n’avait pas consulté ces derniers ni leurs parents avant de mettre en œuvre la technologie.
Selon la réprimande, bien qu’une lettre ait été envoyée aux parents en mars 2023 avec un formulaire à retourner s’ils ne souhaitaient pas que leur enfant participe, il n’y avait pas d’option pour donner son consentement au programme, ce qui signifie que l’école s’appuyait à tort sur un consentement présumé jusqu’en novembre 2023.
L’ICO a ajouté que, puisque la plupart des élèves étaient suffisamment âgés pour donner leur propre consentement (selon la loi britannique sur la protection des données, l’âge de consentement pour le traitement des données personnelles d’un enfant est de 13 ans), l’« option de retrait parental privait les élèves de la possibilité d’exercer leurs droits et libertés ».
De plus, l’école n’a pas consulté son propre délégué à la protection des données, ce que l’ICO estime qu’il aurait pu aider à clarifier les problèmes de conformité avant le début du traitement.
Pour remédier à ces problèmes, l’ICO a indiqué que Chelmer Valley devait réaliser une DPIA et intégrer les résultats dans les plans de projet avant tout nouveau traitement, notant que l’évaluation devrait « prendre en compte la nécessité et la proportionnalité de la restauration de la cantine sans espèces, ainsi que d’atténuer des risques spécifiques et supplémentaires tels que le biais et la discrimination ».
Il a été ajouté que l’école avait depuis complété une DPIA pour le système de reconnaissance faciale en novembre 2023, qui a ensuite été soumise à l’ICO par son DPO, et avait également pris des mesures correctives pour obtenir un consentement explicite des élèves suffisamment âgés pour le donner.
Cependant, il a également été noté que la réprimande n’était pas juridiquement contraignante et que le suivi de ces recommandations était volontaire pour l’école.
« Si à l’avenir l’ICO a des raisons de soupçonner que Chelmer Valley High School ne respecte pas la loi sur la protection des données, tout manquement de la part de Chelmer Valley à rectifier les infractions énoncées dans cette réprimande (ce qui pourrait être fait en suivant les recommandations du commissaire ou en prenant d’autres mesures appropriées) pourrait être pris en compte comme un facteur aggravant dans la décision de prendre des mesures d’application », a-t-il déclaré.
Le régulateur avait précédemment déclaré en 2021 que les écoles utilisant des systèmes de reconnaissance faciale devraient envisager des moyens moins intrusifs pour permettre aux élèves de payer leurs repas, tandis que divers groupes de campagne – y compris Liberty et Defend Digital Me – soutiennent depuis longtemps que la reconnaissance faciale et d’autres technologies d’identification biométrique n’ont pas leur place dans les écoles.
L’ancien commissaire aux biométriques pour l’Angleterre et le Pays de Galles, Fraser Sampson, a également déclaré qu’il y avait des risques évidents liés à l’utilisation de données et de technologies biométriques dans les établissements scolaires, ce qui pourrait normaliser la surveillance auprès des enfants.
Le site Computer Weekly a tenté de contacter Chelmer Valley, mais n’a pas reçu de réponse avant la publication de cet article.
