Les données biométriques dans un contenu vidéo constituent une catégorie particulière de données à caractère personnel lorsqu’elles sont traitées à l’aide de procédés techniques spécifiques afin d’identifier de manière univoque une personne physique. Cette interprétation découle de l’article 4, point 14, et de l’article 9, paragraphe 1, du règlement (UE) 2016/679, c’est-à-dire du RGPD. En pratique, cela signifie qu’un simple enregistrement du visage ne constitue pas toujours, à lui seul, une donnée biométrique, mais qu’il peut le devenir lorsque l’image du visage est analysée par un algorithme dans le but de reconnaître ou de confirmer l’identité d’une personne déterminée.
Données biométriques – RGPD art. 9 (vidéo) : définition
Le RGPD définit les données biométriques comme des données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique. Dans le cas de la vidéo, il s’agit le plus souvent de l’image du visage, de la géométrie faciale, de points anatomiques caractéristiques, du schéma de la démarche ou d’autres caractéristiques pouvant être extraites d’un enregistrement.
Deux conditions sont ici essentielles. Premièrement, il doit exister un traitement technique allant au-delà du simple enregistrement ou de la simple restitution de l’image. Deuxièmement, le traitement doit avoir pour finalité l’identification univoque d’une personne. C’est pourquoi un enregistrement classique issu d’une caméra de surveillance n’implique pas toujours des données biométriques. En revanche, si le système extrait un vecteur de caractéristiques faciales, le compare à une base de modèles ou permet de rechercher une personne précise à partir de son visage, on entre alors dans le champ de l’article 9 du RGPD.
Le Comité européen de la protection des données a indiqué que la seule image du visage ne constitue pas automatiquement une donnée relevant d’une catégorie particulière. La qualification dépend du contexte et de la finalité du traitement. Cette distinction revêt une grande importance pour l’anonymisation des photos et des enregistrements. Un système utilisé uniquement pour détecter un visage afin de le flouter n’a pas nécessairement pour effet d’identifier une personne. En revanche, un système utilisé pour la reconnaissance faciale conduit, lui, à une telle identification.
Interdiction de traiter des données biométriques dans la vidéo
L’article 9, paragraphe 1, du RGPD pose le principe de l’interdiction du traitement des catégories particulières de données à caractère personnel, y compris les données biométriques utilisées pour identifier de manière univoque une personne physique. Pour le responsable du traitement de contenus vidéo, cela signifie que la reconnaissance faciale, l’appariement d’un visage avec une base de données ou tout autre traitement biométrique conduisant à une identification univoque exige une base juridique spécifique. Une invocation générale de la sécurité ou de la commodité opérationnelle ne suffit pas.
En pratique, il convient de distinguer trois situations :
- la simple captation de l’image – elle ne signifie pas toujours un traitement de données biométriques ;
- la détection de visages à des fins d’anonymisation – en principe, elle sert à localiser un objet dans l’image, et non à identifier une personne ;
- la reconnaissance faciale – en principe, elle relève de l’article 9 du RGPD lorsqu’elle conduit à une identification univoque.
Cette distinction est particulièrement importante lors de l’évaluation des outils d’anonymisation vidéo. Un modèle de deep learning peut être nécessaire pour détecter automatiquement des visages ou des plaques d’immatriculation sur des photos et des vidéos, mais le simple recours à un réseau neuronal ne signifie pas encore un traitement de données biométriques au sens de l’article 9. Ce qui compte, c’est la finalité du système et la manière dont le résultat de l’analyse est exploité.
Exceptions à l’interdiction – quand le traitement peut être autorisé
L’interdiction prévue à l’article 9, paragraphe 1, du RGPD n’est pas absolue. L’article 9, paragraphe 2, prévoit une liste fermée d’exceptions. Dans le contexte des enregistrements vidéo, plusieurs fondements sont le plus souvent examinés, mais chacun exige une interprétation stricte ainsi qu’une documentation appropriée.
Exception prévue à l’art. 9, § 2 du RGPD | Portée pratique pour la vidéo | Observations de conformité
|
|---|---|---|
Consentement explicite de la personne | Peut légaliser la reconnaissance faciale | Doit être libre, spécifique, éclairé et révocable |
Intérêt public important fondé sur le droit de l’UE ou le droit national | Possible dans les secteurs réglementés | Exige une base légale précise et des garanties appropriées |
Constatation, exercice ou défense de droits en justice | Peut avoir une importance ponctuelle pour des éléments de preuve | Ne justifie pas le déploiement permanent d’un système de reconnaissance faciale |
Intérêt public majeur prévu par la loi | Possible uniquement en présence d’un fondement juridique explicite | Ne peut pas résulter de la seule décision du responsable du traitement |
Dans les processus ordinaires de publication d’enregistrements, de diffusion de supports de formation, de documentation d’événements ou de mise à disposition de vidéos à des tiers, la solution la plus sûre consiste à éviter le traitement biométrique et à procéder en amont à l’anonymisation des visages.
Importance pour l’anonymisation des photos et des enregistrements vidéo
Dans le domaine de la protection de la vie privée, l’objectif de l’anonymisation est de limiter ou d’éliminer la possibilité d’identifier une personne visible sur le support. En pratique, on utilise le plus souvent le floutage ou le masquage des visages ainsi que des plaques d’immatriculation. Un tel processus réduit le risque de violation du RGPD lors d’une utilisation ultérieure de l’enregistrement, par exemple en cas de publication, de transmission à un prestataire, d’usage à des fins de formation ou d’archivage de travail.
Techniquement, le floutage automatique des visages repose généralement sur des modèles d’apprentissage automatique, le plus souvent de deep learning. Le modèle apprend d’abord à détecter les zones correspondant à des visages sur la base d’un ensemble d’entraînement, puis localise le visage dans l’image et transmet ses coordonnées au module de masquage. Il s’agit d’un processus de détection d’objet, et pas nécessairement d’identification d’une personne. Du point de vue de la conformité, la différence est essentielle.
Dans l’environnement Gallio PRO, l’automatisation concerne les visages et les plaques d’immatriculation. Le logiciel n’effectue pas d’anonymisation en temps réel et n’est pas destiné à l’anonymisation d’un flux vidéo. Il ne floute pas l’ensemble des silhouettes. Il ne détecte pas automatiquement les logos, les tatouages, les badges nominatifs, les documents ni les images affichées sur les écrans de contrôle. Ces éléments peuvent être masqués manuellement dans l’éditeur. Cela est important dans l’analyse des risques, car le responsable du traitement doit évaluer si, au-delà des visages et des plaques, d’autres identifiants apparaissent sur le support.
Obligations du responsable du traitement lors du traitement vidéo
Si un contenu vidéo peut conduire à l’identification de personnes, le responsable du traitement doit mettre en œuvre les principes prévus aux articles 5 et 25 du RGPD. En pratique, cela implique une approche de type privacy by design et privacy by default. En cas de traitement potentiellement biométrique, les obligations sont encore plus étendues.
- définir la finalité du traitement et la base juridique avant le lancement du processus ;
- évaluer si l’analyse du visage sert exclusivement à la détection pour anonymisation ou également à l’identification ;
- minimiser l’étendue des données et la durée de conservation des enregistrements ;
- mettre en place des mesures techniques et organisationnelles adaptées au risque ;
- réaliser une AIPD lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ;
- encadrer l’accès aux contenus non anonymisés ;
- assurer la responsabilité démontrée, y compris la documentation des décisions et de la configuration du processus d’anonymisation.
Dans le cas d’outils on-premise, un avantage supplémentaire réside dans la possibilité de conserver les fichiers au sein de l’infrastructure propre de l’organisation. Cela limite l’exposition des données à des transferts vers des services externes. Toutefois, le seul mode de déploiement ne dispense pas des obligations découlant du RGPD.
Paramètres et métriques clés dans le processus d’anonymisation vidéo
L’efficacité de l’anonymisation vidéo ne devrait pas être évaluée uniquement de manière descriptive. En pratique, il est utile de mesurer la qualité de la détection et le risque de laisser subsister des images identifiables. Les paramètres doivent être documentés pour chaque type de contenu, par exemple la vidéosurveillance, les caméras-piétons, les enregistrements mobiles ou les photos de presse.
Paramètre | Signification | Importance en matière de conformité
|
|---|---|---|
Recall de détection | Pourcentage de visages réels détectés par le système | Un recall faible augmente le risque de laisser des visages non anonymisés |
Precision de détection | Pourcentage de détections correctes parmi l’ensemble des détections | Une precision faible dégrade la qualité du contenu, mais affecte généralement moins la vie privée qu’un recall faible |
False Negative Rate | Pourcentage de visages omis | Indicateur clé du risque de divulgation de données à caractère personnel |
IoU – Intersection over Union | Précision du positionnement du cadre de détection par rapport à l’objet | Un IoU trop faible peut laisser des parties du visage hors du masque |
Temps de traitement par fichier | Performance du processus par lots | Influe sur la planification opérationnelle sans déterminer à lui seul la conformité juridique |
Si une organisation utilise une anonymisation automatique, il est recommandé d’adopter une procédure de contrôle qualité après traitement. En pratique, cela signifie un échantillonnage manuel, des règles d’escalade et un masquage complémentaire des éléments non détectés automatiquement.
Références normatives et interprétatives
Pour évaluer les données biométriques dans la vidéo, il convient de s’appuyer avant tout sur les textes juridiques et les lignes directrices des autorités européennes. Les principaux points de référence sont les suivants :
- Règlement (UE) 2016/679 – art. 4, point 14, art. 9, art. 25, art. 35 ;
- CEPD – Guidelines 3/2019 on processing of personal data through video devices, version adoptée après consultation en 2020 ;
- la jurisprudence de la CJUE relative à l’interprétation large des données à caractère personnel et de l’identifiabilité ;
- les lignes directrices nationales des autorités de contrôle, notamment en matière de publication de l’image et de minimisation des données.
Au niveau pratique, il faut également garder à l’esprit que l’obligation d’anonymiser les visages lors de la publication ou de la diffusion de contenus peut résulter non seulement du RGPD, mais aussi des règles relatives au respect de la personnalité et du droit à l’image. Les exceptions concernent généralement les personnes publiques, l’image d’une personne apparaissant comme élément accessoire d’un ensemble tel qu’un rassemblement, un paysage ou un événement public, ainsi que les situations dans lesquelles la personne a reçu une rémunération convenue pour poser. Chacun de ces cas requiert toutefois une analyse juridique distincte.