L’image en tant que donnée relevant d’une catégorie particulière : définition
L’image d’une personne, fixée sur une photo ou un enregistrement vidéo, n’est pas automatiquement une donnée relevant d’une catégorie particulière au sens de l’article 9, paragraphe 1, du RGPD. En principe, il s’agit d’une donnée à caractère personnel si elle permet d’identifier une personne directement ou indirectement conformément à l’article 4, point 1, du RGPD, mais toute photographie de visage n’a pas pour autant le statut de donnée biométrique. Le seuil de qualification est plus élevé.
Conformément à l’article 4, point 14, du RGPD, les données biométriques sont des données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que l’image du visage ou les données dactyloscopiques. Trois conditions doivent donc être réunies : un traitement technique spécifique, un lien avec les caractéristiques de la personne et un effet consistant en une identification unique ou une authentification.
En pratique, du point de vue de la conformité, cela signifie que le simple stockage d’un enregistrement de vidéosurveillance, la publication d’une photo ou l’examen manuel d’un contenu ne constituent pas nécessairement un traitement de données sensibles. L’image issue d’un enregistrement ne devient une donnée biométrique au sens de l’article 9 du RGPD que lorsque le responsable du traitement utilise des techniques d’extraction et de comparaison des traits du visage permettant l’identification unique ou l’authentification d’une personne. Cette approche découle du RGPD, du considérant 51 ainsi que des lignes directrices du Comité européen de la protection des données concernant le traitement des données biométriques et les technologies de reconnaissance faciale.
Le seuil de qualification de l’article 9 du RGPD dans le contexte des photos et des vidéos
En pratique, l’évaluation ne repose pas sur le simple fait qu’un visage soit visible sur le support. Ce qui importe, c’est de savoir si le système ou le processus transforme l’image du visage en un ensemble de caractéristiques utilisé pour distinguer une personne déterminée d’autres personnes. Il convient donc de distinguer le traitement de l’image à des fins d’anonymisation du traitement de l’image à des fins d’identification.
Le tableau ci-dessous présente les principaux seuils de qualification.
Situation | S’agit-il de données biométriques au sens de l’article 9 du RGPD ? | Justification
|
|---|---|---|
Enregistrement CCTV classique sans analyse faciale | En principe, non | Il s’agit de données à caractère personnel, mais sans traitement technique spécifique visant une identification unique |
Détection automatique du visage uniquement pour le floutage | En principe, non | La détection faciale sert à localiser une zone de l’image, et non à confirmer l’identité d’une personne précise |
Extraction d’un embedding facial et comparaison avec une base de modèles | Oui | Il existe un traitement technique spécifique aboutissant à une identification unique ou à une authentification |
Vérification faciale 1:1 lors de la connexion ou du contrôle d’accès | Oui | Le traitement sert à confirmer l’identité d’une personne déterminée |
Reconnaissance faciale 1:N dans un ensemble d’enregistrements | Oui | Le traitement sert à retrouver et identifier une personne parmi de nombreux enregistrements |
La distinction essentielle concerne la relation entre la détection faciale et l’identification faciale. La détection répond à la question de savoir si un visage est présent dans l’image et où il se trouve. L’identification répond à la question de savoir à qui appartient ce visage. Ce ne sont pas les mêmes opérations, ni sur le plan technique ni sur le plan juridique.
Importance pour l’anonymisation des photos et des vidéos
Dans les processus d’anonymisation des contenus photo et vidéo, on utilise généralement des modèles de détection fondés sur le deep learning. Ils sont nécessaires pour repérer automatiquement les visages ou les plaques d’immatriculation dans l’image, puis appliquer un masquage, un floutage ou une pixellisation. Un tel modèle d’IA ne conduit toutefois pas nécessairement à un traitement de données biométriques au sens de l’article 9 du RGPD, dès lors qu’il ne sert pas à identifier la personne.
Dans le contexte de Gallio PRO, cela signifie que le floutage automatique des visages et des plaques d’immatriculation poursuit, en principe, un objectif de protection et non d’identification. Le logiciel n’est pas conçu pour reconnaître l’identité des personnes, n’effectue pas de reconnaissance faciale sur le flux vidéo et ne masque pas les silhouettes entières. Il détecte automatiquement uniquement les visages et les plaques d’immatriculation. D’autres éléments, comme les documents, badges, tatouages, logos ou contenus affichés à l’écran, peuvent être masqués manuellement dans l’éditeur.
Du point de vue du DPO, il est essentiel de documenter que la chaîne de traitement n’inclut pas la création de gabarits biométriques, la comparaison de caractéristiques faciales avec une base de données ni des fonctions d’identification des personnes. Cela réduit le risque d’entrer dans le champ de l’article 9 du RGPD.
Critères techniques d’évaluation du processus de traitement
L’évaluation de la conformité ne doit pas s’arrêter à la description marketing des fonctionnalités du système. Il faut vérifier quelles opérations techniques sont effectivement réalisées sur l’image et quels artefacts de données sont enregistrés. Dans la pratique de l’audit, les questions suivantes sont utiles.
- Le système crée-t-il des vecteurs de caractéristiques faciales, par exemple un embedding 128D, 512D ou équivalent ?
- Ces vecteurs sont-ils enregistrés, mis en cache ou transmis à d’autres services ?
- Un appariement 1:1 ou une recherche 1:N sont-ils réalisés ?
- Le résultat du processus est-il « visage détecté dans la zone X,Y,W,H » ou plutôt « il s’agit de la personne A avec une probabilité P » ?
- Les journaux, métadonnées ou données de télémétrie contiennent-ils des informations permettant de reconstituer une identification ?
Si la réponse aux trois premières questions est affirmative, il existe généralement de forts indices permettant de conclure à un traitement de données biométriques. Si le système s’arrête à la détection et au masquage de la zone du visage, la qualification peut être différente.
Paramètres et métriques clés dans les systèmes de floutage des visages
Dans les projets d’anonymisation, il faut mesurer l’efficacité de la détection, car c’est elle qui détermine le niveau de risque de divulgation de l’image d’une personne. Les paramètres techniques ne définissent pas en eux-mêmes le statut juridique des données, mais ils influencent l’évaluation de l’adéquation des mesures de sécurité au regard de l’article 5, paragraphe 1, point c), et de l’article 32 du RGPD.
Paramètre | Signification pratique | Interprétation habituelle
|
|---|---|---|
Recall de détection | Pourcentage de visages réellement détectés par le modèle | Un recall faible augmente le risque de laisser des visages non floutés |
Precision de détection | Pourcentage de détections correctes parmi l’ensemble des détections | Une precision faible augmente le nombre de masques inutiles |
Taux de faux négatifs | Pourcentage de visages non détectés | Indicateur critique du point de vue de la vie privée |
IoU - Intersection over Union | Correspondance entre la zone détectée et la zone de référence | Une boîte trop petite peut ne pas couvrir l’ensemble du visage |
Temps de traitement par fichier ou par image | Influe sur la planification du processus et la capacité de l’environnement | Important dans les environnements on-premise et pour de gros volumes |
Pour les fonctions d’anonymisation, un faible taux de faux négatifs est plus important que l’accuracy de classification. En pratique, cela signifie une préférence pour des réglages du modèle permettant de détecter davantage de visages, même au prix de certains faux positifs, à condition que le contenu puisse être vérifié avant publication ou diffusion.
Références normatives et divergences d’interprétation
L’évaluation doit se fonder sur les sources primaires. Les plus importantes sont le RGPD — règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, applicable depuis le 25 mai 2018 — notamment l’article 4, points 1 et 14, l’article 9 ainsi que le considérant 51. Les lignes directrices du CEPD et les positions des autorités de contrôle en matière de reconnaissance faciale sont également pertinentes.
Dans la doctrine et dans la pratique des autorités, il existe un consensus sur le fait que toute image de visage n’est pas une donnée relevant d’une catégorie particulière. Les divergences apparaissent pour les systèmes intermédiaires qui analysent le visage de manière très détaillée sans comporter formellement de module d’identification. Dans ce type de cas, il convient d’examiner la finalité réelle du traitement, l’architecture du système, les journaux, l’étendue des métadonnées et la possibilité d’une réutilisation ultérieure des caractéristiques faciales.
En cas de communication d’enregistrements à des tiers, par exemple en réponse à des demandes, pour publication ou à des fins probatoires, l’approche la plus sûre consiste à flouter au préalable les visages de toutes les personnes qui ne relèvent pas des exceptions prévues par la loi pour la diffusion de l’image. Cela réduit le risque d’atteinte à la vie privée et limite la réutilisation secondaire du contenu à des fins d’identification biométrique.