Violation de données biométriques : définition
Une violation de données biométriques est un incident de sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, de manière accidentelle ou illicite, à des données biométriques traitées en tant que données à caractère personnel. Le fondement normatif repose sur l’article 4, point 12, du RGPD pour la notion de violation de données à caractère personnel, ainsi que sur l’article 4, point 14, du RGPD pour la notion de données biométriques. Conformément au RGPD, les données biométriques sont des données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, comme l’image du visage ou les données dactyloscopiques.
Dans le contexte des photos et des vidéos, cette notion concerne avant tout les contenus permettant de reconnaître une personne à partir de son visage, ainsi que les dérivés techniques tels que l’embedding facial, le vecteur de caractéristiques, la carte de points caractéristiques ou le gabarit de comparaison utilisé par un système de reconnaissance. Une simple image du visage ne constitue pas toujours une donnée biométrique au sens de l’article 9 du RGPD. Elle le devient lorsqu’elle est traitée par des moyens techniques spécifiques en vue de l’identification ou de l’authentification univoque d’une personne. Cette distinction est essentielle pour qualifier l’incident, évaluer le risque et déterminer les obligations de notification.
Dans la pratique de l’anonymisation des photos et des vidéos, la violation peut concerner aussi bien le contenu source avant floutage du visage que les données intermédiaires générées par les algorithmes de vision par ordinateur. Si une organisation entraîne ou utilise un modèle de deep learning pour détecter les visages, elle crée un pipeline de traitement comprenant des images vidéo, des détections, des coordonnées de cadres, des identifiants d’objets et des horodatages. Si ce pipeline sert uniquement à détecter et à flouter les visages, et non à reconnaître une identité, toutes les opérations ne relèveront pas nécessairement du traitement de catégories particulières de données. Toutefois, la fuite d’enregistrements non anonymisés contenant des visages peut toujours constituer une violation de données à caractère personnel présentant un risque élevé pour les personnes concernées.
Comment qualifier une violation dans des contenus photo et vidéo
La qualification d’un incident exige de distinguer trois niveaux : les données d’entrée, les données intermédiaires et la finalité du traitement. C’est précisément cette distinction qui détermine si l’on est en présence d’une violation de données à caractère personnel classiques ou d’une violation de données biométriques en tant que catégorie particulière de données au sens de l’article 9 du RGPD.
Dans les contenus photo et vidéo, on analyse le plus souvent les cas suivants :
Situation | Nature des données | Observations de conformité
|
|---|---|---|
Fuite d’un enregistrement non anonymisé avec visages visibles | Données à caractère personnel, pas toujours données biométriques | L’évaluation dépend de la finalité et de la technique de traitement |
Fuite d’une base d’embeddings faciaux utilisés pour l’identification | Données biométriques | Probabilité élevée de risque élevé |
Accès non autorisé à un modèle reliant des visages à des identités | Peut inclure des données biométriques et des secrets du système | Il convient d’évaluer la possibilité de reconstitution ou d’usage abusif des gabarits |
Publication erronée d’un contenu avant floutage des visages ou des plaques d’immatriculation | Données à caractère personnel, parfois données biométriques | Point important pour la publication d’images de vidéosurveillance et de photos dans l’espace public |
Le Comité européen de la protection des données, dans ses Lignes directrices 01/2022 relatives au droit d’accès, indique qu’une photographie n’est pas toujours une donnée biométrique, mais qu’elle peut le devenir selon l’usage qui en est fait. Par ailleurs, les Lignes directrices 05/2022 sur l’utilisation des technologies de reconnaissance faciale dans le domaine répressif décrivent ce domaine comme nécessitant une évaluation stricte de la finalité, de la proportionnalité et de la base juridique. Pour le DPO, cela signifie qu’un incident ne doit pas être décrit uniquement par la question « une image de visage a-t-elle fuité ? », mais aussi par « l’organisation créait-elle ou conservait-elle des gabarits destinés à une identification univoque ? ».
Importance pour l’anonymisation des photos et des vidéos
Dans le processus d’anonymisation des photos et des vidéos, l’objectif est de limiter le risque d’identification d’une personne par la suppression irréversible ou pratiquement irréversible des éléments identifiants. En pratique, Gallio PRO floute automatiquement les visages et les plaques d’immatriculation dans les contenus enregistrés, et non dans un flux en direct. Cela réduit la surface de risque, sans pour autant éliminer les menaces lors de l’importation, du traitement, de l’exportation et de l’archivage des fichiers sources.
Pour le floutage automatique des visages, on utilise des modèles de deep learning de détection d’objets ou de segmentation. Le modèle doit avoir été entraîné au préalable sur des jeux de données appropriés contenant des visages annotés. Ensuite, ce modèle détecte la localisation des visages dans les images et transmet les coordonnées au module de flou ou de masquage. Si le système n’associe pas l’identité d’un visage détecté à une personne précise et ne le compare pas à une base de gabarits, sa fonction est en principe de détection et non d’identification. Malgré cela, le contenu d’entrée contient toujours des données à caractère personnel et sa fuite peut nécessiter une notification de violation de données.
Le problème pratique est que même une courte fenêtre de temps entre l’acquisition du fichier et son anonymisation constitue une période de risque accru. La violation peut résulter d’une mauvaise configuration des partages réseau, de privilèges excessifs accordés à un opérateur, de l’exportation d’un fichier intermédiaire, d’une sauvegarde non chiffrée ou de la publication erronée d’une version antérieure à l’anonymisation.
Obligations de notification après une violation de données biométriques
Le RGPD impose des obligations dépendant du niveau de risque pour les droits et libertés des personnes physiques. Le responsable du traitement évalue la probabilité et la gravité des conséquences de l’incident, et non le seul fait qu’une violation technique se soit produite. En cas de données biométriques, le seuil de risque est généralement plus élevé, car il n’est pas possible de « modifier » efficacement un gabarit biométrique comme on changerait un mot de passe.
Les principales obligations sont les suivantes :
- article 33 du RGPD : notification de la violation à l’autorité de contrôle dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, sauf s’il est peu probable que la violation engendre un risque pour les droits et libertés des personnes physiques ;
- article 34 du RGPD : information de la personne concernée lorsque la violation est susceptible d’engendrer un risque élevé pour ses droits et libertés ;
- article 33, paragraphe 5, du RGPD : documentation de toute violation, de ses circonstances, de ses effets et des mesures correctrices prises.
Pour évaluer le risque élevé, les Lignes directrices du Groupe de travail « Article 29 » WP250 rev.01 sur la notification des violations, ensuite reprises par le CEPD, sont utiles. Pour les données biométriques, des conséquences telles que l’usurpation d’identité, le profilage secondaire, le suivi non autorisé d’une personne entre différents systèmes ou la perte durable de contrôle sur un identifiant biométrique unique revêtent une importance particulière.
Paramètres clés pour l’évaluation de l’incident
Dans un environnement de traitement d’image, une simple liste de fichiers ne suffit pas pour évaluer une violation de données biométriques ou une violation de données personnelles. Des paramètres techniques et opérationnels mesurables sont nécessaires. Ils facilitent l’évaluation de l’ampleur de l’exposition ainsi que de l’efficacité des mesures correctrices.
Paramètre | Signification | Exemple d’utilisation
|
|---|---|---|
Nombre d’enregistrements / de fichiers | Ampleur de l’incident | 12 400 photos, 380 vidéos |
Nombre de personnes pouvant être identifiées | Impact réel sur les personnes concernées | estimation fondée sur un échantillon ou sur des métadonnées |
Recall de détection des visages | Pourcentage de visages détectés par le modèle | les visages non détectés augmentent le risque de divulgation |
Taux de faux négatifs | Pourcentage de visages omis | élément clé pour le contrôle qualité de l’anonymisation |
MTTD / MTTR | Délai de détection et de résolution de l’incident | indicateurs de sécurité opérationnelle |
Durée d’exposition | Temps pendant lequel les données sont restées accessibles | par ex. 9 heures d’accès public |
Statut du chiffrement | Indique si les données étaient protégées par des moyens cryptographiques | important au regard de l’article 34, paragraphe 3, point a), du RGPD |
Pour les équipes techniques, un indicateur simple d’exposition opérationnelle peut être utile :
Risk Exposure Index = nombre de personnes x durée d’exposition x coefficient de réversibilité de l’identification
Il ne s’agit pas d’une formule normative, mais d’un outil interne pratique pour hiérarchiser la réponse. Le coefficient de réversibilité de l’identification devrait être plus élevé pour des vidéos brutes contenant des visages que pour un contenu ayant fait l’objet d’un floutage efficace.
Mesures correctrices et préventives
Après un incident, il ne suffit pas de couper l’accès ; il faut aussi réduire le risque de réidentification à partir de contenus photo et vidéo. Les actions doivent couvrir à la fois la couche de sécurité de l’information et le processus d’anonymisation lui-même.
Les mesures les plus couramment appliquées sont les suivantes :
- retrait immédiat ou blocage de l’accès aux fichiers non anonymisés ;
- vérification que la bonne version du fichier, après floutage des visages et des plaques d’immatriculation, a bien été publiée ;
- nouveau traitement du contenu avec contrôle qualité de la détection des visages et des plaques d’immatriculation ;
- chiffrement des données au repos et en transit conformément à la politique de sécurité ;
- séparation des environnements d’entraînement, de test et de production ;
- réduction au minimum de la durée de conservation des fichiers sources avant anonymisation ;
- journalisation des accès fondée sur les événements système, sans enregistrer les données à caractère personnel elles-mêmes ;
- tests d’efficacité du processus d’anonymisation sur un échantillon de contrôle.
Dans un environnement on-premise, le contrôle des dépôts locaux, des sauvegardes et des droits des administrateurs est particulièrement important. Si l’organisation utilise Gallio PRO, il convient de rappeler que le logiciel floute automatiquement uniquement les visages et les plaques d’immatriculation. D’autres éléments, tels que les documents, les tatouages, les logos ou l’image affichée sur un écran, peuvent nécessiter une intervention manuelle dans l’éditeur. Cette limite doit être prise en compte dans l’analyse de risque et dans la procédure de publication des contenus.
Références normatives et sources
La définition et les obligations doivent s’appuyer sur les textes sources et les lignes directrices officielles des autorités européennes. Dans le domaine des photos et des vidéos, les textes juridiques et les lignes directrices interprétatives relatifs aux données biométriques, aux violations de données et à la reconnaissance faciale sont les plus importants.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 – RGPD, article 4, point 12, article 4, point 14, article 9, article 33, article 34
- WP29, Guidelines on Personal data breach notification under Regulation 2016/679, WP250 rev.01, 6 février 2018, approuvées par le CEPD
- CEPD, Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement, version adoptée le 26 avril 2023 – importantes pour comprendre la technique de reconnaissance faciale
- CEPD, Guidelines 01/2022 on data subject rights - Right of access, version adoptée le 28 mars 2023 – précisions concernant les photographies et les données biométriques
- ENISA, Personal Data Breach Notification Tool et documents relatifs à la classification des incidents – appui pratique pour l’évaluation du risque
- ISO/IEC 2382-37:2022 – vocabulaire de la biométrie
- ISO/IEC 24745:2022 – protection des informations biométriques