L’UOC a été condamnée à une amende de 20 000 euros par le gouvernement catalan pour avoir utilisé la reconnaissance faciale dans ses examens virtuels.

Vous avez certainement entendu parler des dernières nouvelles concernant la reconnaissance faciale : le gouvernement catalan a infligé une amende de 20 000 euros à l’Universitat Oberta de Catalunya (UOC) pour l’utilisation de la reconnaissance faciale dans ses examens virtuels.

Selon l’Autorité catalane de protection des données (APDCat), le traitement des données biométriques, telles que la reconnaissance faciale, que l’UOC utilise pour les examens et ses étudiants, n’est inclus dans aucune des exceptions du règlement sur la protection des données, de sorte qu’elle considère que son droit à la protection des données a été violé, ce qui représente un risque élevé pour les personnes concernées.

En réponse aux déclarations de l’APDCat, l’UOC a rétorqué qu’il s’agit d’une mesure utilisée pour la première fois pendant la pandémie et l’état d’alerte, qui a été couronnée de succès et qui a permis à tous les étudiants de suivre leurs cours, d’obtenir leurs diplômes, leurs maîtrises, etc. sans aucune entrave. Selon l’UOC, la reconnaissance faciale est simplement un moyen de vérifier l’identité des étudiants afin qu’ils puissent par la suite corroborer avec des images et leurs documents d’identité qu’il s’agit de la même personne. En outre, l’UOC fait état de la légalité du système, en précisant que tous les étudiants qui s’inscrivent sont informés de la nature des examens, en termes de passation virtuelle et de reconnaissance faciale, et qu’ils ont donc la possibilité de choisir si l’option proposée par l’université est la plus appropriée à leurs besoins. Ils précisent également que ces données sont supprimées trois mois après la fin des épreuves virtuelles.

La reconnaissance faciale n’est pas seulement utilisée par l’UOC dans ses examens, mais d’autres universités ont également mis en place cet outil pour identifier les utilisateurs, vérifier qu’ils ne bougent pas de leur poste de travail pendant l’examen et identifier les comportements anormaux des étudiants pendant qu’ils passent l’examen.
Cependant, il existe d’autres situations de la vie quotidienne dans lesquelles nous sommes exposés à des techniques de reconnaissance faciale ou au traitement d’autres types de données biométriques, comme dans le monde bancaire, par le biais de la reconnaissance faciale ou des empreintes digitales.

Dans le cas d’Andorre, par exemple, le nouveau casino UNNIC, récemment ouvert dans le centre de la capitale, utilisera un traitement de données biométriques, puisque les utilisateurs devront s’enregistrer pour y accéder et se soumettre à une reconnaissance faciale afin d’identifier les personnes qui ne sont pas autorisées à entrer.

Il convient donc de noter que l’utilisation de techniques de reconnaissance faciale, puisqu’elles impliquent le traitement de données biométriques et constituent une ingérence dans les droits fondamentaux au respect de la vie privée et familiale et à la protection des données, doit être considérée comme un traitement de catégories particulières de données, et ne relève donc que des exceptions prévues à l’article 9. 2 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel : consentement explicite de la personne concernée ; nécessaire à l’exécution des obligations du responsable du traitement ; nécessaire à la protection des intérêts vitaux ; données manifestement publiques ; nécessaire à des fins médicales préventives ; nécessaire pour des motifs d’intérêt public ; entre autres. Par conséquent, le responsable du traitement doit examiner attentivement la manière de respecter les exigences relatives aux droits des personnes concernées avant de mettre en œuvre toute technologie de reconnaissance faciale, et une analyse d’impact sur la protection des données doit être effectuée, et une attention particulière doit être accordée à la sécurité du traitement en veillant à ce que le système soit conforme aux normes pertinentes fondées sur la protection des données, dès la conception et par défaut.