vendredi, 29 mars 2024

La reconnaissance faciale de la cantine des écoles écossaises « probablement enfreinte » RGPD : ICO

Une

lettre du Details Commissioner’s Workplace (ICO), l’autorité britannique de défense des données, a en fait informé le North Ayrshire Council (NAC) que son utilisation de la reconnaissance faciale pour le paiement des repas dans 9 écoles « est susceptible d’avoir effectivement enfreint la loi sur la sécurité des données en vertu des articles suivants du RGPD britannique. »

La lettre de 16 pages (PDF) constituera probablement un avertissement pour d’autres écoles et conseils pour croire s’il serait un jour utile d’utiliser la biométrie faciale des enfants comme méthode pour payer le déjeuner.

En octobre 2021, plus de 2 000 élèves de neuf écoles du North Ayrshire se sont inscrits pour dépenser leurs déjeuners en se présentant devant une caméra électronique actionnée par le personnel de la caisse. Le système, mis en place par CRB Cunninghams, a comparé l’enfant aux photos enregistrées et a soustrait les dépenses de la journée de son compte.

Ce fut de courte durée : le système a également provoqué un débat sur la protection des informations.

L’ICO a réagi rapidement et le conseil a déclaré à Biometric Update qu’il avait effacé toutes les informations immédiatement à l’automne 2021. NAC a été extrêmement réactif et coopératif tout au long, note l’ICO. L’enquête et la correspondance qui en résultent fournissent un aperçu précieux de ce que comprend un examen de ce type et de la manière dont les organisations telles que les conseils locaux sont mal préparées à la tâche d’enregistrement, de traitement et de conservation des données individuelles.

De manière appropriée, le ICO l’a rédigé sous forme d’étude de cas sur son site. La situation a déjà été étudiée à l’échelle mondiale.

Ouverture, consentement et DPIA

La lettre de l’ICO énumère les articles du RGPD du Royaume-Uni qui ont potentiellement été enfreints. Pour que l’exigence soit «légale, équitable et transparente», il constate que «NAC n’a pas été en mesure de démontrer qu’il existait une base juridique valable pour le traitement». Pour le « droit d’être informé », l’ICO a constaté que même si le NAC avait communiqué avec les enfants et les parents, il s’était très probablement abstenu d’en faire assez, en particulier pour rendre les ramifications de la vie privée claires et compréhensibles pour les enfants.

Le conseil conservant les données individuelles « aussi longtemps que nécessaire » et pendant cinq ans après qu’un enfant a quitté l’école ou avant son 23e anniversaire (selon la date la plus tardive) n’a pas été nettoyé avec la lecture par l’ICO du court article du RGPD britannique sur la « rétention » et était peut-être la partie la plus déroutante de toute cette préoccupation.

Pour l’évaluation des effets sur la protection des données (DPIA), elle était inexacte et n’avait pas été approuvée par le délégué à la défense des données (DPO) ni par un membre senior du NAC avant le début du traitement des données biométriques.

« Veillez à bien faire les choses dès la première fois – vous ne devez pas passer à une autre base juridique ultérieurement sans excellente raison », a encouragé l’ICO conseil. « En particulier, vous ne pouvez généralement pas passer du consentement à une autre base. »

La réalité selon laquelle le projet concernait les enfants est importante dans tous les pays du Royaume-Uni, même si la loi varie légèrement d’Écosse et du Nord de l’Irlande à l’Angleterre et au Pays de Galles.

« Le considérant 38 du RGPD du Royaume-Uni indique clairement que les enfants doivent bénéficier d’une protection particulière lors du traitement de leurs informations personnelles, car » ils peuvent être moins familiarisés avec les menaces, les effets et les garanties concernés et leurs droits en ce qui concerne le traitement des informations personnelles », précise la lettre.

Des informations inadéquates ont été fournies aux enfants et aux parents pour qu’ils puissent consentir.

Signé par Ken Macdonald, responsable des régions de l’ICO, la lettre indique que cette « correspondance et toute réaction reçue ne biaisent pas l’utilisation future possible de l’application du commissaire ».

Un porte-parole du North Ayrshire Council a déclaré à Mise à jour biométrique dans un e-mail : « Nous nous félicitons de la clarté qui a ac actuellement été obtenu du Bureau du Commissaire à l’information. Suite à l’intérêt initial du Commissariat en octobre 2021, nous avons immédiatement arrêté l’utilisation du système de reconnaissance faciale et ensuite supprimé toutes les informations biométriques. »

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici