L'entreprise PhotoRunning a utilisé la reconnaissance faciale sur plus de 300 000 personnes à leur insu, soulevant des questions majeures sur la protection des données personnelles.
Depuis au moins un an, les visages de plusieurs centaines de milliers de Français ont été soumis, à leur insu, à un système de reconnaissance faciale. Cette pratique, d'une ampleur importante dans l'espace public, s'est déroulé sur des courses à pied réunissant des milliers de participants, dont la plupart identifiés par l'intelligence artificielle à leur insu selon les informations de nos confrères du Monde.
Une reconnaissance faciale utilisée pour proposer des photos souvenirs aux coureurs
D'ordinaire, les organisateurs de ces manifestations proposent des services photographiques permettant aux participants d'acquérir des clichés pris durant l'événement. Autrefois, les photographes associaient manuellement chaque photo au numéro de dossard du coureur, un processus long et coûteux. Avec l'essor de l'intelligence artificielle, la reconnaissance automatique des numéros de dossard est devenue possible pour faciliter les services offerts aux coureurs.
PhotoRunning, l'une des principales entreprises du secteur, est allée plus loin en adoptant la reconnaissance faciale. Après la course, les participants peuvent soumettre une photo de leur visage sur le site de la société pour obtenir toutes les images sur lesquelles ils apparaissent. Pour que ce système fonctionne, tous les participants doivent être soumis à la reconnaissance faciale, une pratique qui a été appliquée lors de quarante-huit courses au cours des douze derniers mois.
Le règlement général sur la protection des données (RGPD) interdit par principe l'utilisation de la reconnaissance faciale sans le consentement explicite des personnes concernées. Pour être valable, ce consentement doit être éclairé, libre et spécifique. Les participants doivent être informés de manière détaillée, pouvoir consentir sans contrainte et manifester leur accord de façon claire et affirmative. De plus, les clauses de droit à l'image ne couvrent pas le traitement de données biométriques.
Ici, une simple clause tacite relative au droit à l'image avait été ajoutée dans le règlement des courses, ne couvrant pas l'utilisation d'une telle technologie. De plus, si le coureur refuse cette clause, il ne peut pas participer à la course, alors que le RGPD stipule que la personne doit consentir « sans subir de contrainte ».
Une pratique connue de tous, aux conséquences minimisées
Plus de 320 000 personnes ont potentiellement été soumises à cette reconnaissance faciale sans leur consentement, constituant une infraction majeure au droit des données personnelles. Parmi les événements concernés figurent des courses réputées comme le semi-marathon de Nice, le Trail du Saint-Jacques, la SaintéLyon ou le marathon de Toulouse. Le 1er décembre 2024, plus de 23 000 personnes ont participé à des courses telles que le semi-marathon de Bordeaux, le cross du Figaro et les 10 kilomètres du 17e arrondissement de Paris, toutes couvertes par la reconnaissance faciale.
La reconnaissance faciale ne s'est pas limitée aux coureurs, mais a également concerné les spectateurs présents dans le champ des photographes. Certaines images de spectateurs mineurs ont aussi été soumises à la reconnaissance faciale, élargissant encore la collecte de données biométriques. Certaines courses couvertes par PhotoRunning comprenaient d'ailleurs des épreuves réservées aux mineurs, impliquant au moins 3 000 jeunes participants.
L'entreprise affirme que, faute de consentement parental, son système ne prend pas en charge l'identification des mineurs, sans préciser comment cela est mis en œuvre d'un point de vue technique. Les organisateurs de ces courses, bien que conscients de l'utilisation de la reconnaissance faciale, ignoraient souvent qu'elle s'appliquait à tous les participants et non seulement à ceux recherchant leurs photos. Contactés, ils mettent en avant les avantages de cette technologie pour les coureurs et assurent n'avoir reçu aucune plainte à ce sujet.
Certains participants ne sont pas de cet avis, et l'un d'entre eux, après avoir découvert que son visage avait été reconnu par ce dispositif, a déposé une plainte devant la CNIL, aujourd'hui en cours d'instruction.
Source : Le Monde
11 février 2025 à 09h41
