Délibération 2016-188 du 30 juin 2016

Commission Nationale de l'Informatique et des Libertés
Délibération n°2016-188 du 30 juin 2016
Délibération n° 2016-188 du 30 juin 2016 autorisant la société Aéroports de Paris à expérimenter et évaluer l’efficacité d’un traitement automatisé de données à caractère personnel de reconnaissance biométrique des visages de participants volontaires circulant dans des zones délimitées des aérogares d’Orly et de Roissy-Charles de Gaulle. (Demande d’autorisation n° 1970560)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,
Saisie par la société Aéroports de Paris d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel expérimental ayant pour finalité la reconnaissance biométrique des visages de participants volontaires circulant dans des zones délimitées des aérogares d'Orly et de Roissy-Charles-de-Gaulle ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 25-I-8° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

La Commission nationale de l'informatique et des libertés a été saisie par la société Aéroports de Paris d'une demande d'autorisation concernant l'expérimentation d'un traitement de données à caractère personnel de reconnaissance faciale, utilisant les caméras de videoprotection de zones délimitées des aérogares d'Orly et de Roissy-Charles-de-Gaulle.

Le système d'expérimentation est constitué d'une base de données biométriques, contenant les gabarits de référence issus des images collectées lors de l'enrôlement de cinquante salariés volontaires, et d'un logiciel permettant de détecter des visages dans le flux des caméras de vidéoprotection, d'en extraire des gabarits et de les comparer à la volée avec les gabarits de référence. L'expérimentation est mise en œuvre en recourant aux images des caméras réparties sur des parcours délimités des terminaux Roissy-Charles-de-Gaulle 2E ainsi que d'Orly Sud considérés comme représentatifs de la configuration des deux aérogares. Les personnes circulant dans l'aéroport sont informées par affichage des zones concernées par l'expérimentation et de la possibilité d'emprunter un chemin alternatif non concerné par l'expérimentation. Dès lors que le dispositif recourt à des caméras déjà installées dans un lieu ouvert au public auquel sont couplés des traitements automatisés de données biométriques permettant d'identifier, directement ou indirectement, des personnes physiques, il y a lieu de faire application de l'article L. 251-1 du code de la sécurité intérieure et de de l'article 25-I-8° de la loi du 6 janvier 1978 modifiée, qui soumet la mise en œuvre de ce dispositif à une autorisation préalable de la part de la Commission.

L'expérimentation a pour objectif d'évaluer les contraintes opérationnelles qu'impliquerait la mise en œuvre de dispositif de reconnaissance faciale au sein de l'environnement aéroportuaire dont Aéroports de Paris assure la gestion. Elle vise notamment à obtenir des éléments pertinents sur la complémentarité des moyens techniques actuels tels que les caméras de vidéoprotection utilisées dans les aérogares avec de nouveaux dispositifs d'identification faciale, à éprouver la fiabilité de ces dispositifs dans un espace où circulent de nombreuses personnes aux caractéristiques physiques différenciatrices, avec des mouvements variés, et à identifier les impacts relatifs à la vie privée des personnes concernées.

La Commission souligne que l'autorisation donnée pour la mise en œuvre de ce type de traitement dans un contexte expérimental, au vu des garanties juridiques et des mesures de sécurité techniques, ne préjuge en aucune façon de son appréciation ultérieure de la légitimité et de la proportionnalité de la mise en œuvre, en situation réelle et opérationnelle, de tels dispositifs. Un prolongement ou une pérennisation de ce dispositif devra s'accompagner de nouvelles formalités préalables dont l'instruction amènera la Commission à réaliser un nouveau contrôle de proportionnalité du dispositif au regard des risques relatifs aux libertés individuelles que fait courir ce type de technologie pour les citoyens.

Compte tenu du caractère potentiellement intrusif du dispositif envisagé et des risques d'identification et de localisation de personnes physiques à leur insu, la Commission sera particulièrement attentive au bilan qui lui sera présenté.

Sur la finalité du traitement :

Le traitement projeté par Aéroports de Paris est une expérimentation limitée dans le temps. Elle sera mise en œuvre à compter de l'adoption de la présente autorisation, pour une durée de six mois, comprenant huit semaines nécessaires pour mettre en place l'expérimentation, douze semaines de test en situation réelle et environ quatre semaines d'analyse des résultats de la phase de test.

En pratique, le traitement de reconnaissance faciale sera réalisé sur les images captées par les caméras de vidéoprotection déjà installées ayant fait l'objet d'une autorisation préfectorale et réparties sur les zones concernées par l'expérimentation au sein des terminaux de Roissy-Charles-de-Gaulle 2E et d'Orly Sud. L'expérimentation ne nécessite pas l'ajout de caméras de vidéoprotection, l'objectif d'Aéroports de Paris étant de tester en conditions réelles et au regard des moyens déjà déployés au sein de l'aéroport, la faisabilité et le niveau de performance de traitements de reconnaissance faciale.
Les visages des personnes passant dans le champ des caméras seront comparés à une base de gabarits de visages, constituée grâce à l'enrôlement d'un maximum de cinquante salariés d'Aéroports de Paris, participant volontairement à l'expérimentation.

Les salariés volontaires doivent signer préalablement un formulaire de recueil du consentement expliquant la finalité de l'expérimentation, la durée de conservation des données ainsi que la manière d'exercer les droits Informatique et Libertés . Les participants sont également informés qu'ils peuvent à tout moment retirer leur consentement et demander la suppression de leurs gabarits. Les gabarits calculés à la volée des personnes passant dans le champ des caméras seront immédiatement supprimés après la comparaison avec les gabarits des volontaires stockés en base : la mise en œuvre de l'expérimentation ne conduit pas au stockage de gabarits de personnes se trouvant dans le champ des caméras mais ne participant pas à l'expérimentation.

Sous ces conditions et au regard de l'apport représenté par cette expérimentation, la Commission considère que la finalité poursuivie est déterminée, explicite et légitime.

Sur la nature des données traitées :

Les données collectées sont les photographies des salariés d'Aéroports de Paris participant à l'expérimentation sur la base du volontariat, à partir desquelles sont produits les gabarits de comparaison, leur nom et prénom (sur le formulaire de consentement uniquement) ainsi qu'un pseudonyme (pour référencer les gabarits).

L'enrôlement des volontaires s'effectuera en présence du chef de projet, sur un poste informatique dans un local sécurisé, à proximité du serveur. L'agent volontaire est pris en photo sous différents angles (photo d'identité, de face, de biais, etc.) et éventuellement avec un accessoire (lunettes, chapeau...). Les photos sont scannées et stockées dans une base sécurisée avec un accès restreint et sont immédiatement pseudonymisées, un identifiant remplaçant les données d'identification des personnes. Le numéro pseudonyme, reporté sur le formulaire de consentement, permettra aux personnes retirant leur consentement d'obtenir la suppression de leur gabarit.

Les images de vidéoprotection représentant les passagers et personnes passant dans le champ des caméras sont également collectées et utilisées pour effectuer la comparaison avec les gabarits des volontaires.

Dans ces conditions, la Commission considère que la collecte des données est légitime et proportionnée à la finalité du traitement.
Sur la durée de conservation des données :

Les séquences vidéo produites par les caméras de vidéoprotection sont stockées normalement par le système de vidéoprotection, sur lequel est ouvert un accès spécifique et limité aux flux des caméras exploitées dans le cadre de l'expérimentation, pour une fenêtre glissante de soixante-douze heures.

Les photographies et gabarits biométriques du visage des volontaires sont conservés pour la durée de l'expérimentation, à savoir six mois.

Les gabarits réalisés à la volée à partir du visage des personnes passant dans le champ des caméras sont immédiatement supprimés à l'issue de la comparaison. En cas de comparaison positive, une trace est conservée par le logiciel, avec l'image vidéo complète sur laquelle figure le visage reconnu dont les contours sont délimités, associée à l'image du visage de référence ainsi qu'à l'horodatage et à la localisation de la caméra.

Ces traces étant susceptibles de contenir des faux positifs représentant des personnes qui ne font pas partie des volontaires de l'expérimentation, la Commission recommande que leur durée de conservation n'excède pas soixante-douze heures, comme pour l'accès aux flux vidéo des caméras de l'expérimentation.

Dans ces conditions, la Commission considère que la durée de conservation des images est proportionnée à la finalité du traitement.

Sur les destinataires des données :

Les destinataires des séquences vidéo enregistrées sont uniquement et spécifiquement les agents habilités et les personnels ayant souscrit aux engagements de confidentialité requis par Aéroports de Paris dans le cadre de l'expérimentation.

Par ailleurs, seuls les membres spécifiquement habilités de la direction des systèmes d'information, de la direction de la sûreté et de la direction projet auront accès aux résultats de l'expérimentation.
Sur l'information des personnes :

Les participants salariés volontaires d'Aéroports de Paris sont informés de la finalité de l'expérimentation, de sa durée et de leurs droits, sur le formulaire de recueil du consentement qu'ils doivent signer préalablement à l'expérimentation.

Aéroports de Paris s'engage par ailleurs à avertir les participants en cas d'accès non autorisé à leurs données et à procéder à la suppression immédiate de celles-ci.

Les passagers et personnes empruntant les zones concernées par l'expérimentation seront avertis par des panneaux d'affichage disponibles en plusieurs langues situés à la périphérie des zones concernées, d'une part, de l'existence de l'expérimentation, de sa finalité et de la manière d'exercer leurs droits auprès du correspondant Informatique et Libertés d'Aéroports de Paris et, d'autre part, de l'étendue de la zone concernée, et de la possibilité d'emprunter un chemin alternatif non couvert par l'expérimentation et ne présentant pas de difficultés additionnelles en termes d'accès.

Sur les droits d'accès, de rectification et d'opposition des personnes :

L'exercice des droits d'accès, de rectification et d'opposition des personnes s'effectue de manière directe auprès du correspondant Informatique et Libertés d'Aéroports de Paris.

Sur la sécurité des données et la traçabilité des actions :

Le flux des caméras concernées est collecté sur le réseau cloisonné (VLAN) du serveur de vidéoprotection et transite ainsi jusqu'au système d'expérimentation biométrique. Le système d'expérimentation est hébergé sur un serveur dédié, situé dans une salle sécurisée du centre informatique d'Orly dont le périmètre est sécurisé et l'accès contrôlé par vidéoprotection, lecteurs de badge et système de détection de présence. Tous les flux et traitements restent cloisonnés dans le périmètre du système informatique d'Aéroports de Paris, protégés par mot de passe et compartimentés par filtrage.

En complément de ces mesures, la Commission rappelle que seuls les flux réseaux strictement nécessaires doivent être autorisés pour le serveur et les postes de travail utilisés pour l'expérimentation, afin d'assurer leur compartimentation logique au sein même du réseau d'Aéroports de Paris. Le logiciel de reconnaissance faciale utilisé dans le cadre de l'expérimentation doit mettre en œuvre des mécanismes permettant de protéger les gabarits traités en mémoire contre des logiciels malveillants qui chercheraient à les en extraire.

Chaque membre de l'équipe projet disposera d'une habilitation d'accès déterminée par le chef de projet. A cet égard, La Commission recommande que les habilitations soient limitées dans le temps, révisées à la demande du chef de projet pendant la durée de l'expérimentation et révoquées à la fin de celle-ci.

L'authentification des utilisateurs est assurée par des mots de passe respectant les recommandations de la Commission. Les postes de travail sont dotés d'un antivirus. L'installation et la maintenance des matériels et logiciels par leur fournisseur sont effectuées en présence d'un informaticien d'Aéroports de Paris.

Les données de l'expérimentation seront chiffrées et les personnels du fournisseur intervenant pour l'expérimentation auront signé un engagement de confidentialité.

Les accès aux données seront tracés (horodatage, identification et action effectuée) et les traces d'accès conservées pendant un an. La Commission recommande que ces traces soient isolées et protégées sur un système distinct. Les habilitations pour accéder à ces traces doivent être limitées aux seuls responsables du projet. Un contrôle des traces doit être réalisé de manière automatique afin de détecter les comportements anormaux et lever des alertes.

Sur la présentation d'un bilan :

La Commission prend acte qu'Aéroports de Paris s'est engagé à adresser à la CNIL un bilan à la fin de l'expérimentation. Elle demande à ce que ce bilan lui soit adressé dans un maximum de six mois à compter de la fin de l'expérimentation et qu'il comporte, a minima, les éléments suivants :
• une description des conditions de mise en œuvre technique et opérationnelle du dispositif expérimenté (description des résultats des tests réalisés, pourcentage de réussite des algorithmes de reconnaissance faciale, éventuels dysfonctionnements liés aux conditions de l'expérimentation, échecs à l'enrôlement lors de la mise en œuvre de la reconnaissance faciale, etc.) ;
• des éléments de conclusion généraux relatifs aux connaissances et aux perspectives d'exploitation technique, économique ou sociétale de ces apports ;
• une description détaillée de la procédure mise en œuvre pour assurer le plein exercice des droits des personnes ;
• les suites envisagées par Aéroports de Paris sur la base du bilan effectué (abandon du projet, demande de nouvelle expérimentation, demande d'autorisation de mise en œuvre à titre permanent).

Cependant, si, à l'avenir, il était envisagé de déployer un tel système, la Commission examinerait avec attention la proportionnalité du dispositif projeté au regard de la finalité recherchée et des risques majeurs portant sur la liberté d'aller et venir anonymement et plus généralement sur les libertés individuelles.

Dans ces conditions, la Commission autorise Aéroports de Paris à mettre en œuvre un traitement automatisé de données à caractère personnel expérimental ayant pour finalité la reconnaissance biométrique des visages de participants volontaires circulant dans des zones délimitées des aérogares d'Orly Sud et de Roissy-Charles de Gaulle.

La Présidente
Isabelle FALQUE-PIERROTIN




Nature de la délibération: AUTORISATION
Date de la publication sur legifrance: 27 septembre 2016