Une école anglaise a été officiellement réprimandée par le régulateur britannique de protection de données pour avoir utilisé la technologie de reconnaissance faciale sans obtenir le consentement explicite de ses élèves pour traiter leurs scans faciaux. Cette nouvelle ravive le débat sur la vie privée autour de l’utilisation des données biométriques, notamment dans les établissements scolaires où les enfants sont impliqués. L’année dernière, New York a interdit l’utilisation de la reconnaissance faciale dans les écoles, devenant le premier État américain à le faire, après que des entreprises d’IA ont intensifié leurs efforts de marketing avec la promesse de rendre les écoles plus sécurisées.
La technologie de l’empreinte digitale a été utilisée dans les écoles britanniques pendant des années à des fins d’identification et d’authentification diverses, bien que la reconnaissance faciale soit de plus en plus utilisée, un phénomène accéléré par la demande de paiements véritablement sans contact due à la pandémie. Certaines écoles utilisent le logiciel de reconnaissance faciale pour gérer les paiements alimentaires depuis au moins quatre ans, une tendance qui a déclenché l’action du Bureau du commissaire à l’information (ICO) du Royaume-Uni après une vague d’écoles en Écosse ayant commencé à utiliser cette technologie en 2021.
“La manipulation correcte des informations des personnes dans un environnement de cantine scolaire est aussi importante que la manipulation de la nourriture elle-même”, a déclaré Lynne Currie, responsable de l’innovation en matière de confidentialité à l’ICO.
Aujourd’hui, trois ans plus tard, l’ICO a été à nouveau contraint d’intervenir. Le Chelmer Valley High School, à Chelmsford, Essex, a commencé à utiliser la technologie de reconnaissance faciale pour les paiements de repas sans espèces en mars 2023, après avoir utilisé les empreintes digitales depuis 2016. Le système de reconnaissance faciale a été fourni par une entreprise appelée CRB Cunninghams. Bien que les écoles soient autorisées à utiliser la technologie de reconnaissance faciale, elles doivent d’abord effectuer une évaluation d’impact sur la protection des données (DPIA), ce que, selon l’ICO, le Chelmer Valley High School a échoué à faire avant d’introduire la nouvelle technologie biométrique.
L’école a soumis une DPIA à l’ICO en janvier de cette année, presque un an après avoir introduit la technologie de reconnaissance faciale. De plus, l’ICO affirme que l’école n’a pas obtenu “l’autorisation claire” de traiter les scans faciaux des élèves. L’école avait envoyé une lettre aux parents les informant de l’utilisation de cette technologie, mais elle était présentée comme un programme d’opt-out – si les élèves ne renvoyaient pas un formulaire indiquant explicitement qu’ils ne voulaient pas participer, alors ils seraient automatiquement inclus dans le programme.
Cela va à l’encontre de l’article 4(11) du RGPD du Royaume-Uni, qui stipule que “une action affirmative claire” est nécessaire pour le consentement. “Les empreintes faciales prises par ces systèmes contiennent des données biométriques hautement sensibles”, a déclaré Mark Johnson, responsable du plaidoyer à l’organisation de défense de la vie privée Big Brother Watch, à TechCrunch. “Aucun enfant ne devrait avoir à passer par ces contrôles d’identité de style frontalier juste pour obtenir un repas scolaire. Il est encourageant que l’ICO soit intervenu à cette occasion. Les enfants devraient apprendre à protéger leurs données personnelles, et non être traités comme des codes-barres ambulants par leurs propres écoles et encouragés à donner leurs données biométriques sur un caprice”.
