Incidents associés
Informations d'arrière-plan
- Date de la décision finale : 20 septembre 2021
- Cas transfrontalier ou cas national : Cas national
- Contrôleur : Conseil national de la police
- Référence légale : Art. 14 de la loi sur le traitement des données à caractère personnel en matière pénale et en rapport avec le maintien de la sécurité nationale
- Décision : Réprimande
- Mots clés : Violation des données personnelles
Résumé de la décision
Origine de l'affaire
Le Médiateur adjoint à la protection des données a adressé une réprimande légale au Conseil de la police nationale pour le traitement illégal de catégories particulières de données personnelles lors d'un essai de technologie de reconnaissance faciale.
Le Conseil de la police nationale a notifié au Bureau du Médiateur pour la protection des données en avril 2021 une violation de données à caractère personnel impliquant l'utilisation à titre d'essai d'un logiciel de reconnaissance faciale par le Bureau national d'enquête au début de 2020. L'unité du Bureau national d'enquête spécialisée dans la prévention des abus sexuels avaient expérimenté la technologie de reconnaissance faciale pour identifier les victimes potentielles.
La décision d'essayer le logiciel avait été prise de manière indépendante par l'unité de police et le traitement des données à caractère personnel avait été effectué sans l'approbation du responsable du traitement, à savoir le Conseil national de la police. Le Conseil national de la police avait été informé de l'utilisation du service Clearview AI par Buzzfeed News.
Principales conclusions
La responsabilité du responsable du traitement n'a pas été assumée dans ces opérations et les mesures prises par le responsable du traitement n'ont pas empêché le traitement illicite des données à caractère personnel. Il aurait été du devoir du Conseil national de la police de veiller à ce que le personnel de police soit familiarisé avec les règlements et les procédures requises.
La police n'avait pas non plus pris en considération les exigences relatives au traitement de catégories particulières de données à caractère personnel. En outre, le traitement avait été initié sans obtenir d'informations sur la manière dont le service utilisé traitait les données à caractère personnel. Par exemple, la police n'avait pas déterminé à l'avance combien de temps les données seraient conservées ni si elles pourraient être divulguées à des tiers.
Décision
En plus de la réprimande, le Médiateur adjoint à la protection des données a ordonné au Conseil national de la police d'informer les personnes concernées de la violation de données à caractère personnel dans la mesure où leur identité pouvait être déterminée. Le Conseil national de la police doit également demander à Clearview AI d'effacer les données transmises par la police de ses plateformes de stockage.
Les nouvelles publiées ici ne constituent pas une communication officielle de l'EDPB, ni une approbation de l'EDPB. Cette nouvelle a été initialement publiée par l'autorité nationale de surveillance et a été publiée ici à la demande de l'AS à des fins d'information. Toute question relative à cette actualité doit être adressée à l'autorité de contrôle concernée