Question:
RGPD: les visages sont-ils toujours considérés comme des informations identifiables?
4Oh4
2018-05-10 17:34:15 UTC
view on stackexchange narkive permalink

La recherche en apprentissage automatique sur la reconnaissance et le traitement faciaux (par exemple, la détection des émotions) utilise souvent des ensembles de données contenant un grand nombre d'images faciales. Ceux-ci sont généralement anonymisés, de sorte que la seule autre information contenue est le (s) nom (s) de fichier - comme 00001.jpg . Comment le RGPD affecte-t-il le stockage, le traitement et le partage de ces données?

Par souci d'argumentation et pour clarifier la position, je voudrais laisser de côté les dispositions du RGPD qui prévoient le traitement des données comme recherche scientifique. Je travaille également sous l'hypothèse qu'il n'y a pas d'autres méta-données, comme une feuille de calcul qui relie les noms de fichiers d'image à la personne représentée.

Le RGPD indique clairement ( considérant 26) que les données anonymes ne sont pas couvertes par la réglementation:

«… Les principes de la protection des données devraient [ donc] ne s'appliquent pas aux informations anonymes, à savoir les informations qui ne concernent pas une personne physique identifiée ou identifiable ou aux données personnelles rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. »

Les considérations relatives à la protection des données seraient considérablement réduites si ces ensembles de données étaient considérés comme hors du champ d'application du RGPD. Est-il possible, cependant, qu'une image de visage isolée soit considérée comme véritablement anonymisée? Il serait toujours possible de le lier à une personne réelle, car la plupart des gens sont capables de reconnaître les visages. Avec l'image et la personne debout dans une foule, il est probable que le spectateur moyen puisse identifier la personne représentée.

Où est basée votre recherche? Si en dehors de l'UE, il suffirait de simplement travailler sur les visages de personnes vivant en dehors de l'UE pour ignorer le RGPD.
C'est vrai. Je m'intéresse principalement à la manière dont le RGPD affectera les chercheurs basés et utilisant des données au sein de l'UE
Quatre réponses:
Tardis
2018-05-24 13:24:20 UTC
view on stackexchange narkive permalink

Vos données ne sont pas anonymes car à partir de l'image du visage, l'individu peut être identifié.

Ce serait anonyme, si le visage était flou et que d'autres informations identifiables possibles étaient supprimées. Bien sûr, cela irait à l'encontre de votre objectif. Veuillez noter que, dans tous les cas, les techniques d'anonymisation sont, en elles-mêmes, un type de traitement de données à caractère personnel qui nécessite une base juridique et que la réalisation d'une véritable anonymisation n'est pas une question anodine (voir l'avis du groupe de travail Article 29 0829/14 / FR WP216 sur le sujet).

1.

Le visage d'une personne comprend des informations biométriques, qui sont définies à l'article 4 (14 ) parmi d'autres types d'informations personnelles réglementées par le RGPD comme: "des données personnelles résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment l'identification unique de cette personne physique, telles que images faciales ou données dactyloscopiques ".

Le but d'un logiciel de reconnaissance faciale est exactement d'effectuer un traitement technique spécifique basé sur les traits du visage des personnes, pour obtenir une identification unique d'une personne basé sur ces caractéristiques biométriques.

L'article 9 de t Le RGPD inclut les données biométriques parmi les types de traitements interdits, sauf si l'une des exceptions du § 2 s'applique .

Il existe 10 types d'exceptions parmi lesquelles: le consentement de la personne, contexte d'emploi, données personnelles rendues publiques par la personne, recherche scientifique ou historique, ... (chaque exception ayant ses propres conditions).

Vous devez vérifier que vous respectez l'une de ces exceptions énoncées à l'article 9 § 2, si votre application concerne l'utilisation d'images faciales pour l'identification unique d'une personne basée sur ces caractéristiques biométriques.

2.

À son tour, si votre traitement ne concerne pas l'identification unique d'une personne basée sur ces caractéristiques biométriques, mais uniquement la reconnaissance des émotions (que vous avez brièvement mentionnée au début de votre message), il pourrait être considéré comme ne relevant pas de la exigences de l'article 9.

Il s'agirait toujours d'un traitement de renseignements personnels, mais il relèverait des exigences normales de l'article 6.

L'avis du groupe de travail Article 29 est la documentation la plus fiable que j'ai vue à ce jour. Je dirais que l'article 4 ne signifie pas que toutes les photographies faciales sont des données biométriques, par défaut, et que cela dépend de la manière dont elles sont traitées. Le considérant 51 du RGPD traite de ceci: `` Le traitement des photographies ne doit pas être systématiquement considéré comme un traitement de catégories spéciales de données personnelles car elles sont couvertes par la définition des données biométriques uniquement lorsqu'elles sont traitées par un moyen technique spécifique permettant l'identification ou l'authentification unique des une personne physique. »
@4Oh4 la détermination qu'une photographie n'est pas une donnée * biométrique * ne constitue pas une détermination qu'il ne s'agit pas de données * personnelles *.
Merci @4Oh4, d'avoir repéré le lien rompu vers l'avis de WP29 (je l'ai corrigé à la source réelle europa.eu que j'avais l'intention de publier). Je conviens que l'on pourrait faire valoir que toutes les "photographies faciales" stockées, par exemple, par un photomaton, ne sont pas des "données biométriques". Le RGPD parle des "images faciales" résultant d'un processus technique. Mais plutôt que les photographies faciales contiennent des informations biométriques (qui sont des informations personnelles sensibles ou des «catégories spéciales» de données personnelles comme le dit le RGPD), qui peuvent être extraites et utilisées avec un logiciel de reconnaissance faciale et représentées comme une «image faciale».
Y a-t-il quelque chose dans le RGPD qui suggère que le processus d'identification impliqué par «identifiable» doit être algorithmique? Si une personne peut consulter certaines données (par exemple, une photographie) et en identifier une autre, alors ces données sont des données personnelles en vertu du règlement, du moins jusqu'à ce qu'un tribunal en décide autrement.
@phoog, en effet, une photographie d'une personne est à mon avis une information personnelle en vertu du RGPD, et la directive européenne antérieure ainsi que sa collecte et son traitement nécessitent un fondement juridique basé sur l'article 6 du RGPD. Le fait qu'une photographie faciale puisse être utilisée pour extraire des données biométriques avec des procédés techniques appropriés fait que "l'image du visage" tombe dans une "catégorie spéciale" d'informations (informations biométriques), dont la collecte et le traitement sont en principe interdits, sauf si vous tombez sous l'une des exceptions prévues par le RGPD à l'article 9 § 2 ...
... Puisque la question du PO porte sur ce type d'application, c'était mon point ici. À son tour, si le traitement de l'OP ne concerne pas l'identification unique d'une personne basée sur ces caractéristiques biométriques, mais uniquement la reconnaissance des émotions, il pourrait être considéré comme ne traitant pas de données biométriques pour l'identification unique de la personne, et cela relèverait de l'article normal 6 exigences. Je mets à jour ma réponse avec cet aspect supplémentaire.
Après avoir été mise à jour, je pense que cette réponse est la plus correcte. Malheureusement, à la fin de la période de prime, aucune réponse ne semblait correcte, mais elle a été automatiquement attribuée à la réponse ci-dessus.
wimh
2018-05-22 22:59:13 UTC
view on stackexchange narkive permalink

Il s'agit de données personnelles, s'il existe une organisation qui peut lier ces données à une personne physique, même si vous ne pouvez pas simplement demander à ces organisations de le faire à votre place. Par exemple, une adresse IP est une donnée personnelle, car un FAI peut faire correspondre une adresse IP avec un foyer.

Pour autant que je sache, Google et Facebook sont capables d'identifier une image, basée sur d'autres photos de la même personne. Cela donne une image des données personnelles d'un visage, même si elles sont complètement anonymisées.

Parce qu'un visage révèle l'origine raciale et ethnique, l'article 9 du RGPD s'applique;

  1. Traitement des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l'appartenance à un syndicat, et le traitement de données génétiques, de données biométriques dans le but d'identifier de manière unique une personne physique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique est interdite.

Mais il y a des exceptions;

  1. Le paragraphe 1 ne s'applique pas si l'un des ce qui suit s'applique:

    (a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiées, sauf lorsque le droit de l'Union ou d'un État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levé par la personne concernée;

    [...

Bien entendu, ce consentement ne peut pas être stocké avec l'image, car il la désanonymiserait, ce qui irait à l'encontre de son objectif.

Il serait peut-être suffisant qu'un tiers de confiance, comme le photographe, puisse confirmer que la personne concernée a donné son consentement pour certaines utilisations. Vous devez vous assurer que l'image n'est pas utilisée d'une autre manière, car le consentement doit être très spécifique.

Sinon, vous devez regarder les autres exceptions de l'article 9.2. Si rien ne s'applique, ce n'est pas possible.

Bons points. En ce qui concerne l'article 9 cependant, il concerne le `` Traitement de catégories spéciales de données à caractère personnel '', et le considérant 51 est tout à fait clair: `` Le traitement des photographies ne devrait pas systématiquement être considéré comme un traitement de catégories spéciales de données à caractère personnel car elles sont couvertes par la définition des données biométriques uniquement lorsqu'elles sont traitées par un moyen technique spécifique permettant l'identification ou l'authentification unique d'une personne physique. »
Le "traitement de catégories spéciales de données personnelles" est distinct du "traitement des données personnelles".
Pourquoi l'entité capable d'identifier une personne à partir de certaines données doit-elle être une organisation? Cela figure-t-il quelque part dans le règlement? Si la mère de quelqu'un peut les identifier sur une photo, cela ne rend-il pas la personne «identifiable» à partir de la photographie?
@phoog Si la mère de quelqu'un peut les identifier sur une photo, quelqu'un d'autre doit d'abord trouver cette mère. Quand je mentionne une organisation, je veux dire un endroit central * connu * à contacter, peut-être en utilisant une ordonnance du tribunal.
@4Oh4 En lisant le considérant 51, il semble que vous avez raison.
"quelqu'un d'autre doit d'abord trouver cette mère": Et si quelqu'un d'autre est déjà * la * mère? «Identifiable» n'implique pas «par tous»; il implique plutôt "par n'importe qui" à moins que le champ d'application ne soit restreint par une définition spécifique aux fins du règlement; il n'y a pas de définition de ce genre de «identifiable».
Dale M
2018-05-11 02:02:54 UTC
view on stackexchange narkive permalink

Votre visage est à peu près l'élément fondamental d'identification d'une personne. Non seulement les gens peuvent identifier inconsciemment les visages qu'ils connaissent, mais les algorithmes s'améliorent de plus en plus et s'ils sont liés à une base de données, ils connaissent bien plus de personnes que n'importe quel individu.

Bien que nous ne sachions pas encore comment les tribunaux vont traiter avec cela, je pense qu'il est naïf de croire que les photos d'individus ne seront pas capturées par le RGPD.

phoog
2018-05-24 18:07:31 UTC
view on stackexchange narkive permalink

Bien qu'un tribunal puisse restreindre l'application du terme «identifiable», une personne prudente interpréterait le terme au sens large à ce stade précoce. Les "informations anonymes" sont

des informations qui ne concernent pas une personne physique identifiée ou identifiable ou des données personnelles rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.

À moins que l'image ne soit modifiée pour que la personne qu'elle représente ne soit plus identifiable, l'image n'est pas une "information anonyme".

Une autre réponse affirme que "identifiable" implique "par une organisation, "mais je ne vois aucune base à cela dans le règlement.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...