Le 17 mai 2023, le Comité européen de la protection des données (EDPB) a adopté la version finale de ses Lignes directrices sur les technologies de reconnaissance faciale dans le domaine de l’application de la loi (les « Lignes directrices »). Les lignes directrices s’adressent aux législateurs au niveau de l’UE et des États membres de l’UE, ainsi qu’aux autorités répressives et à leurs agents qui mettent en œuvre et utilisent la technologie de reconnaissance faciale.
Les lignes directrices se composent du corps principal des orientations, ainsi que de trois annexes qui comprennent : (1) un modèle pour évaluer la gravité de l’ingérence dans les droits fondamentaux causée par la technologie de reconnaissance faciale ; (2) des conseils pratiques pour les autorités souhaitant acquérir et gérer une technologie de reconnaissance faciale ; et (3) un ensemble de scénarios hypothétiques et de considérations pertinentes basés sur certaines utilisations de la technologie de reconnaissance faciale.
Le CEPD examine le cadre juridique applicable, en se concentrant sur la Charte des droits fondamentaux de l’UE (la « Charte ») et la directive relative à l’application des lois 2016/680 (la « Directive »). En ce qui concerne la Charte, par exemple, le CEPD explore l’ingérence dans la Charte causée par le traitement des données biométriques et comment l’ingérence peut être justifiée conformément à l’article 52 de la Charte. En ce qui concerne la directive, le CEPD examine plusieurs domaines, notamment la licéité du traitement de catégories particulières de données à des fins répressives et l’interaction entre la technologie de reconnaissance faciale et les règles relatives à la prise de décision automatisée.
Le CEPD note qu’il « comprend la nécessité pour les autorités répressives de bénéficier des meilleurs outils possibles pour identifier rapidement les auteurs d’actes terroristes et d’autres crimes graves » mais que « ces outils doivent être utilisés dans le strict respect du cadre juridique applicable et uniquement dans les cas où ils satisfont aux exigences de nécessité et de proportionnalité. Il identifie également plusieurs utilisations potentielles de la technologie de reconnaissance faciale qu’il considère comme présentant un risque élevé pour les individus et leur vie privée, ou comme étant « très indésirables », telles que l’identification biométrique à distance des individus dans les espaces accessibles au public et l’utilisation de la reconnaissance faciale. déduire les émotions d’un individu.