Ryanair confronté à une nouvelle plainte sur son processus de vérification par reconnaissance faciale
blankblank

Jeudi 19 décembre, l’organisation de protection de la vie privée None of your business (noyb) a déposé une plainte auprès de l’autorité italienne de protection des données (DPA) contre le transporteur aérien low cost Ryanair en raison de son processus de vérification des comptes clients qui utilise la reconnaissance faciale biométrique.

Le processus de vérification des comptes des nouveaux clients de Ryanair fait désormais l’objet de plaintes devant quatre autorités européennes de protection des données, chacune pour des infractions présumées au règlement général sur la protection des données (RGPD) de l’Union européenne (UE).

« Ryanair incite illégalement ses utilisateurs à traiter leurs données biométriques hautement sensibles, au mépris total de ses obligations légales. Il ne semble pas y avoir de raisons évidentes pour lesquelles Ryanair a besoin d’une telle vérification », d’autres compagnies aériennes ne sollicitant pas ce type de vérification, a expliqué Felix Mikolasch, avocat de noyb spécialisé dans la protection des données, dans un communiqué de presse.

Premièrement, pour l’organisation de défense de la vie privée, en obligeant les utilisateurs à créer un compte permanent lorsqu’ils veulent réserver un vol sur son site web, Ryanair viole le principe de minimisation du RGPD. Ce principe prévoit que les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

noyb estime également que Ryanair incite les utilisateurs à choisir un processus de vérification qui utilise la reconnaissance faciale biométrique.

En effet, Ryanair présélectionne la procédure de vérification par reconnaissance faciale lorsqu’un utilisateur souhaite réserver un vol. Si les utilisateurs choisissent de ne pas le faire, ils doivent fournir à Ryanair une signature écrite à la main et une copie de leur carte d’identité. noyb estime que cela contrevient aux exigences du RGPD en matière de consentement.

L’organisme cite également les lignes directrices 2022 du Comité européen de la protection des données (EDPB) pour souligner que la reconnaissance faciale peut présenter des risques inacceptables pour les personnes.

Le Comité avait par ailleurs appelé à l’interdiction de l’intelligence artificielle pour la reconnaissance automatisée du visage dans un avis de 2021.

Un porte-parole de la compagnie aérienne a réagi dans un courriel envoyé à Euractiv en affirmant que bien qu’elle « accueille favorablement la plainte de noyb », elle « demande à noyb de justifier sa tentative rétrograde […] de diminuer l’efficacité des garanties de vérification ».

Des plaintes qui se multiplient

En juillet 2023, noyb avait déjà déposé une plainte au titre du RGPD contre les pratiques de Ryanair auprès de l’Agence espagnole de protection des données.

En mai dernier, deux autres plaintes ont été déposées contre le processus de vérification de Ryanair auprès des autorités française et belge de protection des données personnelles par eu travel tech, l’organisation de lobbying de l’UE pour les sociétés de location à court terme.

Conformément aux règles de procédure du RGPD, les autorités espagnoles (AEPD), françaises (CNIL), belges (APD-GBA) et italiennes (Garante) devraient participer à une décision conjointe avec leur homologue irlandaise (DPC), qui mènera l’enquête, étant donné que Ryanair est une société basée à Dublin.

Un différend commercial à l’origine de l’affaire

« Il semble que le véritable objectif du processus de vérification soit d’empêcher les agences de voyages en ligne de créer des comptes pour acheter puis revendre des vols Ryanair sur leurs sites web », peut-on lire dans le communiqué de presse de noyb.

Ryanair est actuellement en conflit avec des agences de voyages en ligne comme Opodo, eDreams ou Booking.com au sujet de son processus de vérification faciale.

Les agences de voyages estiment que Ryanair a mis en place son processus de vérification de la reconnaissance faciale pour empêcher les utilisateurs de réserver des billets sur leurs places de marché.

De son côté, Ryanair estime que les agences de voyages agissent illégalement, son PDG Michael O’Leary ayant qualifié ces sociétés de « pirates ».

Lorsque certaines agences de voyages ont déposé leur plainte relative au RGPD en mai, un porte-parole de Ryanair a déclaré à Euractiv que les agences de voyages « ne vendaient pas les vols » et que les données qu’elles récupéraient sur le site de Ryanair avaient été « obtenues de manière illégale ».

[Édité par Anne-Sophie Gayet]

blankblank


Aller à la source