The compliance of facial processing in France with the article 9 paragraph 2 (a) (g) of (EU) General data protection regulation
Loading...
Date
2023
Authors
Bulgakova, Daria
Bulgakova, Valentyna
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
The legal identity of individuals is critical in digital ecosystems, and biometric systems play a vital role in verifying identities throughout their lives. However, these systems also pose significant risks and require responsible use. The European Union has established a digital strategy to create a trusted and secure digital identity, setting a global standard for technological development in identification. In line with the General Data Protection Regulation Article 9(1), member countries must justify any exceptions to the rule provided. France has taken a leading role in using unique identification legally, implementing digitally processed attributes such as facial recognition through the Alicem application on smartphones to identify individuals in a digital environment, and improving e-services uniquely. Specifically, the article analyses the General Data Protection Regulation Article 9, paragraph 1, and the exceptional conditions outlined in paragraph 2 (a) (g) along with scrutinized legislation in France of Decree n°2019-452 of 13 May 2019, which authorized the use of unique identification known as "Certified Online Authentication on Mobile". The research recommends that EU member countries taking approaches to introduce GDPR Article 9 into national legislation should consider their citizens’ specific needs and concerns while aligning with the European Union law because it is critical to balance the benefits of biometric systems with the risks posed to personal data protection, ensuring that their responsible use contributes to a secure and trustworthy digital ecosystem.
Description
У цифрових екосистемах правосуб’єктність фізичних осіб має вирішальне значення, а біометричні системи відіграють життєво важливу роль у перевірці особи впродовж усього життя. Однак ці системи також становлять значні ризики і потребують відповідального використання. Європейський Союз розробив цифрову стратегію для створення надійної та безпечної цифрової ідентифікації, що встановлює глобальний стандарт технологічного розвитку в галузі ідентифікації. Відповідно до параграфа 1 ст. 9 Загального регламенту про захист даних (General Data Protection Regulation, GDPR), країни-члени повинні обґрунтовувати будь-які винятки з цього правила. Франція відіграє провідну роль у легальному використанні унікальної ідентифікації та впровадженні цифрових атрибутів, як-от розпізнавання обличчя через додаток Alicem на смартфонах для підтвердження достовірності особи в цифровому середовищі, що також вдосконалює електронні послуги. Загальний регламент про захист даних (GDPR) у параграфі 1 ст. 9 забороняє біометричну обробку, однак дає можливість країнам-учасницям згідно з параграфом 4 ст. 9 робити винятки з урахуванням умов, зазначених у параграфі 2 ст. 9 щодо випадків можливості уникнення такої заборони. Тому в цьому дослідженні проаналізовано відповідність практики Франції умовам, викладеним у пп. (a), (g) параграфа 2 ст. 9 Загального регламенту про захист даних (GDPR). Зокрема, ретельно вивчено проблематику законодавства Франції, а саме Декрет № 2019-452 від 13 травня 2019 р., який дозволив створення засобів електронної ідентифікації під назвою "Сертифікована онлайн-автентифікація на мобільних пристроях" (Authentification en ligne certifiée sur mobile (ALICEM)), тобто використання унікальної ідентифікації завдяки розпізнаванню обличчя осіб, які користуються додатком Alicem. Зважаючи на це, у дослідженні розглянуто два критично важливих питання. По-перше, чи отримує система Alicem згоду користувачів на обробку їхніх біометричних даних? По-друге, чи є використання технології розпізнавання облич для надання державних послуг необхідним засобом досягнення поставленої мети ідентифікувати користувача електронного сервісу? У результаті дослідження було визначено п’ять ключових елементів практики додатка Аlicem у Франції:
1. Задоволення суспільних інтересів. Обробка біометричних даних, яку здійснює Alicem, є публічним впровадженням, що означає, що вона призначена для надання послуги, яка відповідає суспільним інтересам. У цьому випадку такою послугою є надання електронного підтвердження особи, що дає змогу користувачам ідентифікувати себе в цифровому вигляді та автентифікувати себе за допомогою термінального обладнання, оснащеного контактним зчитувальним пристроєм статичної та динамічної системи розпізнавання обличчя.
2. Вільна згода. Людина дає дозвіл на обробку біометричних даних. Це означає, що користувачі не зобов’язані використовувати Alicem, у них є вибір – погоджуватися чи ні надавати свої біометричні дані для сервісу. Такий підхід відповідає вимогам GDPR стосовно того, що згода має бути вільною, конкретною, поінформованою та однозначною.
3. Повага до людської гідності. Дослідження показало, що Alicem поважає людську гідність завдяки надійності й точності використовуваного алгоритму. Це означає, що технологію розроблено так, щоб мінімізувати ризик помилкових ідентифікацій, які потенційно можуть завдати шкоди репутації або гідності людини.
4. Контроль користувача. Alicem встановлюється на мобільний пристрій користувача за допомогою провідної технологічної інтегрованої платформи, програмованої під егідою ANTS (Agence Nationale des Titres Sécurisés), що дає змогу користувачеві здійснювати ексклюзивний контроль над зберіганням даних. Це означає, що користувачі мають повний контроль над своїми біометричними даними і можуть видалити їх у будь-який час. 5. Необхідність і пропорційність. Дослідження показало, що обробка біометричних даних компанією Alicem є необхідною та пропорційною меті сервісу. Метою послуги є надання можливості французьким та іноземним громадянам ідентифікувати себе в електронному вигляді, що є законним суспільним інтересом.
У дослідженні зроблено висновок, що розрізнення облич є пропорційним засобом досягнення цієї мети. Отже, Франція зробила кроки для впровадження положень пп. (а), (g) параграфа 2 ст. 9 GDPR, що стосуються обробки виняткових персональних даних, приділяючи особливу увагу технології розпізнавання облич. Ця технологія була корисною для забезпечення безпечного та ефективного доступу до електронних послуг, але Франція повинна гарантувати дотримання вимог законодавства та захист унікальних даних осіб за допомогою необхідних технічних та організаційних заходів. Тому в дослідженні визначено кілька умов, які потрібно виконати для відповідального використання обробки біометричних даних. По-перше, потрібно провести оцінювання необхідності обробки біометричних даних з урахуванням принципу пропорційності, особливо щодо біометричних даних. По-друге, національне законодавство має додатково обмежувати обробку біометричних характеристик через їхній вплив на людську гідність. По-третє, національне законодавство повинно забороняти комерціалізацію елементів людського тіла, оскільки біометричні технології може бути використано для експлуатації їх з метою отримання фінансової вигоди. Зрештою, біометричні технології для ідентифікації потрібно використовувати лише в крайньому разі, коли інші методи ідентифікації є неефективними. Тож дослідження рекомендує країнам-членам ЄС зважати на конкретні потреби та занепокоєння своїх громадян, оскільки дуже важливо збалансувати переваги біометричних систем із ризиками для захисту персональних даних, гарантуючи, що відповідальне використання таких даних сприятиме створенню безпечної та надійної цифрової екосистеми.
Keywords
biometric data, human recognition, digital legal identity, unique identification, Alicem application, article, біометричні дані, розпізнавання людини, оцифрована особа, унікальна ідентифікація, додаток Alicem
Citation
Bulgakova D. The compliance of facial processing in France with the article 9 paragraph 2 (a) (g) of (EU) General data protection regulation / Daria Bulgakova, Valentyna Bulgakova // Наукові записки НаУКМА. Юридичні науки. - 2023. - Т. 11. - С. 64-76. - https://doi.org/10.18523/2617-2607.2023.11.64-76