IA et reconnaissance faciale dans les bornes interactives : conformité RGPD et cadre légal
Par Maxime Rousseaux
Déployer une borne avec reconnaissance faciale en salon exige de maîtriser le RGPD, la loi Informatique et Libertés et les risques légaux. Guide complet des obligations et bonnes pratiques.
Pourquoi la reconnaissance faciale pose des défis légaux
Les bornes interactives équipées de reconnaissance faciale ou d'IA collectent et traitent des données biométriques. Celles-ci sont considérées comme des données sensibles par le RGPD (Règlement Général sur la Protection des Données) et la loi française Informatique et Libertés. Leur traitement n'est jamais anodin sur le plan légal, même en contexte événementiel.
Un simple capteur qui analyse les traits d'un visiteur pour adapter l'affichage, ou une caméra qui compte les regards, crée une obligation de transparence et de conformité immédiate. Ignorer ces règles expose l'organisateur et le propriétaire du matériel à des amendes substantielles et à une atteinte à la réputation.
Cadre légal applicable en France et en Europe
Trois textes encadrent strictement ces technologies :
Le RGPD (depuis 2018) : impose le consentement explicite, la transparence, et le droit à l'oubli pour toute donnée biométrique.
La loi Informatique et Libertés (LIL) : renforce le cadre français et prévoit des sanctions pénales en cas de violation grave.
La loi IA de l'UE (AI Act) : classe la reconnaissance faciale en temps réel comme à risque élevé, imposant des audits et une documentation stricte.
Sur un salon ou un stand, même temporaire, ces règles s'appliquent intégralement. Il n'existe pas d'exemption pour les événements ponctuels.
Consentement : la pierre angulaire
Le consentement doit être préalable, explicite et librement donné. En pratique, cela signifie :
Informer le visiteur avant toute capture de données biométriques, pas après.
Utiliser un langage clair et non technique : expliquer concrètement ce qui sera capturé et comment.
Proposer une action affirmative (cocher une case, signer un formulaire) — le silence ou l'inaction ne valent pas consentement.
Permettre le refus sans pénalité : si un visiteur refuse, il doit pouvoir accéder à la borne avec une version alternative, ou ne pas y accéder du tout.
Les formulaires pré-cochés, les consentements implicites ou les refus difficiles sont non-conformes et annulent la légalité du traitement.
Obligation de transparence et d'information
Vous devez afficher ou remettre une notice d'information incluant :
L'identité du responsable du traitement (organisateur, agence événementielle, propriétaire de la borne).
La finalité précise : reconnaissance faciale pour adapter le contenu, compter les affluences, analyser les réactions, etc.
La durée de conservation des données : supprimer après l'événement est une bonne pratique.
Les droits des personnes : accès, rectification, suppression, portabilité.
Le nom du responsable légal à contacter en cas de question.
Cette notice doit être accessible, lisible et en français (au minimum). Un simple QR code renvoyant à un PDF en ligne est accepté.
Gestion des données : stockage et sécurité
Une fois capturées, les données biométriques doivent être :
Chiffrées en transit et au repos.
Stockées sur un serveur sécurisé, idéalement en France ou dans l'UE pour simplifier la conformité.
Supprimées rapidement après l'événement, sauf justification métier explicite.
Jamais partagées avec des tiers sans consentement supplémentaire.
Si vous externalisez l'infrastructure (cloud, prestataire de traitement), vous devez signer un contrat de traitement des données (DPA) et vérifier les garanties de sécurité du prestataire.
Risques et sanctions
La CNIL (Commission Nationale de l'Informatique et des Libertés) peut infliger des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel pour les violations graves du RGPD. Les autorités françaises ont déjà sanctionné des entreprises pour non-conformité biométrique.
Au-delà de l'amende financière, les risques incluent :
L'interdiction temporaire ou définitive d'utiliser la technologie.
L'obligation de destruction des données collectées.
Une atteinte publique à la marque et à la confiance des clients.
Des poursuites pénales en cas de violation intentionnelle.
Bonnes pratiques opérationnelles
Pour déployer une borne interactive conforme :
Réalisez un audit RGPD avant le déploiement : identifiez tous les traitements de données et leurs risques.
Documentez tout : registre des traitements, consentements signés, procédures de suppression.
Formez votre équipe : les hôtesses et agents doivent pouvoir expliquer clairement la technologie aux visiteurs.
Testez la suppression des données : vérifiez que vous pouvez réellement effacer les images et métadonnées après l'événement.