Déclaration de politique de la FTC sur l’information et la technologie biométriques | Bryan Cave Leighton Paisner

Publié le 26 mai 2023 par Mycamer

La Federal Trade Commission (« FTC ») a a publié une déclaration de politique aborder les technologies biométriques dans un signal des mesures d’exécution à venir : Il stipule : « À la lumière de l’évolution des technologies et des risques pour les consommateurs, la Commission établit . . . des exemples de pratiques qu’il examinera pour déterminer si les entreprises qui collectent et utilisent des informations biométriques ou commercialisent ou utilisent des technologies d’information biométriques se conforment à l’article 5 de la loi FTC [unfair or deceptive acts or practices].”

Les entreprises qui n’ont pas « chronométré » la vague massive de recours collectifs liés à la confidentialité biométrique ou les lois spécifiques à la biométrie dans l’Illinois, le Texas et Washington doivent en tenir compte. Même pour les entreprises qui ont mis en place une politique de confidentialité biométrique, la FTC a déclaré expressément : « Le respect de ces [state or city biometric] lois . . . n’empêchera pas nécessairement les mesures d’application de la loi de la Commission en vertu de la loi FTC ou d’autres lois.

Quel type d’informations la déclaration de politique de la FTC couvre-t-elle ?

L’énoncé de politique définit les « informations biométriques » comme suit :

les données qui décrivent ou décrivent des traits physiques, biologiques ou comportementaux, des caractéristiques ou des mesures du corps d’une personne identifiée ou identifiable ou se rapportant à celui-ci. Les informations biométriques comprennent, mais sans s’y limiter, les représentations, les images, les descriptions ou les enregistrements des traits du visage, de l’iris ou de la rétine, des empreintes digitales ou des mains, de la voix, de la génétique ou des mouvements ou gestes caractéristiques d’un individu (par exemple, la démarche ou le schéma de frappe). Les informations biométriques comprennent également les données dérivées de ces représentations, images, descriptions ou enregistrements, dans la mesure où il serait raisonnablement possible d’identifier la personne à partir des informations desquelles les données ont été dérivées. À titre d’exemple, à la fois une photographie du visage d’une personne et un modèle de reconnaissance faciale, une intégration, une empreinte faciale ou d’autres données qui codent des mesures ou des caractéristiques du visage représenté sur la photographie constituent des informations biométriques.

Que devraient faire les entreprises à la suite de la déclaration de politique de la FTC ?

  • Mettre en œuvre des mesures de confidentialité et de sécurité des données pour s’assurer que toute information biométrique collectée ou conservée est protégée contre tout accès non autorisé ;
  • Procéder à une « évaluation holistique » des risques potentiels pour les consommateurs associés à la collecte et/ou à l’utilisation » des informations biométriques des consommateurs avant de déployer la technologie de l’information biométrique ;
  • Traiter rapidement les risques connus ou prévisibles (e. si la technologie biométrique est sujette à certains types d’erreurs ou de biais, les entreprises doivent prendre des mesures pour réduire ces erreurs ou biais );
  • Divulguer la collecte et l’utilisation des informations biométriques aux consommateurs d’une manière claire, visible et complète ;
  • Avoir un mécanisme pour accepter et traiter les plaintes et les litiges des consommateurs liés à l’utilisation de la technologie de l’information biométrique ;
  • Évaluer les pratiques et les capacités des fournisseurs de services et des autres tiers qui auront accès aux informations biométriques des consommateurs ou qui seront chargés d’exploiter la technologie biométrique ou de traiter les données biométriques. Les exigences contractuelles peuvent ne pas suffire ; des audits stratégiques et périodiques doivent être envisagés. Comme l’indique la FTC : « Les entreprises doivent rechercher des assurances et des accords contractuels pertinents qui obligent les tiers à prendre les mesures appropriées pour minimiser les risques pour les consommateurs. Ils doivent également aller au-delà des mesures contractuelles pour superviser les tiers et s’assurer qu’ils respectent ces mesures organisationnelles et techniques (y compris en prenant des mesures pour garantir l’accès aux informations nécessaires) pour superviser, surveiller ou auditer la conformité des tiers à toute exigence » ;
  • Fournir une formation appropriée aux employés et sous-traitants dont les tâches impliquent d’interagir avec des informations biométriques ou la technologie biométrique ; et
  • Effectuer une « surveillance continue » des technologies biométriques utilisées — « pour s’assurer que les technologies fonctionnent comme prévu, que les utilisateurs de la technologie l’utilisent comme prévu et que l’utilisation de la technologie n’est pas susceptible de nuire aux consommateurs ».

En quoi ces exigences diffèrent-elles de la loi sur la confidentialité des informations biométriques de l’Illinois ?

La FTC recherchera des entreprises pour avoir collecté une “” évaluation holistique “des risques potentiels pour les consommateurs associés à la collecte et / ou à l’utilisation” des informations biométriques des consommateurs avant de déployer la technologie de l’information biométrique et pour effectuer une “surveillance continue” des technologies utilisées. Il ne s’agit pas d’exigences codifiées dans le BIPA de l’Illinois ou dans toute autre loi biométrique d’État ou locale.

Alors que les lois existantes sur la confidentialité des données biométriques et plus larges des consommateurs exigent des mesures de sécurité des données raisonnables, la déclaration de politique de la FTC suggère que les entreprises devraient également avoir des programmes de formation concernant l’utilisation de la technologie biométrique.

La FTC a-t-elle pris des mesures d’application contre les technologies biométriques ?

Oui. En 2021, la FTC a réglé son action contre un développeur d’applications photo alléguant que le développeur avait trompé les consommateurs sur l’utilisation de la technologie de reconnaissance faciale et que le développeur avait indûment conservé des photos et des vidéos d’utilisateurs qui avaient désactivé leurs comptes. Le règlement conclu comprenait 20 ans de surveillance de la conformité. La FTC a également accusé une société de médias sociaux de huit violations liées à la vie privée, qui comprenaient des allégations de consommateurs trompeurs au sujet d’un outil de marquage de photos qui aurait utilisé la reconnaissance faciale. Cette affaire s’est réglée pour 5 milliards de dollars en 2019.

[View source.]

to www.jdsupra.com


Abonnez-vous à notre page Facebook: https://www.facebook.com/mycamer.net
Pour recevoir l’actualité sur vos téléphones à partir de l’application Telegram cliquez ici: https://t.me/+KMdLTc0qS6ZkMGI0
Nous ecrire par Whatsapp : Whatsapp +44 7476844931