Noyb (pour « None of your business »), une ONG autrichienne militant pour la protection de la vie privée, a porté plainte en Espagne contre Ryanair, l’accusant d’imposer « illégalement » la reconnaissance faciale en cas de réservation ailleurs que sur son site internet.

« La plus grande compagnie aérienne d’Europe demande à ses clients de se soumettre à un processus invasif de vérification » par reconnaissance faciale, accuse l’ONG dans un communiqué. Il « paraît évident » que cette « violation assumée de la protection des données » est principalement là pour « inciter les gens à réserver directement auprès de Ryanair ».

Noyb a saisi a saisi l’Autorité chargée de la protection des données en Espagne au nom d’une passagère espagnole qui a du effectuer une reconnaissance faciale avec un sous-traitant de Ryanair après avoir payé 0,59 centime. En cas de non-validation, il aura fallu qu’elle se rende directement au comptoir d’enregistrement au départ pour obtenir sa carte d’embarquement et de s’acquitter des frais supplémentaires, compris entre 30 et 55 euros.

Selon Noyb, « les systèmes de reconnaissance faciale requièrent des données biométriques » qui doivent être cédées, comme le prévoit la réglementation européenne dite RGPD, sur la base d’un « consentement éclairé ». Dans le cas de Ryanair, aucun consentement n’est demandé aux clients. Pour empêcher des agences de voyages de vendre ses billets et garder l’exclusivité de la distribution, Ryanair n’hésite donc pas à utiliser « illégalement » la reconnaissance faciale pour identifier les clients qui ont réservé leurs billets ailleurs que sur son site internet.

De son côté, Ryanair se défend de toute pratique illégale : « Ryanair n’a aucune relation commerciale avec une agence de voyages en ligne (OTA) et aucune n’est autorisée à vendre nos vols. Les OTA récupèrent l’inventaire de Ryanair et, dans de nombreux cas, vendent à tort nos vols et services auxiliaires avec des majorations cachées et fournissent des informations de contact client / détails de paiement incorrects. Par conséquent, et afin de protéger les clients, tous les clients qui réservent via un OTA sont tenus de suivre un processus de vérification client simple et peuvent choisir la vérification biométrique ou bien remplir un formulaire de vérification numérique qui sont tous deux entièrement conformes à toutes les réglementations GDPR. Il s’agit de s’assurer qu’ils (en tant que passagers) font les déclarations de sécurité nécessaires et sont informés directement de tous les protocoles de sécurité et réglementaires requis lors du voyage, comme l’exige la loi ».

Questionnée à ce sujet, la Direction générale de l’aviation civile (DGAC) a rappelé :
-Si la réglementation applicable au transport aérien peut demander à un transporteur aérien de procéder à certaines vérifications ou collecte de données personnelles (données dites API => DIRECTIVE 2004/82/CE DU CONSEIL du 29 avril 2004), le recours à un service de reconnaissance faciale n’est jamais imposé par la dite réglementation.
-Il n’appartient pas à la Direction générale de l’Aviation civile (DGAC) de déterminer si un tel procédé de vérification en ligne est illégal en lui-même. Le recours à la reconnaissance faciale s’inscrit dans un cadre juridique qui n’est pas dans le champ de compétence de la DGAC et qui relève de la responsabilité première des opérateurs qui choisissent d’y recourir, après consultation de la CNIL le cas échéant. La DGAC note en tout état de cause que la compagnie offre une procédure alternative sans frais consistant « à se présenter au comptoir d’enregistrement de l’aéroport le jour du voyage au moins 120 minutes avant le départ ».

En France, la DGAC n’a pas connaissance de cas où des passagers se serait vu refuser l’embarquement pour ne pas avoir respecté une telle procédure de vérification au départ d’un aéroport français.

Ryanair, accusée d’imposer la reconnaissance faciale à des clients en Espagne 1 Air Journal

@Ryanair