Le Garant de la confidentialité fait planter le système FaceBoarding de laAéroport de Milan Linatedéclarant le traitement des informations personnelles gérées par la société SEA est illicite. L’enquête officielle a transformé la suspension provisoire de septembre 2025 à une interdiction permanente, motivée par des problèmes structurels dans la façon dont les visages des usagers de l’aéroport étaient traités. Contrairement aux systèmes dans lesquels les données sensibles restent conservées sur l’appareil de l’utilisateur individuel, l’infrastructure a accumulé les analyses en un seul archives numériquesempêchant les parties intéressées d’avoir un contrôle exclusif sur leurs informations. À cela s’ajoutent également des techniques aggravantes, comme leabsence de cryptage pour protéger les modèles mathématiques dérivés des traits du visage, e durées de stockage injustifiéesqui a atteint 12 mois. L’élément le plus critique soulevé par l’Autorité concerne laacquisition involontaire de données: les caméras des portes hybrides ont capturé les images de ceux qui avaient choisi de ne pas participer au service, configurant une collecte sans consentement pour ceux qui franchissent les soi-disant « portes hybrides ».
Comment fonctionne le FaceBoarding de Milan-Linate
Pour comprendre les raisons du blocage, analysons les fonctionnement du système Milan-Linate FaceBoarding. Le service a été conçu pour remplacer la présentation physique d’une carte d’identité, d’un passeport et d’une carte d’embarquement aux contrôles de l’aéroport. Les passagers adultes pouvaient s’inscrire sur une base volontaire via une application mobile ou via des kiosques physiques dans la zone des départs. La procédure nécessitait de scanner le document de voyage. À l’aide du smartphone, le code a été cadré ZLA (Zone lisible par machine), la chaîne de lettres et de chiffres figurant au bas des documents d’identité, spécialement conçue pour la lecture optique.
Ensuite, la caméra a acquis une image du visage. Dans cette étape, le concept de données biométriques et de modèle entre en jeu. Un système de reconnaissance avancé ne stocke pas une banale photographie bidimensionnelle, mais analyse les géométries du visage, mesurant des distances invariables comme l’espace entre les yeux, pour générer un modèle mathématique unique : le modèle biométrique. Aux tourniquets dédiés, les caméras effectuaient une lecture instantanée, comparant le visage avec le modèle enregistré pour autoriser l’accès.
Parce que le Garant a bloqué FaceBoarding à Milan-Linate
Le Garant a établi que cette pratique viole les RGPDou le Règlement Général sur la Protection des Données, se plaçant en conflit ouvert avec les directives du Comité européen pour la protection des données personnelles, leCEPD (Comité européen de la protection des données), élaboré spécifiquement pour les aéroports.
L’un des principaux problèmes critiques rencontrés par le Garant est lié à stockage de milliers de modèles biométriques sur un seul serveur d’entreprise. Cette pratique crée un risque informatique potentiellement irréversible. Si un attaquant parvenait à pénétrer dans l’archive, cela compromettrait les traits d’identité des passagerspuisqu’un visage humain ne peut pas être réinitialisé ou modifié comme un mot de passe. Ce facteur de risque était amplifié par le total manque de cryptage des donnéesc’est-à-dire l’absence de ces algorithmes qui masquent les informations sensibles les rendant illisibles sans l’aide d’une clé cryptographique spécifique.
Une autre anomalie concerne moi délais de conservation des données sur les bases de données. Les passagers pouvaient choisir de s’inscrire au système pour un seul vol ou de conserver leur profil actif à long terme, mais l’enquête a révélé que l’infrastructure a capturé des informations sensibles pendant une année civile entièreaugmentant considérablement la vulnérabilité au vol numérique. Pour aggraver le tableau général, l’inspection a mis en évidence un problème d’espace : étant le passages à caractère hybrideles objectifs des caméras acquéraient constamment les caractéristiques biométriques même de ceux qui passaient simplement par les voies standards sans jamais avoir donné leur consentement éclairé, le tout aggravé par une information privée fournie au public jugée inexacte.
Toutes ces raisons sont bien résumées dans la note officielle émise par le Garant lui-même disponible sur son site Internet, en partie reproduite ci-dessous :
L’Autorité, lors de l’enquête ouverte d’office, a constaté que le « FaceBoarding » viole le RGPD et contraste notamment avec l’avis de l’EDPB sur l’utilisation de la reconnaissance faciale à l’aéroport. En effet, le système nécessite que les données biométriques acquises soient entièrement stockées de manière centralisée sur les serveurs de SEA, empêchant ainsi les passagers d’exercer un contrôle exclusif sur leurs données. Le Garant a également constaté que SEA n’avait pas adopté de mesures de cryptage pour les modèles biométriques ; conservé les modèles pendant une période excessive (jusqu’à 12 mois), entraînant ainsi une augmentation significative du risque de violation de données personnelles, et fourni des informations contenant des informations inexactes. En outre, l’entreprise a acquis, sans leur consentement, des images des visages des passagers qui, bien qu’ils n’aient pas adhéré au « FaceBoarding », utilisaient les portes hybrides.