Depuis le 2 décembre, le ministère de l’aviation civile de l’Union a commencé à utiliser la technologie de reconnaissance faciale pour la sécurité des aéroports.
Les aéroports permettront désormais aux voyageurs de passer par divers points de contrôle – entrée, accès à la zone de contrôle de sécurité et embarquement des avions – via un processus sans contact en utilisant un logiciel de reconnaissance faciale. Cela fonctionnera comme une alternative au processus actuel impliquant une vérification physique par le personnel de la Central Industrial Security Force dans le cadre du contrôle de sécurité avant l’embarquement dans l’avion.
Bien que cela réduise le temps d’embarquement, le lancement de l’accès basé sur la reconnaissance faciale ainsi que ses liens avec d’autres formes d’identité a également mis en lumière des préoccupations concernant la vie privée des passagers.
Le nouveau système
Les traits du visage des passagers seront scannés par le système de reconnaissance faciale aux portes électroniques situées à ces points de contrôle pour établir son identitéqui sera lié à leur carte d’embarquement.
Pour le processus sans contact, les détails du voyage des passagers devront être liés à une application mobile. Plus important encore, les voyageurs auront besoin d’une validation basée sur Aadhaar, d’une capture d’image de soi et devront télécharger leur carte d’embarquement.
Actuellement, ce nouveau processus – qui vise à offrir une expérience “transparente, sans tracas et sans papier” aux passagers – n’est pas obligatoire et n’est disponible que pour certains vols intérieurs dans trois aéroports.
En Inde, le programme est déployé dans sept aéroports dans la première phase – Bengaluru, Delhi et Varanasi à partir du 2 décembre et Hyderabad, Kolkata, Pune et Vijayawada d’ici mars 2023. Même dans ces aéroports, le service n’est actuellement disponible qu’à des aéroports spécifiques. terminaux et portes d’embarquement, selon informations fournies par l’aéroport de Delhi. Les clients de certaines compagnies aériennes seulement peuvent actuellement bénéficier de ce service.
Cette politique d’utilisation de la reconnaissance faciale dans les aéroports, baptisée “Digi Yatra”, a été annoncée pour la première fois par le ministère de l’aviation civile en octobre 2018.
Problèmes de confidentialité
Cependant, des inquiétudes ont été soulevées concernant la confidentialité des utilisateurs étant donné la nécessité de lier Aadhaar et de fournir une image de soi. Les informations collectées sur les passagers pourraient être utilisées à mauvais escient, partagées ou volées, suggèrent les experts.
“Bien que des initiatives technologiques telles que Digi Yatra soient utilisées pour améliorer la commodité et la sécurité, elles sont développées sans régime de protection des données ni réforme de surveillance robuste, ce qui est problématique”, a déclaré Kamesh Shekar, responsable de programme au groupe de réflexion The Dialogue basé à Delhi.
“Les données collectées par ces moyens ne sont pas protégées contre les abus, qui peut accéder aux données et si elles ne sont utilisées que dans le but stipulé est inconnue”, a déclaré Shekar. “Les mesures visant à prévenir et à lutter contre les violations et les abus ne sont pas spécifiées.”
Pour atténuer ces problèmes de confidentialité, le ministère civil a déclaré que les informations personnellement identifiables ne sont pas stockées de manière centralisée et que les informations d’identification de voyage sont conservées dans un portefeuille sécurisé dans le smartphone du passager lui-même. La technologie Blockchain est utilisée pour sécuriser les données téléchargées et toutes les données seront supprimées des serveurs dans les 24 heures suivant leur utilisation, a ajouté le ministère.
La blockchain est un système qui enregistre les données numériques d’une manière qui rend difficile la réalisation de modifications.
Cependant, Shekar a averti que toute technologie basée sur Internet, y compris la blockchain, n’est pas à l’abri des menaces de cybersécurité.
De plus, comme la politique régissant ce service permet également le partage de données avec des tiers pour fournir des services à valeur ajoutée, Shekar a déclaré qu’il y avait des risques accrus de fraude par des tiers, d’espionnage et d’utilisation abusive des données.
Bien que la politique régissant ce service parle de supprimer les données biométriques du passager du système dans les 24 heures suivant le voyage de la personne, “elle mentionne également que [the boarding system] aura la possibilité de modifier les paramètres de purge des données en fonction des exigences de sécurité » sans en être averti, a déclaré Aditi Seetha, responsable du programme, The Dialogue.
Anushka Jain, conseillère politique à Internet Freedom Foundation, a également souligné le manque de garanties contre le partage des données des passagers avec des tiers. “Les passagers sont tenus de faire confiance aux autorités et d’espérer que vos données ne seront pas compromises, au moins jusqu’à ce qu’une nouvelle loi sur la protection des données entre en vigueur”, a déclaré Jain.
Manque de protection
Dans le Politique 2018 qui régit ce service, le gouvernement avait suggéré que le mécanisme se conforme et adhère aux lois de protection des données du pays.
Cependant, le Niti Aayog – le groupe de réflexion sur les politiques publiques du gouvernement de l’Union – avait par la suite mis en garde le ministère de l’aviation civile dans sa document de travail publié en novembre que le service doit se conformer aux lois existantes sur la confidentialité des données. Cependant, les experts soulignent qu’il n’est pas clair comment les données des passagers seront protégées étant donné qu’à l’heure actuelle, l’Inde n’a pas de lois sur la protection des données.
Alors que l’Inde ne dispose pas actuellement d’une loi sur la protection des données, un nouveau projet de loi couvrant la protection des données personnelles numériques est en cours de discussion. Même ce projet de loi, selon certains experts, offrirait peu de protection contre les problèmes découlant de la reconnaissance faciale.
“Les données biométriques telles que le visage d’une personne sont des données personnelles sensibles”, a déclaré Jain. “Bien que les empreintes digitales ne puissent pas être capturées facilement, n’importe qui peut capturer votre visage [through a photo]. Le visage d’une personne figure sur diverses cartes d’identité, mais pas les empreintes digitales », a ajouté Jain, soulignant la sensibilité des données de reconnaissance faciale.
« Les itérations précédentes [of the Digital Personal Data Protection Bill, 2022 being discussed] fait la distinction entre les données personnelles et les données personnelles sensibles et a fourni des protections strictes en ce qui concerne les données personnelles sensibles », a déclaré Seetha.
Les « données personnelles sensibles » désignent les données personnelles telles que la biométrie.
Étant donné que le projet de loi modifiera la loi existante sur les technologies de l’information et supprimera une section sur l’indemnisation en cas de non-protection des données, il semble un peu inquiétant de savoir comment les données biométriques collectées dans les aéroports seront protégées, a déclaré Seetha.
Selon les experts, il existe d’autres raisons d’être sceptique. “Alors que les données seront effacées de la base de données de l’aéroport 24 heures après le départ des passagers, il est moins clair si les données sont supprimées des autres registres où les données sont stockées”, a déclaré Shekar. Le Niti Aayog avait également déclaré dans son projet de document que les règles relatives à la purge de la biométrie faciale et d’autres informations sur les passagers stockées dans d’autres registres devaient être clairement énoncées dans la politique de Digi Yatra.
Droit fondamental
Les lois indiennes actuelles ne prévoient pas de sanctions sévères en cas de violation ou de violation de données sensibles, a averti Seetha.
L’utilisation de la technologie de reconnaissance faciale ne serait pas conforme à l’arrêt Puttaswamy rendu par la Cour suprême, a ajouté Seetha. Dans l’arrêt Puttaswamy de 2017, la Cour suprême avait jugé que le droit fondamental à la vie privée est garanti par la Constitution.
De telles préoccupations ont également été soulevées dans d’autres pays où des services similaires ont été déployés. La technologie de reconnaissance faciale est largement utilisée dans les aéroports des États-Unis, à Doha, Dubaï, Singapour et à Heathrow à Londres.
