Distribuer les photos d'un événement en reconnaissant les visages, c'est traiter des données biométriques — la catégorie la plus sensible du RGPD. Est-ce légal ? Oui, à des conditions précises. Voici lesquelles.
Ce que dit le RGPD (article 9)
Les données biométriques permettant d'identifier une personne sont « sensibles » et interdites par défaut. L'exception qui s'applique ici est le consentement explicite de la personne concernée (article 9.2.a).
Le consentement, clé de voûte
L'invité doit donner un accord clair, libre et éclairé avant toute analyse de son visage. Concrètement : une case à cocher dédiée, une explication simple de ce qui est fait, et la possibilité de refuser sans conséquence.
Minimisation et rétention courte
On ne collecte que le strict nécessaire, et pas longtemps. Le selfie et l'empreinte faciale doivent être supprimés rapidement — jamais conservés « au cas où ».
- Consentement explicite avant toute analyse
- Finalité unique : livrer les photos de l'invité
- Suppression automatique des données biométriques (par exemple à J+30)
- Droit à l'effacement à tout moment, en un clic
Hébergement en Union européenne
Pour limiter les transferts hors UE, l'idéal est un hébergement 100 % européen. C'est un argument de conformité… et de confiance pour les invités, qui acceptent plus volontiers de prendre un selfie.
En résumé
La reconnaissance faciale pour distribuer des photos est parfaitement légale dès lors qu'elle repose sur un consentement explicite, une finalité limitée, une rétention courte et un hébergement européen. EventPics AI a été conçu sur ces garde-fous dès le départ.