Une visiteuse a déposé un recours collectif contre Disney au tribunal fédéral de New York pour avoir scanné son visage et celui de ses enfants à l'entrée de Disneyland Park et de Disney California Adventure. Le dispositif, en place depuis avril, n'est mentionné nulle part dans la Privacy Policy du groupe. La plainte réclame au moins 5 millions de dollars de dommages.
Comment fonctionne le scan facial dans les parcs californiens ?
Disney a déployé son système de reconnaissance faciale dans ses deux parcs californiens, Disneyland Park et Disney California Adventure. Lors du premier passage, la photo prise au portique d'entrée est convertie en un gabarit numérique unique, qui est lié au ticket ou au pass annuel. Pour toutes les visites qui suivent, le scan compare le visage présenté avec la donnée biométrique initiale. L'objectif de Disney, c'est de réduire les temps d'attente, mais surtout, vous l'imaginez bien, de lutter contre la fraude, c'est-à-dire la revente ou partage et la réentrée sans billet valide. Le dispositif s'applique par défaut à tous, enfants compris.
Aucune mention claire dans la Privacy Policy
La plainte a été déposée par Summer Christine Duffield, une visiteuse venue avec ses enfants mineurs cinq jours plus tôt. Le principal repproche , c'est que Disney ne mentionne nulle part dans sa Privacy Policy la collecte de données biométriques. Les informations sont vaguement dispersées sur plusieurs pages du site, ce qui empêche un consentement éclairé. Pourtant, quatre entrées proposent un pictogramme avec une silhouette barrée pour éviter le scan, pour ceux qui n'en veulent pas, mais la plainte estime que ce simple symbole ne constitue pas une information suffisante. Le recours collectif réclame quand même 5 millions de dollars en dommages et compensations pour les visiteurs concernés.
Disneyland Paris aussi sous enquête de la CNIL
En France, Disneyland Paris fait face à un dossier qui pose aussi problème, mais sans reconnaissance faciale au sens strict. Le parc a mis en place un dispositif qui lie la photo du visiteur à son billet d'entrée, pour éviter la revente, avec une suppression annoncée sous sept jours. Une plainte a quand même été déposée auprès de la CNIL, qui enquête désormais sur la conformité du dispositif au RGPD. Pour les visiteurs européens, la question est moins celle de la biométrie que celle de la proportionnalité, est-ce que prendre la photo de chaque entrant pour lutter contre la revente est strictement nécessaire et adapté au but recherché ?
On en dit quoi ?
Le vrai sujet, c'est la transparence. Quand Disney planque sa politique biométrique dans un labyrinthe de pages web, on est loin du consentement éclairé que demande la loi américaine sur les données personnelles. Des enfants sont scannés sans que leurs parents soient prévenus clairement à l'entrée du parc, et c'est un problème.
