Ryanair accusé de violer le RGPD avec son système de vérification biométrique

L'EU Travel Tech, une association lancée en 2009 qui représente les intérêts des services de distribution globale et les agences de voyage auprès de l'industrie et des décideurs publics, a annoncé le 21 mai avoir déposé deux plaintes contre Ryanair pour violation du Règlement général sur la protection des données (RGPD). La première a été déposée devant la Commission nationale de l'informatique et des libertés et la seconde devant l'Autorité de protection des données (ADP), l'autorité belge.

Une procédure pour les clients extérieurs

Dans le viseur de l'association européenne, le système de vérification biométrique imposée à une catégorie spécifique de clients de la compagnie aérienne, ceux qui passent par une agence de voyage et qui ne réservent donc pas leurs billets auprès de Ryanair directement. Si la personne refuse de se soumettre à cette procédure, elle peut choisir de remplir un formulaire en ligne (qui peut mettre jusqu'à sept jours pour être validé) ou se rendre au comptoir d'enregistrement à l'aéroport avant son départ moyennant des frais supplémentaires.

D'après la plainte, cette vérification biométrique qui implique le traitement de données sensibles ne respecte pas la réglementation européenne. Elle violerait "les principes licéité, d'équité et de transparence requis par le RGPD". L'association rappelle que les données biométriques sont une catégorie particulière de données dont le traitement est par principe interdit sauf exceptions (lesquelles sont énumérées dans l'article 9 du texte).

Des risques pour la vie privée et la sécurité

Le traitement de ces données, alors qu'il n'est ni nécessaire ni proportionné, engendre des risques tels que le vol d'identité ainsi "qu'une surveillance injustifiée", ajoute l'EU Travel Tech. Par ailleurs, une fois compromises, ces données ne peuvent plus "être révoquées ou modifiées", ce qui présente "des risques permanents pour la vie privée et la sécurité des individus".

L'association attend des autorités de protection des données qu'elles enquêtent sur le système de vérification biométrique et qu'elles prennent "des mesures provisoires" pour suspendre l'application litigieuse. Mais surtout agir rapidement. En effet, elle s'étonne et s'inquiète de la lenteur des procédures citant la plainte déposée en juillet 2023 par Noyb. "Le processus de vérification de Ryanair ressemble à une nouvelle tentative de compliquer la vie des voyageurs et [ses] concurrents pour augmenter les profits", avait expliqué Romain Robert, directeur de programme de l'association autrichienne, lors du dépôt de la plainte devant l'autorité espagnole de protection des données.

Une guerre entre la compagnie et les agences de voyage

Cette affaire dépasse en réalité la frontière de la protection des données personnelles. Au coeur, se trouve une véritable guerre entre la compagnie aérienne et les agences de voyage. La première reproche aux secondes d'être des "Online Travel Agencies pirates" en prenant une marge sur le prix des billets, de proposer des services annexes et "des frais inventés pour des services inexistants, comme les tarifs flexibles ou remboursables". D'après Noyb, l'intégration de la biométrie sert à cette cause. "Il semble évident que le processus existe principalement pour inciter les gens à réserver directement auprès de Ryanair", accusait l'association.

Sélectionné pour vous

Une organisation sur deux a déjà écarté une solution IT pour des raisons de souveraineté

Droits d'auteur : Anthropic met fin à un procès en payant 1,5 milliard de dollars

Supply chain, gouvernance, audibilité : Les leçons à tirer du stress test sur la sécurisation de l'IA