Lunettes de soleil, cosmétiques, couvre-chefs, nombreux sont les articles que les consommateurs souhaitent essayer avant d’acheter. À l’ère de l’intelligence artificielle, un nouvel outil mêlant filtre Snapchat et cabine d’essayage apparait : la cabine d’essayage virtuelle. Si les entreprises rivalisent d’ingéniosité pour perfectionner l’essayage virtuel, avec pour objectif principal d’optimiser l’expérience d’achat en ligne[1], cet outil intelligent interroge quant à la protection des données collectées.

En réponse à la collecte croissante des données personnelles et biométriques, l’Union Européenne, a adopté en 2016 le Règlement Général sur la Protection des Données (RGPD)[2] pour encadrer leur traitement, applicable en France depuis 2018[3]. Aux États-Unis, le traitement de ces données fait l’objet d’un encadrement à un niveau étatique. L’Illinois a fait face aux inquiétudes croissantes concernant l’usage des données biométriques[4] en adoptant le Biometric Information Privacy Act (BIPA) [5] en 2008, la loi sur la protection des données biométriques la plus complète des États-Unis[6].

Le BIPA définit les identifiants biométriques comme la « numérisation de la rétine, de l'iris, des empreintes digitales, des empreintes vocales, de la géométrie de la main ou du visage » et les informations biométriques comme toute information utilisée pour identifier un individu basée sur ces identifiants[7]. Similairement, l’article 4.14 du RGPD définit les données biométriques comme des données à caractère personnel résultant d'un traitement technique spécifique, permettant l’identification unique d’une personne physique par ses caractéristiques physiques, physiologiques ou comportementales[8].

Ainsi, les deux systèmes juridiques assimilent la numérisation du visage à un traitement de données biométriques. En pratique, la technologie des cabines d’essayage virtuelle est la même en France qu’aux États-Unis, et consiste à opérer un balayage du visage via une caméra ou une photo pour positionner dynamiquement un accessoire[9]. Les données sont ensuite collectées et transférées au serveur du prestataire fournissant l’outil, où elles sont stockées pour une durée variable.

En Illinois, une action collective contre la maison Christian Dior illustre la difficulté des juges à aborder cet outil, malgré un certain cadre juridique[10]. Delma Warmack-Stillwell a utilisé le Virtual Try-On Tool (VTOT) sur le site internet de Christian Dior, permettant d’essayer virtuellement des lunettes à l’aide d’une numérisation du visage par webcam ou photo.

Selon la demandeuse, les données biométriques des utilisateurs ont été transférées et stockées sur les serveurs du sous-traitant et de Dior, le responsable du traitement, sans notification ni consentement préalables. Une action collective est alors intentée pour méconnaissance des articles 15(a), 15(b) et 15(c) du BIPA, requérant un consentement préalable et une notification de l’utilisateur que ses données biométriques sont collectées[11].

Dior requiert le rejet de la demande sur le fondement que l’outil relève de l'exemption du BIPA relative aux soins de santé, couvrant les « informations recueillies auprès d'un patient dans un contexte de soins de santé ».  Ainsi, Dior avance que les lunettes de soleil, étant des dispositifs médicaux, les utilisateurs de l’outil d’essayage sont des patients. Par conséquent, le traitement en question s’inscrit dans le champ d’application de l’exemption prévue par le BIPA. La demandeuse fait valoir qu'elle ne peut pas être considérée comme une patiente au sens du BIPA car il s’agit de lunettes de soleil sans ordonnance.

 

La cour devait alors déterminer si l’outil d’essayage virtuel proposé par Dior constituait un dispositif médical, bénéficiant ainsi d’une exemption à l’obligation de consentement préalable et de notification dans le cadre de la collecte de données biométriques, prévue par le BIPA.

La cour répond par l’affirmative. Tout en reconnaissant que Dior avait collecté et profité des données biométriques des utilisateurs, la cour retient que l’outil peut être considéré comme un dispositif médical dans un « contexte de soins de santé »[12]. Les lunettes, même non-correctrices, sont classées comme dispositifs médicaux. Dior est exempté des obligations de l’article 15(a) du BIPA[13].

Les cabines d’essayage virtuelles soulèvent des enjeux économiques, sociaux et de santé, relatifs à la protection de la vie privée lorsque ces technologies contournent le droit. En s'appuyant sur les caractéristiques immuables de la personne, transformées en un code numérique[14], la biométrie suscite une profusion de questionnements que cette décision suggère. Ainsi, il convient d’étudier dans quelle mesure les droits des utilisateurs sont-ils protégés aux États-Unis et dans l’Union Européenne dans le contexte des cabines d’essayage virtuelles et du traitement des données biométriques.

 

Dès lors, les dangers majeurs du VTOT seront développés dans une première partie (I), puis, la réponse juridique la plus adaptée sera étudiée dans une seconde partie (II).

 

1. Protection des données personnelles des utilisateurs : les dangers des cabines d’essayage virtuelles

Le préjudice invoqué par la demandeuse réside dans la perte de contrôle sur ses identifiants biométriques uniques et les informations associées, couronnée par le profit qu’en tirent des entreprises privées comme Dior[15]. Il convient d’étudier d’une part la vulnérabilité des individus face à l’exploitation de leurs données biométriques (A), d’autre part, la faille juridique permettant aux entreprises d’en tirer profit (B).

1. La sensibilité des données : les utilisateurs vulnérables.

 

Le caractère immuable des données biométriques traitées expose les utilisateurs à une potentielle perte de contrôle sur leur identité. La demandeuse met en avant cette vulnérabilité en soulignant que ces données «biologiquement uniques à l'individu » placent l’individu « sans recours » et « avec un risque accru d'usurpation d'identité »[16] en cas de compromission. De fait, contrairement à un mot de passe, les données biométriques ne peuvent être modifiées et restent identiques. En l’absence d’un cadre juridique adapté, la collecte de ces données particulièrement sensibles fragilise la protection de l’identité et de la vie privée des utilisateurs.

 

Conscients de ce danger, les législateurs du BIPA et du RGPD ont établi des obligations similaires pour les responsables du traitement. L’article §15(a) du BIPA dispose que les entités privées doivent détenir une politique écrite publiquement accessible sur la conservation et la destruction des données ; et le §15(b) dispose que ces entités doivent obtenir un consentement éclairé avant la collecte, l’achat ou toute autre acquisition des données biométriques d’un individu[17]. Le RGPD dispose également d’une obligation de consentement. L’article 9.1 prohibe le traitement des données biométriques[18], sauf si un consentement explicite est donné ou que le traitement s’inscrit dans l’une des exceptions de l’article 9.2[19]. Ainsi, les deux systèmes requirent le consentement de l’utilisateur lorsque ses données biométriques sont traitées.

 

Si les dangers du VTOT résident dans la sensibilité des données traitées, un cadre de protection existe dans les deux systèmes. Cependant, il semblerait que des failles juridiques persistent, exploitées par des entreprises privées.

 

2. La finalité de traitement : une faille juridique exploitée

 

Les deux législations requièrent l’identification d’une finalité conditionnant la pertinence des données personnelles collectées et la durée de leur conservation pour encadrer leur traitement. Cette finalité doit être respectée à chaque étape du traitement. En France, l’article 5.1 du RGPD impose qu’une finalité soit déterminée, légitime et explicite[20]. De son côté, l’article 15(b)(2) du BIPA fait également de la finalité un élément important en requérant que toute entité privée traitant des données biométriques, doit informer l’utilisateur de la finalité spécifique et de la durée pendant laquelle ses données seront collectées, stockées et utilisées[21]. Dès lors, il semblerait que les deux régimes juridiques fassent de la finalité une condition obligatoire.

 

En contrepartie, cette disposition protectrice comporte le risque d’une interprétation inadaptée dans un cadre juridique imprécis. C’est précisément cette faille qui a été exploitée par Dior. En l’espèce, la classification des lunettes de soleil comme dispositifs médicaux par la FDA[22] a permis l’application de l’exemption prévue à l’article 12(b)(6) du BIPA. Le juge, s’appuyant sur des définitions de « patient » et de « soins médicaux », a estimé que l’outil facilitait l’accès à des lunettes de soleil considérées comme des dispositifs médicaux. Cette analyse a permis de qualifier l’objectif poursuivi par le VTOT comme médical, exemptant ainsi le responsable de traitement des obligations protectrices des utilisateurs.

 

Définir une exemption des obligations de consentement et de notification dans le cadre d’un traitement médical n’est pas propre au BIPA. Le RGPD dispose d’une exemption similaire aux articles 9.2(h) et 9.3[23], mais en limite le champ d’application, disposant que les données doivent être traitées par un professionnel de santé « soumis à une obligation de secret professionnel »[24]. Ainsi, en France la finalité poursuivie par le VTOT serait probablement considérée comme commerciale, relevant du marketing direct. De fait, l’APD considère qu’une activité de prospection visant à promouvoir des produits ou services exige un consentement préalable explicite de l’utilisateur[25].

 

La biométrie étant devenue une ressource particulièrement monétisable[26], un enjeu économique majeur se cache derrière cette stratégie d’évitement. Par l’utilisation de ces données, les marques peuvent adapter leur marketing, personnaliser les recommandations et optimiser leur rendement commercial. En l’absence d’un encadrement législatif clair, il appartient au juge de déterminer la finalité du traitement opéré par le VTOT. Conscientes de cette faille juridique, les entreprises orchestrent la finalité de leur traitement pour contourner les obligations du droit.

 

Ainsi, il n’est pas question d’un vide juridique, mais plutôt d’une faille résultant en une exploitation potentiellement dangereuse de ces données qui se fait en dehors du droit, pour répondre à des intérêts économiques. Il convient d’étudier laquelle de ces approches juridiques est la plus adaptée à la sauvegarde des intérêts des utilisateurs.

 

2. Flexibilité américaine ou exhaustivité européenne : quelle réponse juridique pour une innovation responsable ?

 

Tout d’abord, l’impact d’un cadre législatif général sur la sécurité juridique sera étudié (A), suivi des conséquences territoriales des systèmes comparés (B).

 

1. La généralité du cadre judiciaire : obstacle à la fiabilité juridique ?

 

De manière générale, une législation précise permet de garantir une meilleure sécurité juridique en encadrant la subjectivité judiciaire. Le manque de précision du BIPA sur le champ d’application de l’exemption laisse place à une importante marge de manœuvre aux juges d’Illinois. Le RGPD, en définissant précisément qu’un professionnel de santé doit être le responsable de traitement, réduit l’étendue de la discrétion du juge, et donc l’insécurité juridique. Bien que des lois similaires existent dans les deux systèmes juridiques, chacune visant à protéger les utilisateurs, en Illinois, c’est au juge qu’il revient d’en interpréter la portée. En l’espèce, le juge ne semble pas consacrer la protection que la loi vise à garantir. Assurer la fiabilité de la loi dont les utilisateurs peuvent se prévaloir devrait être une priorité pour le juge, qu’il soit américain ou français. Il semble que ce soit dans la mise en œuvre de cette exigence de fiabilité que se creuse la différence d’approche entre les États-Unis et l’Union européenne.

 

Toutefois une certaine rigidité face à l’innovation technologique est reprochée à l’exhaustivité du RGPD. La généralité volontaire du cadre législatif américain est à double tranchant : si elle peut générer une protection variable et limitée des utilisateurs, elle est également plus flexible, permettant plus aisément d’adapter le droit à l’innovation technologique.

 

Ainsi, il est essentiel de disposer non seulement d’un cadre législatif clair, protecteur des utilisateurs, mais aussi de garantir son application, tout en permettant l’innovation. Cet équilibre, certes délicat, est primordial. Il semblerait que le droit européen, se montre plus soucieux de protéger la vie privée des personnes que les intérêts d’une entité privée, en encadrant plus précisément les exemptions dont les responsables de traitement pourraient bénéficier.

 

2. Des conséquences locales aux États-Unis, une protection globale dans l’Union Européenne

La portée de la décision Warmack-Stillwell demeure limitée par le contexte dans lequel elle a été jugée. Rendue par un tribunal étatique appliquant la loi de cet état, la décision s’inscrit dans un cadre juridique local et non fédéral. Une certaine lacune du droit américain de la protection des données est reflétée par l’absence d’une législation uniforme au niveau fédéral. La fragmentation d’un régime juridique au sein d’un État affaiblit l’impact des lois étatiques comme le BIPA, notamment lorsque leur interprétation judiciaire varie, ou lorsqu’elles s’opposent à des intérêts commerciaux. En pratique, cela se traduit par une protection réduite des utilisateurs. À l’inverse, le RGPD a été adopté par les États membres de l’Union Européenne, limitant ainsi les disparités au sein de l’UE et assurant une protection uniforme des utilisateurs.

En l’espèce, la décision démontre l’imprévisibilité de l’issue de l’application de lois comme le BIPA. À cette instabilité s’ajoute que ces lois ont une portée strictement locale ne garantissant pas une protection uniforme au sein des États-Unis. En Europe, si le VTOT était traité comme ayant une finalité commerciale, exigeant un consentement explicite et éclairé, la décision aurait sans doute eu une issue différente, probablement plus uniforme au sein des États membres. Les utilisateurs de l’Union Européenne disposent d’une protection plus transnationale, mieux adaptée à la circulation des données personnelles. Le RGPD est parfois considéré comme trop méfiant de l’innovation et freinant le commerce. Toutefois, son adoption est une opportunité pour réorienter l’innovation vers des technologies plus responsables et respectueuses des droits fondamentaux.

Conclusion :

Dans le contexte d’une digitalisation croissante, la nécessité d’un cadre juridique adapté est impérative. Le BIPA est une avancée vers la protection de la vie privée des utilisateurs aux États-Unis, dont il est important de souligner une certaine volonté de s’inspirer du RGPD afin de disposer d’un cadre fédéral de protection des données personnelles. De fait, la proposition de Loi Fédérale sur les Droits à la Vie Privée[27] a été présentée à la Chambre des Représentants le 26 juin 2024 et vise à̀ établir des obligations au niveau fédéral en matière de confidentialité des données des consommateurs, à régir l'intelligence artificielle, à remplacer les lois étatiques sur la protection de la vie privée et à permettre un droit d'action privé.

Ainsi, les cabines d’essayage virtuelles, les textiles intelligents, les accessoires connectés, s’inscrivent dans une tentative d’innovation de la mode. Le revers de la médaille est que tous reposent sur le traitement de données biométriques. Il apparait alors essentiel que les règlementations suivent ces évolutions technologiques et assurent une innovation numérique responsable.

 

Bibliographie

Ouvrage spécialisé

• Ceyhan, Ayse, et Pierre Piazza, éditeurs. L’identification biométrique. Éditions de la Maison des sciences de l’homme, 2011.

 

Étude sectorielle

• Biometric Technology Market Size, Share & Trends Analysis Report. (2023). Biometric technology market size, share & trends analysis report by component, by offering, by authentication type, by application, by end-use, by region, and segment forecasts, 2023 - 2030.

 

Textes officiels

Règlement

• Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD). JO L 119 du 4.5.2016, p. 1-88.

 

Lois

Etats-Unis

• Code of Federal Regulations. Title 21—Food and Drugs. Chapter I—Food and Drug Administration, Department of Health and Human Services, Subchapter H—Medical Devices, Part 886—Ophthalmic Devices, Sec. 886.5850 (Sunglasses [nonprescription]).
• Loi de l’État d’Illinois sur la confidentialité des informations biométriques (Biometric Information Privacy Act), 740 ILCS 14/5, 14/10, 14/15, adoptée en 2021.

 

France

• Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

 

Recommandation

• Recommandation n° 01/2020 du 17 janvier 2020 relative aux traitements de données à caractère personnel à des fins de marketing direct.

 

Projet de loi

• H.R. 8818. American Privacy Rights Act of 2024. 118th Cong. (2023-2024), https://www.congress.gov/bill/118th-congress/house-bill/8818, lien consulté le 27 décembre 2024.

 

Décision

• Warmack-Stillwell v. Christian Dior, Inc., 684 F. Supp. 3d 752 (N.D. Ill. 2023).

 

Sites web

• Gerrish Legal. "Mode et IA : La confidentialité et les cabines d’essayage virtuelles.", https://www.gerrishlegal.com/blog-fr/2020/10/05/2020-10-5-mode-amp-ia-la-confidentialit-et-les-cabines-dessayage-virtuelles, lien consulté le 20 décembre 2024.
• Morrison Foerster. "Applying BIPA’s Health Care Exemption to Virtual Try-On Technologies in Light of Dior Dismissal." 2023, https://www.mofo.com/resources/insights/230403-applying-bipas-health-care-exemption, lien consulté le 20 décembre 2024.