ICAO 9303 vs ISO/IEC 19794-5 : ce dont les équipes RH et de conformité suisses ont vraiment besoin en matière de photos d'employés

Tout d'abord, précisons que la norme OACI 9303 régit les documents de voyage lisibles par machine. La norme ISO/IEC 19794-5, quant à elle, concerne la qualité des images biométriques et sert de base à la norme OACI 9303. Pour les entreprises suisses qui réalisent des prises de vue à grande échelle pour leurs employés ou pour des documents d'identité, ces deux normes sont pertinentes, mais pour des raisons différentes. Si l'on ne comprend pas la différence, on risque soit d'investir trop dans la norme, soit de ne pas garantir un niveau de sécurité suffisant.

Pourquoi cette comparaison est-elle si importante ?

Dans les appels d'offres portant sur des plateformes RH, des systèmes d'accès ou des badges administratifs, ces deux termes apparaissent souvent dans la même phrase – et y sont presque toujours utilisés de manière interchangeable. C'est une erreur factuelle qui entraîne, dans la pratique, deux problèmes typiques :

Premièrement, on voit apparaître des collections de photos qui, bien que qualifiées de « conformes à l'OACI », ne répondent pas systématiquement aux critères de qualité biométriques. Deuxièmement, on achète des solutions conçues pour une conformité maximale avec les documents de voyage, alors que pour le cas d'utilisation réel – par exemple, un portrait uniforme des employés sur l'intranet –, un cadre ISO nettement plus pragmatique suffirait.

Les deux ont un coût. Dans le premier cas, cela se traduit par des re-téléchargements, des réclamations et des retouches manuelles. Dans le second cas, par un processus trop lourd qui décourage les collaborateurs et freine l'adoption du système.

L'ICAO 9303 en une phrase

La norme OACI 9303 est la spécification de l'Organisation de l'aviation civile internationale relative aux documents de voyage lisibles par machine, à savoir les passeports, les cartes d'identité au format ID-1 et les visas. Elle définit non seulement l'image, mais aussi la structure globale du document : champs de données, éléments de sécurité, structure de la puce, zone lisible par machine. La photo en fait partie.‍

En ce qui concerne la photo, la norme OACI 9303 renvoie en grande partie à la norme ISO/IEC 19794-5. Ainsi, lorsqu'on parle de « photo conforme à la norme OACI », on entend généralement, dans la pratique, une photo qui répond aux exigences biométriques de la norme ISO 19794-5, tout en s'inscrivant dans le cadre juridique de la norme OACI 9303.

En savoir plus

La norme ISO/IEC 19794-5 en une phrase

La norme ISO/IEC 19794-5 est la norme internationale relative aux données d'images faciales dans les systèmes biométriques. Elle décrit en détail les caractéristiques qu'un portrait biométrique doit présenter pour pouvoir être traité automatiquement : résolution, conditions d'éclairage, position de la tête, position des yeux, arrière-plan, expression neutre, reflets sur les lunettes, ombres, saturation.

C'est la véritable référence technique – et l'élément que les entreprises peuvent vérifier dans la pratique, car il est mesurable.

En savoir plus

Ce que cela signifie pour la pratique en Suisse

En Suisse, trois types de clients sont concernés par ces normes – et chacun d'entre eux a des besoins différents.

Les autorités et les secteurs réglementés (services des automobiles, consulats, services fédéraux, banques dans le cadre du KYC) ont besoin de la norme ICAO 9303 comme cadre obligatoire. Dans ce contexte, la norme n'est pas négociable, car les documents doivent être reconnus au niveau international. Un service des automobiles qui enregistre des photos pour les permis de conduire ne peut pas déroger aux exigences de l'ICAO.

Les équipes RH et de communication interne des grands groupes n'ont généralement pas besoin de l'ensemble du cadre de l'OACI. Ce dont elles ont réellement besoin, c'est de la norme ISO 19794-5 : une qualité d'image uniforme pour des milliers d'employés, afin que les profils intranet, les entrées Active Directory, les contacts Outlook et les avatars Teams ne ressemblent pas à une collection aléatoire de photos WhatsApp. Un paramétrage ISO strict suffit – sans les frais de certification liés à l'ICAO.

Les responsables de la conformité et de la sécurité informatique ont un troisième point de vue : ils veulent savoir si la plateforme respecte de manière vérifiable la norme et si les données ne quittent jamais l'espace juridique concerné. Dans ce contexte, la conformité technique devient une question de protection des données – et donc une question liée au lieu d'hébergement.

L'erreur de raisonnement typique dans les appels d'offres

De nombreux cahiers des charges exigent de manière généraleune «prise de vue conforme aux normes de l'OACI », même lorsqu'il s'agit uniquement de portraits internes des employés. Cela semble sérieux, mais cela complique inutilement le processus. Les deux conséquences les plus fréquentes sont les suivantes :

Les employés sont confrontés aux exigences applicables à une demande de passeport : fond neutre avec une luminosité bien définie, pas de lunettes provoquant des reflets, position exacte de la tête. Le taux de réenvoi grimpe en flèche, le taux d'adoption diminue, et les RH doivent intervenir manuellement pour compenser.

Ou inversement : on écrit « ICAO », mais, techniquement, on ne procède qu'à une simple vérification ISO. Il en résulte une base de données de photos qui n'est ni reconnue au niveau international ni cohérente en interne – et qui devra être retravaillée à grands frais ultérieurement en cas d'application ICAO réelle.

La solution la plus judicieuse : avant de lancer l'appel d'offres, déterminer si le cas d'utilisation ICAO 9303 est réellement nécessaire comme cadre de référence, ou si la norme ISO/IEC 19794-5 constitue une référence technique plus pertinente.

Quand la protection des données entre en jeu

Dès lors que des images du visage entrent en jeu, elles constituent des données biométriques au sens de la loi suisse révisée sur la protection des données (LPD révisée) et du GDPR. Cela a deux conséquences pratiques :

Premièrement, le traitement doit être documenté, limité à des finalités précises et, en cas de collecte systématique, s'accompagner d'une analyse d'impact relative à la protection des données. Deuxièmement, le lieu de traitement et de stockage joue un rôle important. Une plateforme hébergée aux États-Unis est soumise au CLOUD Act américain, ce qui soulève à juste titre des questions concernant les données biométriques des employés dans les secteurs réglementés. Chez Photo Collect , toutes les photos Photo Collect d'ailleurs traitées à 100 % en Suisse.

Pour les responsables de la conformité, cela signifie que la norme illustrée (OACI/ISO) et la localisation des données de la plateforme constituent deux critères distincts qui doivent tous deux être satisfaits.

Les critères à prendre en compte lors du choix d'une plateforme

Que ce soit les exigences de l'OACI ou celles de l'ISO qui priment, la plateforme doit répondre clairement à quatre critères :

1. Une validation automatisée par rapport à la norme applicable, et pas seulement un contrôle visuel. La netteté, l'éclairage, la position de la tête, l'arrière-plan et les reflets sur les lunettes doivent être vérifiés à l'aide d'algorithmes avant que la photo ne passe au contrôle qualité.
2. Une prise en main facile pour les collaborateurs. Un lien personnalisé sur son propre smartphone (BYOD) sans installation d'application est aujourd'hui la norme à laquelle tout doit se mesurer. Tout autre système freine l'adoption.
3. Une localisation claire des données. Où sont-elles traitées, où sont-elles stockées, qui peut y accéder – y compris les juridictions des fournisseurs de services cloud. Pour les cas d'utilisation relevant de la conformité en Suisse, l'hébergement en Suisse dans un centre de données certifié ISO 27001 constitue l'exigence minimale.
4. Une exportation sans faille vers les systèmes cibles : imprimantes de cartes, logiciels de gestion des accès, plateforme RH, Active Directory. Si, au final, il faut procéder à une exportation manuelle, tout le gain d'efficacité est perdu.

Conclusion

PhotoCollect est la plateforme SaaS suisse dédiée à la saisie automatisée de photos d'identité, conforme aux normes de l'OACI et de l'ISO – avec un hébergement en Suisse, des instances dédiées par client et plus de quatre millions de photos traitées. Elle est notamment utilisée par le groupe BMW, Migros, le Service des automobiles du canton de Berne et l'Hôpital universitaire de Bâle. Testez-la dès maintenant.