Usurpation d’identité et surveillance : photographier l’iris, un danger.

Depuis plusieurs années, de nombreux magasins photos se sont lancés dans le marché de la photographie en macro de vos iris. Iris Galerie a révélé que les photographies sources sont supprimées localement le lendemain de la prise de vue et que le fichier artistique de l’iris est conservé trois ans, conformément au RGPD.

C’est une tendance qui a rapidement suscité la controverse. Depuis plusieurs années, de nombreux magasins photos se sont aventurés sur un marché qui semblait pourtant prometteur : la photographie macro des iris. Une imagerie originale d’une partie de l’œil, mise en valeur et imprimée sur papier glacé. A priori inoffensif, sauf que parallèlement, le secteur des données biométriques a également fait des progrès, suscitant l’inquiétude de certains citoyens concernant le risque d’usurpation d’identité.

« Personne ne vous avertit lorsque l’on vous photographie l’iris. Et vous allez désormais y penser à deux fois. » Sur X, il y a quelques semaines, de nouveaux posts alarmants ont refait surface, mettant en garde : les données biométriques contenues dans les iris des clients photographiés dans ces magasins seraient « stockées et partagées avec des sous-traitants ». Dans leur ligne de mire, les boutiques Iris Galerie, déjà visées par des critiques l’année dernière concernant l’une de leurs prestations basée sur « l’iridologie comportementale ».

« Notre activité est celle d’un studio de photographie artistique, ni plus ni moins », répond une représentante d’Iris Galerie à 20 Minutes. Elle assure qu’il s’agit « exclusivement d’une photographie, et en aucun cas d’un scanner », ajoutant que ces images ne peuvent pas être considérées comme des données biométriques. « Les photographies que nous réalisons ne sont pas des données biométriques au sens du RGPD et du droit français, car elles ne résultent d’aucun traitement technique visant une identification unique d’une personne », détaille l’enseigne.

« Il s’agit de données personnelles classiques, comparables à une photographie de portrait ou de mariage. Nos photographes ajoutent d’ailleurs une touche artistique personnelle, en collaborant avec le client pour sublimer la photographie », précise-t-elle.

« L’iris est effectivement considéré comme une donnée biométrique car ses motifs complexes sont uniques à chaque individu et restent stables dans le temps. Cependant, une photo haute définition d’un œil ne correspond pas à une véritable capture biométrique », confirme à 20 Minutes Philippe Depraeter, responsable de l’unité de recherche et technologie d’Idemia Public Security, spécialisée en biométrie et cryptographie. Pour que l’iris soit considéré comme une donnée biométrique, il faudrait pouvoir capturer, en plus d’une image en 2D, ses motifs.

« Les systèmes d’iris utilisent des capteurs spécifiques et un éclairage adapté pour analyser l’iris et en extraire des éléments mathématiques précis. Une photo, même très nette, ne contient pas toutes les informations nécessaires pour créer un modèle biométrique utilisable », assure l’expert en sécurité d’Idemia.

Il est donc impossible d’usurper l’identité de quiconque sur la base d’une simple photo d’iris prise avec un appareil photo reflex standard, comme ceux utilisés par Iris Galerie, y compris avec une lentille macro.

Concernant les données collectées lors de la photographie en boutique, les règles appliquées par les magasins Iris Galerie sont claires et respectent les obligations en matière de protection des données. « Les photographies sources sont supprimées localement le lendemain de la prise de vue. Le fichier artistique de l’iris est, quant à lui, conservé trois ans, conformément au RGPD », confirme Iris Galerie. À l’issue des trois ans, le fichier est automatiquement supprimé. Il est également possible de demander, avant cette échéance, « la rectification ou la suppression de ses données », précise-t-on.

Enfin, pour garantir la sécurité du traitement des données, notamment dans le cadre de prestations artistiques nécessitant un retraitement de l’image, l’enseigne utilise un cloud sécurisé : « À cette étape, les données personnelles (nom, prénom, etc.) et le fichier de l’iris retraité artistiquement sont stockés sur deux systèmes informatiques séparés, ne permettant à personne de faire le lien entre les deux. La base d’iris retraitées est donc totalement anonymisée. »

Outre les préoccupations soulevées par certains sur la sécurité des données collectées par les magasins Iris Galerie, ceux-ci ont également dû faire face, ces derniers mois, à une deuxième tempête.

En mai 2025, l’enseigne a décidé de lancer une nouvelle prestation. Intitulée « Iridology is the new astrology », le galeriste promet alors à ses clients « un voyage joyeux et émotionnel pour mieux comprendre votre personnalité, vos émotions et votre manière de vous connecter aux autres », grâce à l’utilisation de l’IA appliquée aux motifs de leur iris, selon la « sagesse ancienne » des « 12 signes iridologiques », vieille de 5 000 ans. Cette notion est en réalité une invention provenant de l’iridologie, discipline bien connue en médecine holistique, qui date du XXe siècle.

Accusée de manipuler sa clientèle en diffusant sciemment de fausses informations, l’enseigne se défend néanmoins. « Cette campagne estivale, terminée depuis septembre 2025, relevait exclusivement d’une démarche marketing et artistique, destinée à animer temporairement nos galeries », explique l’enseigne à 20 Minutes. Elle ajoute que, comme pour ses précédentes campagnes inspirées des univers de Disney ou d’Harry Potter, il s’agissait d’une mise en scène narrative. La représentante d’Iris Galerie reconnaît toutefois que cette démarche était « sans aucun fondement scientifique, médical ou thérapeutique ».