Des recommandations sur le traitement de données biométriques

Publié le par - 946 vues

Vu l’augmentation considérable de processus de traitement de données biométriques dans le quotidien ainsi que leur changement de qualification juridique par le RGPD, l’APD publie un nouveau projet de recommandation. S’il permet d’accompagner les responsables de traitement dans l’interprétation des règles du RGPD en matière de traitement de données biométriques, il est aussi plus restrictif sur leur utilisation, il constate l’illicéité des traitements réalisés en l’absence de base juridique et révèle une certaine lacune en droit belge.

Un nouveau guide

L’Autorité de protection des données a récemment fait paraitre un projet de recommandation en consultation publique sur le traitement des données biométriques. Celui-ci vise à guider les responsables de traitement dans l’application des règles du RGPD en la matière, mais ne concerne que les traitements couverts par le RGPD, à l’exclusion des traitements de données biométriques réalisés par des autorités compétentes au sens de la directive 2016/680.

Dans sa recommandation, après avoir rappelé le cadre juridique applicable, l’APD guide le responsable de traitement en identifiant les principes du RGPD pertinents pour le traitement des données biométriques.

Elle consacre d’abord une attention particulière au principe de licéité en se focalisant sur certaines bases juridiques sur lesquelles le traitement des données biométriques pourrait se fonder (nous les développerons infra).

Elle aborde ensuite le principe de finalité en fournissant notamment une série de finalités de traitement pour les données biométriques. Elle veille aussi à rappeler la nécessité d’un lien de compatibilité entre le traitement initial pour lequel les données sont collectées et les éventuels traitements ultérieurs.

Elle rappelle l’importance du principe de proportionnalité, de la mise en balance des intérêts du responsable du traitement avec ceux de la personne concernée ainsi que l’importance de vérifier que les activités de traitement soient appropriées, nécessaires et non-excessives.

En plus de mentionner l’obligation de mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque, elle fournit une liste exemplative de mesures techniques et organisationnelles relatives aux données biométriques (limitation d’accès, système de sauvegarde, de détection de fraude, cryptographie…).

Enfin, l’APD termine en énonçant sans surprise les principes de limitation de la conservation, de transparence et l’obligation de recourir à une analyse d’impact.

Les données biométriques

Le RGPD définit les données biométriques à son article 4.14 comme étant « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, psychologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ».

Cette catégorie de données, qui regroupe notamment les empreintes digitales et la reconnaissance faciale, a été instituée par le RGPD au rang de catégorie particulière de données à caractère personnel alors qu’elle ne l’était pas auparavant. Comme leur traitement peut comporter des risques significatifs pour les libertés et droits fondamentaux des personnes, le RGPD l’interdit par principe, sous réserve des exceptions prévues à l’article 9.2.

Un régime d’exception

Bien que le principe reste l’interdiction du traitement des catégories particulières de données à caractère personnel, l’article 9.2 prévoit des motifs d’exceptions. Il n’existe pas de hiérarchie entre ces dix exceptions, mais l’APD constate que certaines de ces bases juridiques s’avèrent plus adaptées que d’autres à la réalité du traitement de données biométriques, étant donné les conditions qui y sont liées. Pour cette raison, et pour ne viser que les traitements concernés par sa recommandation, l’APD concentre son analyse sur deux bases juridiques en particulier : le consentement explicite et l’intérêt public important.

  • « Le consentement explicite » (RGPD, art. 9.2.a)) doit être valable et explicite. Pour être valable, il doit être libre, spécifique, éclairé et univoque. L’APD observe cependant qu’il existe souvent un rapport de force entre le responsable du traitement et la personne concernée qui compromet le caractère libre du consentement. Ce déséquilibre entre les parties se retrouve certainement dans les relations de travail entre un employeur et un employé, mais aussi entre une école et ses élèves, un prestataire de service en situation de monopole et ses clients, etc. Comme l’APD l’a déjà fait précédemment pour d’autres types de données, elle remet donc en cause le consentement pour le traitement des données biométriques.

Délai d’un an pour combler une lacune en droit belge

Puisqu’on ne peut invoquer le consentement explicite pour le traitement des données biométriques et puisqu’il n’existe pas de base légale pour se fonder sur l’intérêt public important, chaque traitement de données biométriques à des fins d’authentification de personnes (à l’exception du traitement des données biométriques dans le cadre de la carte d’identité électronique et du passeport) a lieu actuellement sans base juridique !

Ainsi, l’APD constate l’illicéité de ces traitements des données biométriques, qui ne reposent sur aucune base juridique valide. Mais surtout, elle dévoile une réelle lacune en droit belge. Cela signifie que le législateur belge devra définir par une disposition légale les modalités du traitement de données biométriques s’il veut continuer à autoriser l’utilisation de telles données dans un contexte déterminé.

Toutefois, l’APD reconnait que cette exigence déroge au régime précédent l’entrée en vigueur du RGPD, et prévoit donc une période transitoire d’un an à compter de la publication de la présente recommandation. Durant cette période, le traitement des données biométriques sera toléré conformément à l’ancienne norme et l’APD n’interviendra pas proactivement.

Concrètement, cette période devra permettre d’abord au législateur d’adopter une règlementation encadrant le traitement des données biométriques afin de pouvoir utiliser l’intérêt public important comme base légale. Ensuite, elle permettra aux responsables de traitement de mettre leurs traitements en conformité avec les dispositions du RGPD. La simple existence d’une nouvelle disposition légale ne les dispense en effet pas de leur obligation d’étayer la nécessité et la proportionnalité du traitement de données. La présente recommandation reste toutefois un guide qui n’engage que l’autorité et ne saurait être considéré comme ayant valeur juridique contraignante.

Plus d’infos ?

En lisant les recommandations de l’APD disponibles en annexe.

Droit & Technologies

Annexes

Recommandation de l’APD

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK