DONNÉES BIOMÉTRIQUES: RECOMMANDATION CONCERNANT LE TRAITEMENT DES DONNÉES BIOMÉTRIQUES
18 août 2023
#BIOMÉTRIQUES #gdpr

Les données biométriques sont de plus en plus utilisées à toutes sortes de fins. Pensez à scanner l'empreinte digitale d'un employé pour accéder à un immeuble de bureaux[1] ou, plus encore, à scanner des visages pour suivre leur comportement d'achat[2]. Bien sûr, il s'agit d'opérations de traitement de grande envergure qui ne peuvent pas simplement être effectuées dans le cadre du RGPD. C'est pourquoi nous expliquons ce qui, selon l'Autorité de protection des données, doit être respecté pour traiter correctement les données biométriques.

Quoi ?

Tout d’abord, il y a lieu de définir ce que sont exactement les données biométriques. Le RGPD définit ce terme à l’art. 4.14 comme suit :

Données biométriques : “les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.”

Par les deux exemples à la fin, le RGPD énumère également immédiatement les formes de données biométriques les plus connues et les plus compréhensibles, à savoir les images faciales et les données dactyloscopiques.

Le RGPD divise les données biométriques en deux catégories :

  • Caractéristiques physiques, ou également corporelles ;
  • Caractéristiques liées au comportement

Les caractéristiques physiques sont très simples. Ce sont les caractéristiques physiques ou physiologiques d'une personne, telles que les informations faciales, reconnaissance de l'iris, les empreintes digitales …

Gedragsgerelateerde kenmerken zijn moeilijker te omschrijven. De technologie staat niet stil waardoor dit in de toekomst waarschijnlijk beter uitgewerkt en vaker van toepassing zal zijn.

Een reeds bestaand voorbeeld hiervan is de identificatie aan de hand van het unieke stappatroon van personen.

Les caractéristiques comportementales sont plus difficiles à définir. La technologie n'est pas figée, il est probable qu'elle soit plus élaborée et davantage appliquée à l'avenir.

Un exemple déjà existant est l'identification d’un individu en fonction de la manière dont il se déplace.

Comment ?

Traitement

Les données biométriques sont traitées en deux phases différentes, à savoir la phase de collecte et la phase de comparaison.

Les phases de collecte se composent de deux parties

  • La première phase de collecte : il s'agit d'enregistrer des informations de référence (par exemple, une empreinte digitale). Ces informations sont converties en un modèle. Ce modèle garantit que les données traitées à l'avenir pourront être vérifiées par rapport aux informations de référence.
  • La deuxième phase de collecte : les données sont traitées et comparées au modèle. Si elles correspondent, le système estime qu'il s'agit de la même personne que celle pour laquelle les informations de référence ont été traitées (par exemple, l'empreinte digitale correspond à celle du système).

La deuxième phase est la phase de comparaison. Les informations collectées sont comparées à toutes les informations biométriques disponibles dans le système. De cette façon, l'utilisateur peut être identifié parmi toutes les personnes enregistrées.

Stockage des données

Il existe trois façons de stocker des informations biométriques :

  • Type 1: Gestion du modèle par la personne concernée elle-même. La personne concernée stocke le modèle dans un endroit où il n'y a aucune possibilité d'interface avec d'autres systèmes informatiques. Il peut s'agir, par exemple, d'un badge d'accès à un bâtiment. C'est la méthode de travail à utiliser par principe. Il ne peut être dérogé à cette règle que dans des cas très exceptionnels.
  • Type 2: Gestion partagée. Il existe une base de données centrale de modèles qui est gérée par le responsable du traitement des données sans le consentement de la personne concernée.
  • Type 3: Gestion exclusive par le responsable de traitement. Il s'agit de l'option la plus ambitieuse. Elle exige donc le respect des conditions les plus strictes.

Base juridique

Pour le traitement des données biométriques, il est important que, comme pour tout traitement, il existe une base juridique sur laquelle les données sont traitées.

En pratique, la base juridique sera généralement le consentement explicite de la personne concernée. Il est ici très important que le consentement soit donné librement, spécifiquement, en connaissance de cause et sans équivoque.

In uitzonderlijke gevallen zal de rechtsgrond het zwaarwegend algemeen belang zijn. Dit dient echter zeer restrictief toegepast te worden. Enkel wanneer het gebruik van biometrische gegevens onvermijdelijk is, zal er hiervan sprake kunnen zijn indien dit bij wet voorzien wordt.

Dans des cas exceptionnels, la base juridique sera l’importance de l'intérêt public. Toutefois, cette disposition devrait être appliquée de manière très restrictive. Ce n'est que lorsque l'utilisation de données biométriques est inévitable que cela sera possible, pour autant que la loi le prévoit.

Généralités

Comme pour tout traitement, les questions générales suivantes sont également importantes :

  • Limitation de la finalité ;
  • Proportionalité ;
  • Sécurité ;
  • Limitation de stockage ;
  • Obligation de transparence ;
  • analyse d'impact relative à la protection desdonnées.

Analyse d’impact relative à la protection des données

In geval er sprake is van een verwerking van biometrische gegevens met oog op de unieke identificatie van personen in een privéruimte  die toegankelijk is voor het publiek of in een openbare ruimte, zal er steeds een gegevensbeschermingseffectbeoordeling moeten worden uitgevoerd. Het is dan ook aangeraden, gelet op het inherente risico voor de rechten en vrijheden van de betrokkenen dat komt kijken bij het verwerken van biometrische gegevens om een gegevenseffectenberschermingsbeoordeling uit te voeren omdat het uitlaten hiervan slechts in uitzonderlijke gevallen gerechtvaardigd zal zijn.[3]

En cas de traitement de données biométriques visant à identifier de manière unique des personnes dans un espace privé accessible au public ou dans un espace public, une analyse d'impact relative à la protection des données devra toujours être réalisée. Il est donc recommandé, compte tenu du risque inhérent au traitement des données biométriques pour les droits et libertés des personnes concernées, de procéder à une analyse d'impact relative à la protection des données, car sa réalisation ne sera justifiée que dans des cas exceptionnels.

Conclusion

Le traitement des données biométriques devra donc toujours être conforme aux règles de protection du RGPD.

Si, après avoir lu cet article, vous avez des questions concernant le traitement des données biométriques, ou le traitement des données personnelles en général, veuillez nous contacter à l'adresse [email protected]ou au numéro 03 216 70 70.

Sources utilisées

Sources juridiques :

  • Règlement (UE) 2016/679 du 27 avril 2016 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
  • Recommandation de l’Autorité de protection des données sur le traitement des données biométriques ;
  • Décision 01/2019 van 16 janvier 2019 de l’Autorité de protection des données.

Articles :

  • J. , CARDINAELS, “Privacywaakhond dreigt met onderzoek naar Carrefour”, https://www.tijd.be/ondernemen/retail/privacywaakhond-dreigt-met-onderzoek-naar-carrefour/10198789.html.

[1] Autorité de la protection des données, “Boete voor bedrijf voor verwerken vingerafdrukken werknemers, 30 april 2020, https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers.

[2] X., “Face Recognition ini retail”, https://www.raydiant.com/blog/everything-about-facial-recognition-in-retail

[3] Point 6 de la décision ni. 01/2019 de l’Autorité de protection des données ; Recommendations de l’Autorité de protection des données sur le traitement des données biométriques, 36-37,

https://www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.01-2021-van-1-december-2021.pdf