De verwerking van biometrische gegevens cover

11 Sep 2023 | Column

Le traitement des données biométriques

Les données biométriques sont de plus en plus utilisées à toutes sortes de fins. Pensez à scanner l'empreinte digitale d'un employé pour accéder à un immeuble de bureaux[1] ou, plus encore, à scanner des visages pour suivre leur comportement d'achat[2]. Bien sûr, il s'agit d'opérations de traitement de grande envergure qui ne peuvent pas simplement être effectuées dans le cadre du RGPD. C'est pourquoi nous expliquons ce qui, selon l'Autorité de protection des données, doit être respecté pour traiter correctement les données biométriques.

Qu'est-ce que les données biométriques ?

Tout d’abord, il y a lieu de définir ce que sont exactement les données biométriques. Le RGPD définit ce terme à l’art. 4.14 comme suit :

Les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.”

Par les deux exemples à la fin, le RGPD énumère également immédiatement les formes de données biométriques les plus connues et les plus compréhensibles, à savoir les images faciales et les données dactyloscopiques.

Le RGPD divise les données biométriques en deux catégories :

  • Caractéristiques physiques, ou également corporelles : Les caractéristiques physiques sont très simples. Ce sont les caractéristiques physiques ou physiologiques d'une personne, telles que les informations faciales, reconnaissance de l'iris, les empreintes digitales …
  • Caractéristiques liées au comportement: Les caractéristiques comportementales sont plus difficiles à définir. La technologie n'est pas figée, il est probable qu'elle soit plus élaborée et davantage appliquée à l'avenir.

Un exemple déjà existant est l'identification d’un individu en fonction de la manière dont il se déplace.

Le traitement données biométriques

Les données biométriques sont traitées en deux phases différentes, à savoir la phase de collecte et la phase de comparaison.

La phase de collecte

La phase de collecte se composent de deux parties

  1. La première phase de collecte : il s'agit d'enregistrer des informations de référence (par exemple, une empreinte digitale). Ces informations sont converties en un modèle. Ce modèle garantit que les données traitées à l'avenir pourront être vérifiées par rapport aux informations de référence.
  2. La deuxième phase de collecte : les données sont traitées et comparées au modèle. Si elles correspondent, le système estime qu'il s'agit de la même personne que celle pour laquelle les informations de référence ont été traitées (par exemple, l'empreinte digitale correspond à celle du système).

La deuxième phase est la phase de comparaison. Les informations collectées sont comparées à toutes les informations biométriques disponibles dans le système. De cette façon, l'utilisateur peut être identifié parmi toutes les personnes enregistrées.

données biométriques
Les données biométriques sont de plus en plus utilisées

Stockage des données biométriques

Il existe trois façons de stocker des informations biométriques :

  1. Type 1: Gestion du modèle par la personne concernée elle-même. La personne concernée stocke le modèle dans un endroit où il n'y a aucune possibilité d'interface avec d'autres systèmes informatiques. Il peut s'agir, par exemple, d'un badge d'accès à un bâtiment. C'est la méthode de travail à utiliser par principe. Il ne peut être dérogé à cette règle que dans des cas très exceptionnels.
  2. Type 2: Gestion partagée. Il existe une base de données centrale de modèles qui est gérée par le responsable du traitement des données sans le consentement de la personne concernée.
  3. Type 3: Gestion exclusive par le responsable de traitement. Il s'agit de l'option la plus ambitieuse. Elle exige donc le respect des conditions les plus strictes.

Base juridique

Pour le traitement des données biométriques, il est important que, comme pour tout traitement, il existe une base juridique sur laquelle les données sont traitées.

En pratique, la base juridique sera généralement le consentement explicite de la personne concernée. Il est ici très important que le consentement soit donné librement, spécifiquement, en connaissance de cause et sans équivoque.

Dans des cas exceptionnels, la base juridique sera l’importance de l'intérêt public. Toutefois, cette disposition devrait être appliquée de manière très restrictive. Ce n'est que lorsque l'utilisation de données biométriques est inévitable que cela sera possible, pour autant que la loi le prévoit.

Généralités

Comme pour tout traitement, les questions générales suivantes sont également importantes :

  • – Limitation de la finalité.
  • – Proportionalité.
  • – Sécurité.
  • – Limitation de stockage.
  • – Obligation de transparence.
  • – analyse d'impact relative à la protection des données.

Analyse d’impact relative à la protection des données

En cas de traitement de données biométriques visant à identifier de manière unique des personnes dans un espace privé accessible au public ou dans un espace public, une analyse d'impact relative à la protection des données devra toujours être réalisée. Il est donc recommandé, compte tenu du risque inhérent au traitement des données biométriques pour les droits et libertés des personnes concernées, de procéder à une analyse d'impact relative à la protection des données, car sa réalisation ne sera justifiée que dans des cas exceptionnels.[3]

Conclusion

Le traitement des données biométriques devra donc toujours être conforme aux règles de protection du RGPD.

Joost Peeters Studio Legale

Sources

Règlement (UE) 2016/679 du 27 avril 2016 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Recommandation de l’Autorité de protection des données sur le traitement des données biométriques ;

Décision nr. 01/2019 van 16 janvier 2019 de l’Autorité de protection des données.

J., CARDINAELS, “Privacywaakhond dreigt met onderzoek naar Carrefour”, https://www.tijd.be/ondernemen/retail/privacywaakhond-dreigt-met-onderzoek-naar-carrefour/10198789.html.


Reférences

[1] Autorité de la protection des données, “Boete voor bedrijf voor verwerken vingerafdrukken werknemers”, 30 april 2020.

[2]X., “Face Recognition in retail”.

[3] Point 6 de la Décision ni. 01/2019 de l’Autorité de protection des données ; Recommendations de l’Autorité de protection des données sur le traitement des données biométriques, 36-37.

Restez au courant

S’abonner à la newsletter

0 Commentaires

0 commentaires

Soumettre un commentaire

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.