RGPD: Données biométriques

Les données biométriques trouvent leur utilisation dans de nombreux domaines, allant des empreintes digitales pour déverrouiller un téléphone jusqu’à un logiciel de reconnaissance rétinienne pour renforcer un système de sécurité existant. Cependant, les données biométriques sont également au cœur de la question des risques liés aux données personnelles. Il faut se rendre à l’évidence, à l’heure du numérique, la violation d’une donnée biométrique présente un risque plus élevé que pour n’importe quel autre type de données. En effet, les données biométriques ne peuvent être modifiées si elles sont compromises, contrairement aux autres types de données. Heureusement le Règlement Général sur la Protection des Données ou RGPD aborde cette problématique, et ce de façon détaillée. En application depuis le 25 mai 2018, le RGPD propose un équilibre entre les capacités offertes par les données biométriques et la responsabilité des entreprises dans leur collecte, leur utilisation et leur conservation.

Qu’entend-on par donnée biométrique ?

Dans le RGPD, les données dites biométriques sont définies comme étant : « des données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, psychologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telle que des images faciales ou des données dactyloscopiques ».

Cette catégorie de données fait partie des données personnelles et ne peut être traitée que dans certaines conditions. L’une des conditions est que la personne accepte que ses données fassent l’objet d’un traitement spécifique. Ainsi la personne concernée doit donner explicitement son aval pour la récolte et l’utilisation de ses données. Le traitement de ces données est également possible dans le cas où le responsable du traitement ou la personne concernée répond à des obligations relatives à la sécurité sociale, aux lois de protection sociale ou encore à un recrutement. Le traitement peut également être accordé dans le cas où il est nécessaire de protéger les intérêts vitaux du concerné. On peut aussi recourir au traitement de ces données dans le cadre d’une défense de revendications légales. Enfin, le traitement est possible si l’intérêt public le requiert.

Quels sont les intérêts de l’utilisation des données dites biométriques ?

Les données dites biométriques trouvent de plus en plus d’utilisation aujourd’hui du fait des nombreux avantages qu’elles offrent. En effet, les informations qui en découlent sont sensibles et deviennent ainsi des moyens efficaces pour authentifier et confirmer l’identité d’une personne sans aucune ambiguïté. La sécurité est ainsi accrue avec l’utilisation des empreintes digitales ou encore des logiciels de reconnaissance faciale. D’autre part, pour sécuriser un système d’authentification multifactoriel et l’empêcher d’être facilement hacké, il n’y a rien de mieux que d’utiliser les informations biométriques.

Pour leur part, les entreprises utilisent souvent ce type de données dans le domaine de l’analyse de données. Certaines les utilisent pour analyser le comportement de leurs clients et les interpréter de façon à prévoir leurs réactions et d’y aligner ainsi leurs stratégies marketing. D’autres utilisent, par exemple, un système de reconnaissance faciale pour alerter les membres d’un magasin si un client classé VIP y entre.

Le rôle du RGPD est alors de fixer un cadre quant à l’utilisation de ce genre de données sans pour autant empêcher leur utilisation.

Comment sécuriser les données biométriques ?

La première recommandation pour les entités traitant des données dites biométriques est de ne pas les héberger elles-mêmes. Les données doivent rester sur leur propriétaire, sous forme de passeport ou de badge, par exemple. Dans le cas où les données doivent être enregistrées ailleurs, il est recommandé que le support où elles sont sauvegardées soit hautement sécurisé, avec des encryptions type AES.

Ce type de traitement nécessite un délégué à la protection des données. Ce dernier a pour principale mission de s’assurer que le processus de traitement des données biométriques soit conforme au RGPD. C’est à lui également que revient le rôle de procéder à une analyse d’impact sur la vie privée le cas échéant.

Bref, il est toujours conseillé de ne pas recourir aux informations biométriques si d’autres systèmes d’identification existent et sont aussi efficaces. Si toutefois, il est indispensable de recourir à de telles informations, alors une mise en conformité au RGPD est indispensable. D’ailleurs, l’article 9 du RGPD prévoit que le traitement des données biométriques est interdit sauf dans certaines hypothèses.

Milieu du travail et dispositifs biométriques

Avec le Règlement Général dur la Protection des Données, le régime juridique des données biométriques a été modifié.

Un cadre applicable à l’utilisation de certains dispositifs biométriques dans le milieu professionnel a été ainsi défini par la CNIL. C’est la loi n°2018-493 du 20 juin 2018 qui énonce et encadre le rôle de la CNIL dans l’autorisation de mise en œuvre de certains dispositifs biométriques.

Les dispositifs concernés sont au nombre de trois et reposent sur des systèmes de reconnaissance. Ainsi, l’autorisation AU-009 de la CNIL concerne la reconnaissance du contour de la main pour contrôler l’accès à un restaurant scolaire. L’autorisation AU-007 a pour objet la reconnaissance du contour de la main pour contrôler l’accès à divers locaux des lieux de travail, comme la cantine. Enfin, l’autorisation AU-008 concerne la reconnaissance des empreintes digitales servant de contrôle d’accès à des locaux professionnels. Dans ce cas, les données sur l’empreinte digitale sont enregistrées sur un support individuel.

Seuls les dispositifs biométriques obéissant à ces trois finalités peuvent faire l’objet d’une déclaration auprès de la CNIL. Ainsi, le contrôle des horaires de travail des employés par le biais d’un dispositif biométrique n’est pas possible. Toutefois, il est toujours possible de demander une autorisation spécifique auprès de la CNIL pour des dispositifs ne faisant pas partie de ceux cités précédemment.

Les services aux particuliers et la biométrie

Le RGPD entre en vigueur pour l’utilisation de tout dispositif biométrique fourni aux particuliers via son appareil (smartphone, tablette, etc.) qui interagit avec des serveurs distants qui sont gérés par des organismes tiers. Ces organismes se doivent de respecter les obligations énoncées dans le RGPD s’ils sont les décideurs dans la mise en œuvre du dispositif d’authentification biométrique ou s’ils maîtrisent une partie ou tout le traitement biométrique en question.

Ce que l’organisme concerné doit faire est donc d’analyser si les traitements sur les données biométriques prévus peuvent engendrer des risques portant préjudice aux droits et aux libertés des personnes. Pour ce faire, il doit procéder à une AIPD ou une Analyse d’Impact relative à la Protection des Données. Il s’agit ici de tenir compte de la sensibilité des données à traiter. L’AIPD décrit ainsi les mesures techniques prises pour assurer la protection des données. Elle est ensuite transmise à la CNIL. Cette dernière vérifie, entre autres, si les moyens techniques mis en œuvre préservent le contrôle qu’ont les utilisateurs sur leurs données, respectent la liberté de choix des utilisateurs et ne portent pas atteinte à leur vie privée.

Articles liés à ce sujet :