Les données biométriques (telles que les empreintes digitales et la reconnaissance faciale) bénéficient en raison de leur nature sensible d’une protection particulière dans le cadre du RGPD. L’Autorité de protection des données (APD) a publié récemment un projet de recommandation que les responsables du traitement peuvent utiliser comme guide lors d’un traitement de telles données. Nous vous proposons d’analyser cette recommandation de plus près.
Conformément à l’article 9.1 du RGPD, les données biométriques constituent une catégorie particulière de données à caractère personnel, et ce contrairement à la situation antérieure à l’entrée en vigueur du RGPD. Le traitement de données biométriques est donc interdit, à moins que le responsable du traitement puisse légitimement invoquer l’un des motifs d’exception énumérés de manière limitative à l’article 9.2 du RGPD.
L’APD évoque dans sa recommandation deux bases juridiques. Il s'agit plus particulièrement du « consentement explicite » et de « l’intérêt public important ».
Alors que l’APD acceptait auparavant le consentement comme base juridique permettant le traitement des données biométriques dans des cas spécifiques et en imposant de prévoir une alternative en l’absence de consentement (exemple : badge) (voir notre newsflash précédent traitant entre autres de ce sujet), l’APD semble dorénavant remettre en cause cette base en insistant sur le fait que le consentement doit être valable (c.-à-d. libre, spécifique, éclairé, univoque et explicite). Or, selon l’APD, le caractère « libre » pose problème dans le cadre de la relation de travail en raison du lien de subordination existant entre l’employeur et le travailleur. Pour cette raison, l’APD estime qu’il est problématique, pour des employeurs, de traiter des données à caractère personnel biométriques d’employés sur la base du consentement, étant donné qu’il est improbable que celui-ci soit donné librement. Ceci correspond à ce que l’APD avait déjà souligné pour d’autres types de données à caractère personnel. Rappelons également que le travailleur peut retirer à tout moment son consentement, ce qui ne permet pas de considérer le « consentement » comme étant une base juridique « solide ».
L’APD va, dans un second temps, aborder la base juridique de « l’intérêt public important ».
La remise en cause de la base juridique du « consentement », à tout le moins pour les relations entre un employeur et un travailleur, implique en effet de se pencher sur « l’intérêt public important » en tant que base juridique du traitement de données biométriques qui ne peut être invoqué que dans des cas déterminés spécifiés par la loi. Or, la seule loi qui prévoit actuellement explicitement le traitement de données biométriques est la loi du 19 juillet 1991 relative aux registres de la population, aux cartes d'identité, aux cartes des étrangers et aux documents de séjour.
Contrairement à certains de nos voisins comme par exemple les Pays-Bas, le législateur belge n’a pas choisi de prévoir une base légale générale autorisant le traitement de données biométriques dans le cadre de l’identification ou de l’authentification unique d’une personne à des fins de sécurité.
L’APD souligne donc que, dans la mesure où l’on ne peut pas invoquer le consentement explicite, et dans la mesure où il existe une lacune en droit belge puisque le législateur n’autorise pas le traitement des données biométriques dans le cadre de l’authentification de personnes, à l’exception du traitement des données biométriques dans le cadre de l’eID (carte d’identité électronique) et du passeport, chaque traitement de données biométriques à des fins d’authentification de personnes a lieu actuellement sans base juridique.
A l'exception du traitement des données biométriques dans le contexte de l'eID (carte d'identité électronique) et du passeport, l'APD souligne qu'il existe une lacune dans la législation belge de sorte que tout autre traitement de données biométriques à des fins d’authentification de personnes n'a actuellement aucune base juridique.
L’APD reconnait toutefois que ces nouvelles exigences donnent lieu à une scission avec le régime antérieur à l’entrée en vigueur du RGPD.
Dès lors, compte tenu des principes de bonne gouvernance, dès la publication de sa recommandation, elle prévoit une période transitoire d’un an pendant laquelle le traitement de données biométriques sera toléré conformément à l’ancienne norme et qu’elle n’interviendra pas de manière proactive. Cette période d’un an doit permettre aux responsables du traitement et au législateur de prendre les mesures nécessaires afin de mettre les traitements visés en conformité avec les dispositions du RGPD.
L’APD rappelle en outre que, lors de l'utilisation de données biométriques, tous les autres principes de protection des données doivent également être respectés, parmi lesquels :
- Limitation des finalités : l’APD souligne que, même avec une autorisation explicite, les données biométriques ne peuvent pas être utilisées à quelque fin que ce soit, par exemple simplement parce que c'est facile pour le responsable. Le traitement doit être nécessaire au regard de la finalité poursuivie et l’avantage pour le responsable du traitement doit l'emporter sur les inconvénients et les risques pour la personne concernée. En outre, lorsque les données biométriques peuvent être traitées au regard d’une finalité précise (par exemple, la sécurité d'accès), elles ne peuvent pas être traitées comme on l’entend à d'autres fins (par exemple, l'enregistrement du temps) ;
- Proportionnalité : même si le responsable du traitement dispose d'une base juridique pour le traitement des données à caractère personnel, ces données doivent toujours être adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard de finalités pour lesquelles elles sont traitées. Par exemple, en vue de sécuriser l'enregistrement des accès, le traitement des données biométriques doit être limité aux espaces pour lesquels ce traitement est nécessaire ;
- Sécurité : le responsable doit prendre les mesures techniques (par exemple : cryptage, code d'intégrité, ...) et organisationnelles (accès limité, formation, ...) nécessaires pour sécuriser les données biométriques et limiter leur conservation. L’APD rappelle également qu'une analyse d'impact relative à la protection des données (AIPD) est requise lors du traitement des données biométriques ;
- Transparence : les personnes concernées (travailleurs) doivent bien entendu être informées du quoi, du comment et du pourquoi du traitement de leurs données biométriques.
Enfin, l’APD confirme que l'utilisation domestique des données biométriques (par exemple sur les smartphones ou les applications) n'entre pas dans le champ d'application du RGPD.
Point d'action
Pour l’instant, beaucoup d’employeurs recourent à la base juridique du « consentement » pour traiter des données biométriques de leurs travailleurs, ce qui semblait toléré par l’APD. Cette dernière a toutefois remis en cause dans son projet de recommandation le caractère « libre » du consentement dans le cadre de la relation de travail en raison du lien de subordination existant entre l’employeur et le travailleur. Dans l'attente d'un motif légal d'exception approprié, le libre consentement reste la seule base défendable pour le traitement des données biométriques (à condition toutefois que toutes les conditions soient remplies pour qu'on puisse considérer que ce consentement est "valable"). Il convient par ailleurs de toujours veiller à respecter les autres principes du RGPD et de faire effectuer une AIPD.
Un doute demeure toutefois après cette période transitoire. Affaire à suivre donc …