Traitement des données biométriques - Recommandation de l'APD

Précédemment, nous avions rédigé un newsflash sur le projet de recommandation de l'Autorité de protection des données ("APD") relatif au traitement des données biométriques, dans lequel celle-ci prévoyait une période de tolérance d’un an pour les entreprises traitant de telles données. Le 6 décembre 2021, l’APD a publié sa version finale de la recommandation relative au traitement des données biométriques. Dans ce document, l'APD ne se contente pas d'apprécier les règles du Règlement général sur la protection des données ("RGPD") dans le contexte du traitement des données biométriques, mais elle confirme également qu'il ne peut y avoir de consentement "libre" dans les relations de travail, étant donné le rapport de force qui existe entre l'employeur et le travailleur. Par conséquent, l'employeur doit chercher un autre fondement légal, mais en existe-t-il un aujourd'hui ?

La recommandation de l'APD est très complète et traite de tous les aspects du traitement des données biométriques à la lumière du RGPD. Nous en abordons brièvement les principaux enseignements ci-dessous :

  • Les données biométriques sont des données à caractère personnel résultant d'un traitement technique spécifique se rapportant aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique et permettant d’identifier ou d’authentifier sans équivoque cette personne physique.

    Les caractéristiques physiques ou physiologiques font référence aux propriétés corporelles des personnes, par exemple les informations relatives au visage, les empreintes digitales et les scans de l'iris. Les caractéristiques comportementales sont des caractéristiques comportementales qui permettent l'identification unique de la personne, par exemple l'utilisation du clavier, de l'écran tactile et de la souris ainsi que le comportement de navigation et de travail sur un ordinateur pour l'authentification des personnes ou l'identification basée sur le modèle de la démarche unique des personnes.

  • L'APD indique que le fonctionnement d'un système biométrique doit être divisé en 2 phases de collecte et 2 phases de comparaison.

Collecte du matériel biométrique

La première phase de collecte est le moment où une caractéristique biométrique de la personne concernée est collectée et enregistrée soit sur un support individuel (par exemple un badge ou un token), soit dans une base de données (enregistrement). Les informations de référence sont soit les données biométriques brutes (par exemple, l'image du visage, de la main, de l'iris ou de l'empreinte digitale), soit l'ensemble des informations codées obtenues au départ des caractéristiques individuelles et uniques des données brutes (un gabarit). En principe, les données brutes doivent être converties en gabarits pendant la phase de collecte, après quoi les données brutes sont immédiatement effacées.

La deuxième phase de collecte est le moment où la personne concernée présente à nouveau ses caractéristiques biométriques au système qui doit l'authentifier. Ce deuxième échantillon biométrique est ensuite comparé aux informations de référence pour voir si elles correspondent suffisamment.

Comparaison du matériel biométrique

Il existe deux manières de comparer les informations obtenues lors des phases de collecte, à savoir la fonction d'identification et la fonction de vérification.

La fonction d'identification consiste à comparer les informations de la deuxième phase de collecte avec toutes les informations biométriques disponibles dans le système biométrique et enregistrées par définition dans une base de données ("one-to-many comparison").

La fonction de vérification compare les informations de la deuxième phase de collecte aux informations enregistrées au préalable appartenant à une seule personne (« one-to-one comparison »).

L'APD indique que la fonction de vérification est préférable, car les informations de référence ne doivent pas nécessairement être enregistrées dans une base de données. La fonction d'identification ne sera utilisée que dans des cas exceptionnels et motivés.

Dans sa recommandation, l'APD distingue trois manières de stocker les gabarits biométriques.

  1. Maîtrise du gabarit par la personne concernée ("vérification effective") ;
  2. Maîtrise partagée ;
  3. Maîtrise exclusive par le responsable du traitement des données.

La maîtrise partagée et exclusive des gabarits biométriques ne sera possible que dans des circonstances exceptionnelles.

  • L'APD reconnaît que lorsque les données biométriques sont stockées exclusivement sur l'appareil de la personne concernée et que le processus d'authentification biométrique peut se dérouler localement et de manière autonome sans accès extérieur, le traitement peut relever de l'exception domestique, si les conditions sont remplies : les règles du RGPD ne s'appliquent alors donc pas. Il pourrait s'agir, par exemple, d'une authentification personnelle au moyen de smartphones et d'autres appareils électroniques où les logiciels de reconnaissance faciale et les capteurs d'empreintes digitales remplacent le code PIN traditionnel.
  • L'APD confirme que les données biométriques constituent une catégorie particulière de données à caractère personnel, dont le traitement est interdit en vertu de l'article 9.1 du RGPD, à moins que le responsable du traitement ne puisse invoquer cumulativement une base juridique de l'article 6 du RGPD et l'un des motifs d'exception énumérés de manière limitative à l'article 9.2 du RGPD.

L'APD est d'avis que le traitement des données biométriques peut être fondé sur deux motifs d'exception possibles : le "consentement explicite" ou "l’intérêt public important".

Consentement explicite

Pour que des données biométriques puissent servir de base au traitement de données biométriques, le consentement doit être valable, ce qui signifie qu'il doit être libre, spécifique, éclairé et univoque. L’APD réitère sa position selon laquelle il ne peut y avoir de consentement libre dans le contexte d'une relation de travail car, dans ce cas, il existe une relation de pouvoir entre le responsable du traitement des données et la personne concernée. L'APD fait référence à une amende de 725.000 EUR infligée par l'Autorité néerlandaise chargée de la protection des données personnelles à une entreprise qui a traité illégalement les empreintes digitales de ses employés.

Intérêt public important

Selon l'APD, le responsable du traitement peut également invoquer un "intérêt public important" comme base légale pour traiter les données biométriques lorsque les conditions du consentement explicite ne peuvent être remplies en raison d'un rapport de force existant entre le responsable du traitement et la personne concernée.

Toutefois, cette base légale ne peut être invoquée que si le droit de l'Union ou le droit des États membres reconnaît explicitement ces intérêts et autorise le traitement. Actuellement, une seule loi belge autorise explicitement le traitement des données biométriques, à savoir la loi relative aux registres de la population, aux cartes d'identité, aux cartes des étranger et aux documents de séjour. Il existe également le règlement européen établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres.

Contrairement à plusieurs de nos pays voisins, le législateur belge n'a pas choisi de prévoir une base légale générale autorisant le traitement des donnée biométriques dans le cadre de l'identification unique ou de l'authentification d'une personne à des fins de sécurité.

A l'exception du traitement des données biométriques dans le cadre de l'eID (carte d'identité électronique) et du passeport, l'APD souligne qu'il existe une faille dans la législation belge qui rend tout autre traitement de données biométriques dans le cadre de l'authentification des personnes sans fondement légal.

En outre, l'APD est d'avis qu'une obligation légale, formulée de manière générale, dans le chef du responsable du traitement de prévoir des mesures de sécurité suffisantes ne peut justifier l'utilisation de données biométriques. Il faudra toujours prévoir une disposition légale (générale ou sectorielle) qui autorise explicitement le traitement.

L'APD souligne que l'existence d'une disposition légale ne serait en toute hypothèse pas un « sauf-conduit absolu » pour le traitement de données biométriques et qu'elle ne dispenserait pas le responsable du traitement de l'obligation de justifier de la nécessité et la proportionnalité du traitement. Le responsable du traitement devrait vérifier si les finalités qu'il poursuit sont telles que l'utilisation de la biométrie est inévitable.

L'APD invite le législateur belge à prévoir une base légale pour le traitement des données biométriques dans la mesure où il veut (continuer à) autoriser l'utilisation de données biométriques dans certains contextes. À cette fin, il appartient aux secteurs, organisations ou instances professionnelles concerné(e)s d'informer le législateur de leurs intentions.

Toutefois, dans cette recommandation finale, l'APD n'indique plus qu'elle respectera une période de tolérance.

Pour le reste, la recommandation prévoit également que lors de l'utilisation de données biométriques, tous les autres principes de protection des données doivent être respectés, à savoir : la limitation de la finalité, la proportionnalité, la sécurité et la transparence.

Point d'attention

Selon la nouvelle recommandation de l'APD, les entreprises ne peuvent se fonder que sur la base juridique du "consentement" pour le traitement des données biométriques. Toutefois, l'APD souligne que le consentement doit être libre, ce qui ne sera généralement pas le cas dans un contexte d’une relation de travail.  Étant donné qu'à l'heure actuelle, aucune initiative législative autorisant explicitement le traitement des données biométriques n'a été prise, l'employeur qui traiterait ces données ne dispose pas de fondement juridique valable. Le législateur belge est invité à agir rapidement sur le cadre juridique car il est évident que certaines mesures de sécurité nécessitent l'utilisation de la biométrie. Auparavant, l'APD avait explicitement annoncé une période de tolérance d'un an - depuis juillet 2021. Cette période n'est plus mentionnée dans la version finale de la recommandation.