Home / Publications / Comprendre le traitement de données biométriques...

Comprendre le traitement de données biométriques à l’heure du Covid-19

Concilier un intérêt renouvelé et un régime juridique strictement encadré

25/06/2020

Au temps de la distanciation sociale, l’objectif de tout un chacun est d’éviter tout contact physique inutile, que ce soit avec des personnes ou des objets et autres surfaces inanimées. Les rassemblements doivent être limités et des solutions alternatives à distance privilégiées, ce qui n’est pas sans conséquences pour les entreprises qui doivent d’adapter.

C’est dans ce contexte que le traitement de données biométriques pose de nouvelles questions.

Le traitement de données biométriques en pratique

Les lignes directrices du Comité européen de la protection des données (CEPD) relatives au traitement des données personnelles par appareils vidéo exigent la réunion de trois critères pour qu’un traitement considéré comme relatif à des données biométriques :

  • les données doivent résulter d’un traitement technique spécifique (critère des moyens du traitement) ;
  • le traitement doit porter sur des données brutes relatives à des caractéristiques physiques, physiologiques et comportementales d’une personne (critère de la nature des données) ;
  • les données brutes ainsi traitées doivent permettre l’identification unique de la personne à qui elles appartiennent (critère de la finalité du traitement).

En pratique, un modèle biométrique est créé à partir de ces données brutes et peut être utilisé par le responsable de traitement afin d’identifier la personne pour différentes raisons telles que la sécurisation de l’accès à un bâtiment, la fourniture d’un service personnalisé, ou encore la mise en place de publicités ciblées. Ainsi, sont des traitements de données biométriques les dispositifs de reconnaissance faciale ou de reconnaissance d’iris assurant une authentification à distance de l’individu. En permettant d’éviter les contacts physiques, ces technologies s’inscrivent dans une démarche de prévention de l’infection virale en période de pandémie mondiale. Sur le plan opérationnel, elles pourraient accompagner la reprise des activités des entreprises.

Comment éviter l’interdiction de principe du traitement des données biométriques ?

Les traitements de données biométriques ne sont pas anodins et leur mise en œuvre est strictement encadrée. Les données biométriques sont des données à caractère personnel dites sensibles, dont le traitement est par principe interdit par l’article 9 (1) du règlement général de protection des données (RGPD). Pour déroger à cette interdiction, les lignes directrices prévoient qu’il est nécessaire, dans la plupart des cas, d’obtenir le consentement explicite et préalable des personnes concernées par le traitement.

A de rares exceptions près, lorsque le consentement au dispositif biométrique est requis en vertu de l’article 9 (2) du RGPD, le responsable de traitement ne doit pas conditionner l’accès au service qu’il offre à une acceptation du traitement biométrique par l’individu. Une alternative moins intrusive au regard de la protection des données des personnes doit être proposée, sans restriction ni coût additionnel.

En revanche, un traitement n’est pas biométrique lorsque, dans le contexte d’une captation vidéo, il vise seulement à distinguer des catégories de personnes en fonction de certaines caractéristiques, telles que l’âge ou le sexe (pour des finalités statistiques ou publicitaires par exemple), sans associer les données brutes collectées et générer des modèles biométriques permettant d'identifier les personnes de manière unique. Il n’est donc pas soumis aux conditions de l’article 9 (1) du RGPD sous réserve bien entendu que d’autres types de données sensibles ne soient pas traitées. Il n’en demeure pas moins un traitement de données à caractère personnel classique et est soumis aux autres règles du RGPD.

Le traitement biométrique doit être proportionné au but poursuivi

Le recours à une technologie de traitement de données biométriques ne peut être justifié que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens moins intrusifs. Cette exigence de proportionnalité est rappelée par les lignes directrices du CEPD qui insistent également sur l’obligation d’utiliser une technologie de traitement de données biométriques en conformité avec les principes de légalité, de nécessité, et de minimisation des données. Un exemple pratique peut être trouvé dans l’actualité récente relative à la tenue d’examens à distance sur ordinateur organisés par les établissements d’enseignement supérieur publics et privés, mesure palliative à l’impossibilité d’organiser les épreuves en format présentiel.

En effet, la "vérification de l'identité du candidat" et la "surveillance de l'épreuve et le respect des règles applicables aux examens" constituent deux des trois conditions garantissant la validation des enseignements contrôlée par des épreuves organisées à distance sous forme numérique (article D.611-12 du Code de l’éducation).La mise en place d’un dispositif de contrôle et de surveillance est donc essentiel, mais celui-ci doit toutefois être proportionné à l’objectif poursuivi. Selon la Commission nationale de l’informatique et des libertés (CNIL), la mise en œuvre de traitements de données biométriques est a priori disproportionnée pour sécuriser l’organisation d’examens à distance. Elle considère que ce type de traitement constitue une ingérence importante dans la vie privée de l’étudiant et comporte ainsi des risques graves d’atteinte à ses libertés individuelles (voir le rappel des règles applicables publié le 20 mai 2020).

La CNIL considère que d’autres mesures apparaissent comme davantage proportionnées et donc suffisantes pour atteindre la finalité du traitement, à savoir la surveillance vidéo en temps réel pendant la durée de l’examen et la prise de photographies, de flux vidéo ou de sons de manière ponctuelle ou aléatoire. De telles mesures, si elles sont plus appropriées, ne dispensent toutefois pas le responsable de traitement :

  • ni de la probable conduite d’une analyse d’impact relative à la protection des données (AIPD) avant la mise en place du système de surveillance ;
  • ni de la conclusion d’un contrat de sous-traitance de données avec le prestataire de service fournissant la solution logicielle, conformément à l’article 28 du RGPD.

Garantir les droits des personnes et la sécurité des données biométriques par des mesures pertinentes et appropriées

Le responsable de traitement qui utilise une technologie de traitement de données biométriques, telle que la reconnaissance faciale par caméra, doit s’assurer que le dispositif ne peut capturer l’image et créer le modèle biométrique que des personnes y ayant consenti préalablement, ou qu’une des autres exceptions prévues à l’article 9 (2) du RGPD est applicable.

La nature particulière des traitements de données biométriques et leur caractère extrêmement sensible nécessitent que soient mises en œuvre des mesures d’organisation et de sécurité de haut niveau adaptées aux traitements et aux risques qu’ils impliquent. Cela concerne notamment :

    • le cloisonnement des données lors de leur transmission et de leur conservation ;
    • le stockage séparé, d’une part, des données personnelles brutes et, d’autre part, des modèles biométriques créés à partir de ces données personnelles brutes ;
    • la suppression des données brutes collectées lorsqu’elles ne sont plus nécessaires à la constitution de modèles biométriques. Si ces données devaient être conservées, des mesures de sécurité supplémentaires devraient être mises en place.

Le traitement de données biométriques est un processus intrinsèquement lié à la technologie. La constante évolution de cette dernière entraîne celle des modalités du traitement et des usages qui en sont faits, rendant nécessaires la mise à jour et l’adaptation des mesures de sécurité.

A noter : la CNIL a publié un règlement type qui précise les obligations des organismes souhaitant se doter de dispositifs biométriques à des fins de contrôle d’accès aux locaux, aux applications et aux outils de travail.


Dossier : les impacts du Covid-19 (Coronavirus)

Notre cabinet d'avocats vous propose son assistance juridique pour appréhender tous les impacts du Covid-19 (Coronavirus) sur votre entreprise. Découvrez notre dossier dédié ci-dessous.

coronavirus covid19 FR 800x300

Bouton inscription newsletter - 800x90

Technologie, Media et Communication dans notre cabinet d’avocats :

Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

expertise tmc 330x220

Expertise : Technologie, Media et Communication

nous contacter 330x220

Nous contacter

Auteurs

Benezeth Benjamin
Benjamin Benezeth
Juriste
Paris
Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris