Alors que l’Union européenne s’apprête à accueillir le règlement européen en matière de protection des données (« RGPD ») le 25 mai prochain, la Commission européenne vient d’annoncer vouloir rendre obligatoire l’inclusion de données biométriques dans les cartes d’identité nationales des Etats membres. Dans ce contexte, se pose la question de la protection des traitements des données biométriques, alors que la biométrie tend indéniablement à être de plus en plus intégrée à de nombreux actes de la vie courante (déverrouillage de laptop et smartphone, accès bureau, passeport, paiement par reconnaissance biométrique, etc).

Quelle est la spécificité de la donnée biométrique ?

La biométrie a cette spécificité d’être une technique qui permet de reconnaître l’identité d’une personne, grâce à la reconnaissance automatique d’une ou de plusieurs de ses caractéristiques physiques ou comportementales, lesquelles ont été enregistrées en amont (empreintes digitales, reconnaissance faciale, vocale, etc).

Les « données biométriques » sont donc, comme le définit le RGPD, toutes « données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (Art. 4 du RGPD).

Comment le traitement de données biométriques est-il encadré ?

Le RGPD prévoit expressément que par principe, le traitement de données biométriques est interdit (Art. 9 du RGPD). Cette interdiction peut toutefois être levée, si ce traitement s’inscrit dans l’une des hypothèses prévues par l’article 9 du RGPD. On notera par exemple, et sans être exhaustif, qu’un tel traitement peut-être autorisé si la personne concernée y a donné son consentement de façon explicite, s’il permet de protéger des intérêts vitaux, et de façon plus générale, lorsqu’il est nécessaire pour des raisons d’intérêt public (Art. 9 du RGPD). Le responsable du traitement devra ainsi s’assurer de remplir l’une de ces conditions, sous peine de sanctions graves pouvant aboutir à l’arrêt pur et simple du traitement et au paiement d’amendes administratives conséquentes (Art. 83 du RGPD).

Comment sécuriser les données biométriques ?

S’agissant de la sécurité des données biométriques traitées, il est recommandé au responsable du traitement de ne pas héberger lui-même la donnée biométrique. Cette dernière peut être enregistrée sur un support détenu par la personne concernée, tel que le passeport ou le badge. Dans le cas contraire, le support hébergeant la donnée biométrique devra être hautement sécurisé (clé cryptée de type AES par exemple).

On relèvera que cette catégorie de traitement contraint systématiquement le responsable du traitement à nommer un délégué à la protection des données. Ce dernier doit s’assurer que tous les traitements de données sont conformes au RGPD, et procéder, notamment, à une analyse d’impact sur la vie privée des personnes concernées (« DPIA »).

La Commission nationale pour la protection des données (CNPD), en qualité d’organe de contrôle, se montrera intransigeante quant à la mise en conformité de cette catégorie de traitement.

En conclusion, eu égard aux risques souvent élevés liés au traitement de données biométriques, il est recommandé de renoncer à traiter de telles données si l’identification ou l’authentification des personnes concernées peut être réalisée avec la même efficacité par d’autres procédés. Dans le cas contraire, la mise en conformité au RGPD de cette catégorie de traitement devra répondre à un haut degré de sécurité.

L’Étude MARTIN AVOCATS, membre de l’Association pour la Protection des données à Luxembourg (APDL), œuvre pour vous soutenir dans le cadre de vos démarches, solutions de diagnostic et mise en conformité de vos traitements au RGPD.