Le traitement des données biométriques interfère avec la vie privée des individus, entraîne de nombreuses menaces, telles que la possibilité de révéler des catégories spécifiques de données ou de conduire à des discriminations. Par conséquent, la construction de chaque système de traitement de données biométriques devrait être précédée d’une analyse d’impact sur la protection des données et la décision finale sur sa mise en œuvre devrait tenir compte des principes fondamentaux de la protection des données à caractère personnel, tels que la nécessité, la finalité et la proportionnalité.

Le règlement général sur la protection des données (GDPR) n’interdit pas, régulièrement, le traitement des données biométriques, à quelques exceptions près. Des données telles que les empreintes digitales, l’image du visage, de la rétine ou de l’iris de l’œil, ou les caractéristiques comportementales ou mentales d’une personne, traitées avec des méthodes techniques spéciales, permettent non seulement d’être identifiées et définies de manière universelle, mais ce sont également des données immuables. Pour cette raison, il est impossible de les modifier à vie, comme le nom, le numéro d’identification, l’adresse de résidence. L’éventuelle fuite de cette catégorie particulière de données à caractère personnel – comporterait un risque élevé de violation des droits et libertés des personnes concernées. Les conséquences négatives d’un tel événement peuvent perdurer toute la vie. Par conséquent, le traitement des données biométriques n’est autorisé qu’à titre exceptionnel sur la base de l’article 9, paragraphe 2, du GDPR lorsque, entre autres, il est autorisé par la procédure ou que la personne concernée y a consenti.

Acceptez également les conditions générales

La GDPR précise que le consentement doit être inaliénable, volontaire, informé et exprimé directement par les personnes concernées et sous la forme d’une déclaration écrite (également électronique) ou orale. Par conséquent, les conditions structurelles de base du consentement sont volontaires, spécifiques, informées et impossibles à obtenir. En outre, la partie consentante doit savoir pourquoi les données sont traitées et à qui le consentement est donné.

L’exigence du consentement volontaire signifie que la personne concernée a un choix réel et libre de donner son consentement et peut le refuser sans conséquences négatives. Pour cette raison, l’absence de consentement de la personne concernée au traitement de ses propres données ne peut pas conduire, par exemple, à une discrimination, à une détérioration de la qualité du service fourni ou à l’impossibilité d’en bénéficier.

La biométrie est attrayante

Cependant, de plus en plus souvent, les responsables du traitement des données veulent utiliser des données biométriques. L’une des raisons est, par exemple, la facilité d’obtenir certaines de ces données (par exemple en plaçant un doigt sur le lecteur ou un œil sur le scanner) et la vérification ultérieure de la personne sur la base de celles-ci. Un exemple en est le contrôle de l’accès aux chambres ou aux bâtiments sur la base, par exemple, d’une empreinte digitale, c’est-à-dire de données dactyloscopiques. Il est beaucoup plus facile et rapide de poser son doigt sur le lecteur d’empreintes digitales que d’insérer un code d’accès ou d’utiliser une carte de proximité qui peut être perdue ou partagée avec une autre personne.

L’utilisation généralisée de la biométrie signifie que de plus en plus de questions connexes sont abordées par les autorités de contrôle européennes dans leurs procédures.

Le traitement des données biométriques ne peut être effectué sans le principe de minimisation prévu à l’article 5, paragraphe 1, point c), du GDPR. Sur cette base, le responsable du traitement ne peut obtenir que les données nécessaires à la réalisation de ses finalités spécifiques.

Cela a été souligné depuis la décision de l’autorité de contrôle néerlandaise du 28 avril 2020. Elle a souligné qu’il faudrait évaluer si l’identification au moyen de données biométriques est nécessaire et proportionnée à des fins d’authentification ou de sécurité. L’autorité a indiqué que si la biométrie peut être utilisée pour contrôler l’accès aux caméras en raison du besoin élevé d’assurer la sécurité, son utilisation n’est pas justifiée lorsqu’on entre dans deux autres caméras, par exemple dans un bureau.

De son côté, l’autorité de contrôle suédoise a enquêté sur le traitement des données biométriques par une école. Elle a introduit la possibilité de traiter des données biométriques sous forme de traits faciaux de ses élèves pour confirmer automatiquement leur présence en classe.

Cette école a indiqué le consentement comme base du traitement des données. L’autorité suédoise a sanctionné l’école dans ce cas. Elle a permis d’éviter que le traitement de catégories particulières de données ne soit fondé sur des raisons de légalisation tout en respectant les principes du consentement des données. Pour cela, par exemple, le consentement ne peut pas être un traitement précis de légalisation des données, s’il ne respecte pas les principes énoncés dans le GDPR, comme par exemple le consentement volontaire.

Le tribunal administratif de Marseille a contesté le consentement comme base du traitement des données biométriques par deux écoles qui, sur la base d’une décision du conseil régional de Provence-Alpe-Côte d’Azur, ont utilisé des technologies de reconnaissance faciale pour contrôler la sortie et l’entrée des élèves à l’intérieur du bâtiment. Ce tribunal a estimé que les étudiants ne pouvaient pas exprimer « librement leur consentement à la collecte de données personnelles », en raison de la relation d’autorité entre les étudiants et l’administration de l’école.

Biométrie et discrimination

En Pologne également, plusieurs entités font un usage enthousiaste des données biométriques. La volonté de traiter ces données ne va pas toujours de pair avec une évaluation ou une analyse des risques correctement menée pour établir si les objectifs ne peuvent pas être atteints d’une manière différente, moins intrusive pour la vie privée, dans laquelle les données biométriques n’auraient pas à être traitées.

Dans un de ces cas, des données biométriques ont été traitées à l’école. Un système d’identification biométrique a été introduit à l’intérieur de la cantine scolaire, qui permet aux enfants de vérifier le paiement de l’herbe. En menant la procédure administrative contre cet administrateur, l’Office de protection des données a établi que les dispositions du droit généralement applicable en Pologne indiquent le type de données qu’une école peut obtenir de ses étudiants. Et aucun d’entre eux ne permet à l’école de traiter des données biométriques. Dans ce cas, l’école a obtenu des données biométriques sous forme d’empreintes digitales et les a traitées sur la base du consentement écrit des parents ou des tuteurs légaux.

Dans sa décision, l’Office pour la protection des données personnelles a déclaré que le traitement des données biométriques n’est pas nécessaire pour atteindre un objectif d’identification du droit du mineur à retirer son petit déjeuner. L’école peut également procéder à une identification par d’autres moyens qui n’interfèrent pas avec la vie privée de l’enfant. En outre, l’école, en plus du système d’identification par empreintes digitales, disposait d’un système d’identification électronique par carte. La vérification des étudiants rémunérés a également été basée sur le nom et le numéro de contrat. De ce fait, l’école disposait d’autres moyens pour déterminer l’admissibilité d’un enfant au petit déjeuner.

Cependant, les enfants dont les parents ne permettaient pas le traitement de leurs données biométriques devaient passer toutes les empreintes digitales identifiées dans la file d’attente de la cantine. De ce fait, l’autorité de contrôle a conclu qu’il y a une discrimination devant ces personnes. En outre, l’utilisation des données biométriques par rapport à la finalité pour laquelle elles ont été traitées était en l’occurrence disproportionnée.

Le WSA a traité les données d’une manière différente des précédents arrêts de la Cour administrative suprême.

Le président de l’Office de protection des données (UODO) a infligé une amende de 20 000 PLN à l’école pour avoir traité les données biométriques des enfants et lui a ordonné de supprimer ces données. Toutefois, la décision a été contestée par le tribunal administratif provincial, qui l’a modifiée. Le WSA a estimé que le consentement prévu à l’article 9, paragraphe 1, lettre a. du GDPR légalise la collecte et le traitement des données biométriques des enfants.

Toutefois, l’Office de protection des données personnelles ne peut pas être d’accord avec cela. Le consentement donné par les parents au traitement des données biométriques de leurs enfants ne peut être considéré comme volontaire, car l’absence de ce consentement a eu des conséquences négatives sous la forme de la nécessité de permettre le passage d’enfants dans une file d’attente pour un pâturage, dont les parents ont donné ce consentement.

Les tribunaux administratifs polonais ont déjà traité le traitement des données biométriques. La Cour administrative suprême, par son arrêt du 1er décembre 2019, référence I OSK 249/09, a estimé que l’utilisation des données biométriques des employés pour contrôler le temps de travail violait le principe d’adéquation. Ce juge a également déclaré que l’utilisation de données biométriques pour contrôler le temps de travail des employés était disproportionnée par rapport à la finalité du traitement.

L’arrêt de la Cour administrative provinciale, qui a annulé la décision du président du Bureau des données personnelles (UODO), imposant une sanction à l’école qui traite les données biométriques des élèves, est contraire aux arrêts précédents de la Cour administrative suprême.

La fin ne justifie pas les moyens

La WSA a révélé que le Bureau de la protection des données était très rigide dans l’application du principe de minimisation des données. Ce juge a déclaré que l’exigence de nécessité devrait être lue parallèlement à l’exigence d’adéquation et d’opportunité, qui devrait permettre de tenir compte des circonstances et d’autoriser le traitement de données qui peuvent contribuer de manière significative à la réalisation des objectifs du traitement.

Le Bureau de la protection des données ne peut pas être d’accord avec cette déclaration. L’administrateur ne peut traiter que les données qui sont nécessaires pour atteindre un objectif spécifique. Elle permet le traitement de données qui ne sont pas nécessaires, mais qui ne peuvent qu’aider à atteindre la finalité, elle peut conduire au traitement sous ce prétexte d’une couverture illimitée des données.

L’administrateur pourrait donc expliquer que les données ne sont pas nécessaires, mais qu’elles peuvent être utiles pour atteindre un certain objectif. Une telle approche violerait les principes de minimisation et d’adéquation.

Le président de l’Office de protection des données personnelles (UODO), compte tenu des risques liés au traitement des données, des principes énoncés dans la GDPR, a introduit un recours en cassation devant la Cour administrative suprême contre l’arrêt précité du tribunal administratif provincial (II SA/Wa 809/20) qui a abrogé la décision de l’Autorité de contrôle. Selon l’avis de l’autorité de protection des données, dans ce cas, il y a eu non seulement une violation des principes énoncés dans le GDPR, à savoir la minimisation et l’adéquation, le consentement volontaire, mais aussi une discrimination devant les étudiants.

En outre, le GDPR accorde une grande importance à la protection des mineurs, car ils peuvent être moins conscients des risques, des conséquences, des garanties et des droits qu’ils ont en relation avec le traitement des données à caractère personnel.

En même temps, les conséquences négatives d’une éventuelle violation de la protection des données biométriques dans un cas similaire se poursuivraient à vie, même après la majorité, en raison de l’immuabilité de ces données. 

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO