AccueilDroitActualité du droitLe traitement des données biométriques des personnes : légal ou illégal ?

Le traitement des données biométriques des personnes : légal ou illégal ?

À l'ère de l'explosion numérique, le corps humain est constitué de millions de données plutôt que de cellules biologiques.
Le traitement des données biométriques des personnes : légal ou illégal ?
© EDHEC

DroitActualité du droit Publié le , Xiaoqian Ma et Minchi Lee, , étudiantes au sein du LLM Law & Tax Management, EDHEC Business School

Les technologies de données biométriques, telles que la reconnaissance faciale et les empreintes digitales, sont maintenant omniprésentes dans notre vie quotidienne et notre travail. L'utilisation des données biométriques présente de réels avantages pour la sécurité publique et pour des raisons pratiques, mais leur caractère intrusif et leur précision suscitent un certain nombre de préoccupations en matière de violation de la vie privée et des droits fondamentaux. Facebook Inc. a ainsi du faire face à un recours collectif dans l'Illinois aux États-Unis.

En 2015, en raison de l'utilisation par Facebook de la technologie de reconnaissance faciale dans sa fonction de marquage des photos, les plaignants alléguaient que les numérisations avaient été créées sans préavis ni consentement de l'utilisateur, et qu'elles violaient la loi sur la confidentialité des informations biométriques de l’Etat de l'Illinois[1]. Il fut ordonné à Facebook de payer 650 millions de dollars d'indemnités aux utilisateurs de l'Illinois dont les données faciales avaient été collectées et stockées secrètement. Nous proposons dans cet article d’identifier la notion de données biométriques, d’analyser les questions urgentes actuelles tant sur le plan juridique qu'éthique, de mettre en évidence les mesures de protection prises par l'UE dans le cadre du RGPD et la mise en œuvre par les Etats membres (en particulier du point de vue de la France), et enfin d’examiner les prochaines étapes pour légitimer l'utilisation des données biométriques sur la base de nouvelles propositions et lignes directrices détaillées et complètes dans l'UE.

Qu’est-ce qu’une donnée biométrique ?

Les données biométriques sont « des données à caractère personnel résultant d'un traitement technique spécifique portant sur les caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permet ou confirme l'identification unique de cette personne physique, telles que les images faciales ou les données dactiloscopiques »[2].

En raison de la facilité d'utilisation et de la caractéristique humaine unique, les technologies biométriques sont largement appliquées tant par les autorités publiques que par les entités privées dans le domaine de l'identité civile et de la sécurité publique. Dans le secteur bancaire, le système de paiement par reconnaissance faciale a été introduit pour la première fois dans les transactions en 2013 par la société finlandaise Uniqul. Les utilisateurs n'ont qu'à regarder la caméra du point de vente et le système connecte automatiquement leurs comptes et termine le paiement[3].

Ces systèmes sont également utilisés pour authentifier l'identité des clients dès qu'ils s'approchent d'un distributeur automatique ou ouvrent une application bancaire sur un appareil mobile, ainsi que pour effectuer des contrôles pertinents en matière de fraude. En termes d'application de la loi, les données biométriques telles que l'ADN et la reconnaissance faciale peuvent aider, à l’aide de bases de données, à identifier un suspect ayant un casier judiciaire ou d'autres problèmes juridiques, ce qui améliore considérablement l'efficacité des enquêtes policières. Même dans le secteur privé, l'analyse de l'expression faciale devient de plus en plus populaire dans la pratique du marketing pour prédire les préférences des clients envers un produit afin de générer plus de profit.

Cependant, nous perdons peu à peu le contrôle de nos données biométriques personnelles qui sont traitées par de vastes algorithmes. L'utilisation à grande échelle de la technologie de reconnaissance biométrique alimentée par l'IA, à des fins d'identification ou d'authentification des personnes physiques, et la collecte de données plus "sensibles" et personnelles liées à la santé, à l'origine ethnique, à la religion ou aux opinions politiques, etc., donnent lieu à une plus grande intrusion dans la vie privée des individus.

Il est courant de voir que nos visages sont capturés à distance à notre insu, et traités dans des bases de données biométriques qui sont ensuite vendues à des tiers sans notre consentement. On peut aussi penser à la personne filmée par la caméra de surveillance à la porte de la maison voisine, et dont les données du visage pourraient ensuite être consultées par les services de police[4].

Ces pratiques suscitent de vives inquiétudes quant au droit à la protection des données à caractère personnel énoncé à l'article 8 de la Charte des droits fondamentaux de l'Union européenne et au droit à la vie privée énoncé à l'article 7 de cette même Charte[5].

En outre, les problèmes en matière de discrimination sociale peuvent apparaitre eu égard à l'imprécision de la technologie. Il a été démontré que certains systèmes de reconnaissance faciale identifient mal les personnes de couleur, les femmes et les jeunes dans des proportions élevées, ce qui constitue probablement une menace pour les libertés civiles[6]. C'est pourquoi il est urgent et nécessaire d'introduire un ensemble de règles pour réglementer les comportements en matière de collecte et de traitement des données biométriques.

La protection des données biométriques dans le cadre du RGPD

Officiellement adopté par le Parlement européen en 2016 et devenu applicable dans toute l'UE depuis le 25 mai 2018, le règlement général de l'UE sur la protection des données (RGPD) a été introduit pour préciser comment les données des consommateurs doivent être utilisées légalement et protégées contre les abus, les collectes et les traitements illégaux à l'heure de la numérisation[7].

Le traitement des données biométriques dans le but d'identifier de manière unique les personnes physiques est interdit en vertu de l'article 9 du RGPD, car ces données personnelles sont définies comme faisant partie des "catégories spéciales de données", de nature sensible. Toutefois, cette interdiction n'est pas absolue ; les principales dérogations suivantes basées sur le même article du RGPD peuvent être appliquées dans certaines situations limitées et restrictives :

  • le consentement de la personne concernée a été donné explicitement ;
  • les informations biométriques sont nécessaires à l'exécution des obligations du responsable du traitement ou de la personne concernée dans le domaine de l'emploi, de la sécurité sociale et du droit de la protection sociale ;
  • il est essentiel de protéger les intérêts vitaux de la personne et elle est physiquement ou juridiquement incapable de donner son consentement ;
  • c’est nécessaire pour toute revendication juridique ;
  • c’est nécessaire pour des raisons d'intérêt public dans le domaine de la santé publique.

De nombreux Etats membres ont promulgué leur loi nationale sur la protection des données en s'inspirant de l'article 9, paragraphe 4, du RGPD, en prévoyant davantage de restrictions au traitement des données sensibles et en limitant les circonstances dans lesquelles des exceptions peuvent être appliquées. Par exemple, aux Pays-Bas, en vertu de l'article 29 de la loi néerlandaise de mise en œuvre du RGPD, le traitement des données biométriques aux fins de l'identification unique d'une personne est autorisé si le traitement est nécessaire à des fins d'authentification ou de sécurité et uniquement dans la mesure où il est nécessaire au regard d'un intérêt impérieux d'accès légal à certains lieux, bâtiments, services, produits, systèmes d'information ou systèmes de processus de travail[8].

Mise en œuvre concernant l'emploi – le modèle français (règlement type de la CNIL) - sur le traitement des données biométriques comme contrôle d'accès au lieu de travail

Le RGPD prévoit que le consentement doit être exprimé explicitement avant la collecte des données, tant au niveau de l'UE qu'au niveau national, au sein des États membres. Il convient de noter que dans la relation employeur-employé, le consentement explicite peut difficilement être donné librement en raison du déséquilibre inhérent à la relation hiérarchique existant entre le responsable du traitement et la personne concernée.

Par conséquent, si l'employeur a l'intention de mettre en œuvre un système biométrique, « l’obligation légale » et « l’intérêt légitime » doivent être pris en compte en tant que base juridique en vertu de laquelle les pays membres introduisent des règles nationales plus spécifiques pour soutenir ce traitement. La Commission nationale de l'informatique et des libertés (CNIL) a publié le premier "règlement type" établissant des règles contraignantes concernant l'utilisation de systèmes d'identification et d'authentification biométriques pour permettre l'entrée sur le lieu de travail ou l'accès à certains dispositifs ou applications au travail[9]. Voici quelques aspects clés de ce règlement type :

Justifier la nécessité spécifique de l'utilisation de la biométrie

La personne qui collecte ou traite les données est tenue de justifier le contexte spécifique dans lequel l'utilisation de la biométrie est nécessaire (par exemple, la présence de machines ou de produits particulièrement dangereux, d'objets de valeur, de matériaux confidentiels ou de produits soumis à une réglementation stricte), et de démontrer l'insuffisance ou l'inadéquation de l'utilisation d'autres dispositifs d'authentification normaux tels que les badges ou les mots de passe.

Distinguer trois types de systèmes de contrôle d'accès biométrique en fonction de la méthode de transmission et de stockage des données

(i). Gabarit sous maîtrise exclusive de la personne concernée (type 1) : le support de stockage des données est indépendant (par exemple, des badges ou des cartes) et est possédé par les employés concernés eux-mêmes. (ii). Gabarit sous maîtrise partagée (type 2) : une base de données centrale contenant les données biométriques de tous les membres du personnel et dotée d'un code de sécurité ; elle ne peut être lue ou exploitée sans l'intervention des personnes concernées. (iii). Gabarit sous maîtrise exclusive du responsable de traitement (type3) : similaire au type 2, mais c'est l'employeur qui conserve le stockage des données biométriques des employés plutôt que les personnes concernées. Le règlement type indique que les types 2 et 3 peuvent être appliqués uniquement dans des environnements critiques qui justifieraient des protections plus fortes ; le document détaillé prouvant ce choix effectif doit être fourni. Dans le cas contraire, les données biométriques doivent être stockées sur le type 1, en possession exclusive de la personne concernée[10].

Maintenir une forte sécurité des données

Préciser les mesures techniques et organisationnelles en termes de données, d'organisation, de matériel, de logiciels et de canaux informatiques qui doivent être mises en œuvre et contrôlées par les employeurs pour assurer la sécurité des données personnelles. Le règlement type définit également les périodes maximales de conservation des données biométriques : l'organisation employeur ne peut conserver les données biométriques de son personnel que pendant la durée de l'emploi ; une fois que l'employé cesse de travailler - qu'il s'agisse d'une démission ou d'un licenciement - ses données biométriques doivent être effacées lorsqu'il quitte le lieu de travail..

Nouvelles mesures pour la protection des données biométriques

La Convention 108, premier traité international contraignant dans le domaine de la protection des données, a été introduite en 1981 par le Conseil de l'Europe en vue de la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Après avoir été mise à jour en 2018 pour s'aligner sur le RGPD entré en vigueur ultérieurement, elle est appelée Convention 108+ - qui inclut la sensibilité des données biométriques - pour la distinguer des conventions existantes. Son objectif est de « garantir la dignité humaine et la protection des droits de l'homme et des libertés fondamentales de chaque individu»[11].

Le 28 janvier 2021, le Conseil de l'Europe a élaboré des lignes directrices sur la reconnaissance faciale à l'intention des gouvernements, des législateurs et des entreprises, relativement à la manière dont ces technologies devraient être déployées. L'Office polonais de protection des données personnelles a publié des « lignes directrices sur l'utilisation des données biométriques » ; et le Comité européen de la protection des données a publié des « lignes directrices sur le traitement des données à caractère personnel par des dispositifs vidéo »[12]. En France, voir également le rapport publié en 2021 par le Défenseur des droits : « Technologies biométriques : l’impératif respect des droits fondamentaux »[13].

Alors que la croissance des technologies combinées aux données biométriques et à l'utilisation de l'intelligence artificielle est observée dans le monde entier, l'Union européenne cherche à mettre en place une législation sur l'intelligence artificielle afin de protéger les données personnelles et biométriques des consommateurs contre les autorités ou les entreprises qui abusent de la technologie de reconnaissance faciale en utilisant leurs algorithmes d'IA. La proposition (loi européenne sur l'intelligence artificielle) a été adressée le 21 avril 2021 ; elle sera débattue par le Parlement européen et les États membres avant de devenir une loi. La loi à venir ne doit pas négliger la menace pour les libertés civiles et doit s'assurer que les personnes comprennent parfaitement les conditions qu'elles acceptent lorsqu'on leur demande de consentir au partage de leurs données biométriques avec des tiers pour utiliser des services numériques[14].



[1] https://www.facebookbipaclassaction.com/

[3] McKinsey, AI-powered decision making for the bank of the future, 2021

[4] A. Hoffman, Ring Inc. and Law enforcement: The cost of keeping neighborhoods safe, case study, Harvard Business Publishing Education, juillet 2020

[5] T. Madiega et H. Mildebrath,Regulating facial recognition in the EU; Parlement Européen, EPRS, 2021, https://www.europarl.europa.eu/RegData/etudes/IDAN/2021/698021/EPRS_IDA(2021)698021_EN.pdf

[6] J. Buolamwini et T. Gebru, Gender shades:Intersectional accuracy disparities in commercial gender classification, Proceedings of Machine Learning Research, 2018,81, https://proceedings.mlr.press/v81/buolamwini18a/buolamwini18a.pdf

[9] https://www.cnil.fr/fr/le-controle-dacces-biometrique-sur-les-lieux-de-travail

[12] https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_fr.pdf

[13] https://www.defenseurdesdroits.fr/sites/default/files/atoms/files/rap-biometr-num-08.07.21.pdf

[14] Voir également l’avis conjoint de l’EDPB et du CEPD en date du 18 juin 2021 : https://edps.europa.eu/system/files/2021-10/2021-06-18-edpb-edps_joint_opinion_ai_regulation_fr.pdf

Partager :
Abonnez-vous
  • Abonnement intégral papier + numérique

  • Nos suppléments et numéros spéciaux

  • Accès illimité à nos services

S'abonner
Journal du 02 décembre 2022

Journal du02 décembre 2022

Journal du 25 novembre 2022

Journal du25 novembre 2022

Journal du 18 novembre 2022

Journal du18 novembre 2022

Journal du 11 novembre 2022

Journal du11 novembre 2022

S'abonner
Envoyer à un ami
Connexion
Mot de passe oublié ?