Le 1er décembre 2021, l’Autorité belge de protection des données (APD) a publié une nouvelle Recommandation relative au traitement des données biométriques (ci-après la « Recommandation »). Soulignons avant tout que cette Recommandation ne s’applique qu’aux traitements de données biométriques couverts par le RGPD (à l’exception donc du traitement de données biométriques réalisés dans le cadre de la Directive Police-Justice) et vise à guider les responsables de traitement dans le traitement de ce type de données.
L’objectif n’est pas ici de réécrire les recommandations de l’APD mais bien de synthétiser quelques principes essentiels s’appliquant à la matière.
1. LA NOTION DE DONNÉES BIOMÉTRIQUES
L’article 4, 14) du RPGD définit les données biométriques comme « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ».
L’APD opère à cet égard une distinction entre deux catégories d’information :
– Les propriétés physiques de la personne concernée : il s’agit des caractéristiques physiques ou physiologiques d’une personne, telles que les informations relatives au visage, les empreintes digitales et les scans de l’iris ;
– Les informations comportementales de la personne concernée: il s’agit des caractéristique comportementales permettant l’identification unique d’une personne, telles que les habitudes de navigation sur Internet, l’utilisation de l’écran tactile et de la souris.
2. LES PRINCIPES DU RGPD APPLICABLES AU TRAITEMENT DE DONNÉES BIOMÉTRIQUES
2.1. La base juridique
Pour rappel, les données biométriques constituent des données dites « sensibles » qui font l’objet d’une interdiction de principe de traitement, conformément à l’article 9.1 du RGPD, sauf pour le responsable de traitement à démontrer qu’il peut invoquer légitimement un des motifs d’exception prévus à l’article 9.2 du RGPD.
Dans sa Recommandation, l’APD choisit d’aborder uniquement deux motifs d’exception vu leur importance dans la pratique : le consentement explicite et l’intérêt public important.
2.1.1. Le consentement explicite
L’APD rappelle que le consentement doit être valable et explicite.
2.1.1.1. Le consentement valable
Le consentement ne peut être valable que s’il est libre, spécifique, éclairé et univoque, conformément à l’article 4.11 du RGPD.
L’APD rappelle également qu’un consentement ne peut être libre que s’il n’existe pas de déséquilibre entre le responsable de traitement et la personne concernée.
Par ailleurs, le consentement ne peut être octroyé que pour une ou plusieurs finalité(s) déterminée(s), ce qui implique que les finalités ne peuvent être modifiées ou élargies en cours de traitement. L’objectif est d’éviter ce que l’on appelle le ‘détournement d’usage’.
En outre, l’APD rappelle également que la personne concernée doit être correctement informée des modalités de traitement de ses données biométriques avant de donner son consentement, en vertu du principe de transparence.
Enfin, le consentement doit être univoque, ce qui signifie qu’il ne peut y avoir aucun doute quant au fait que la personne concernée souhaite donner son consentement pour le traitement de ses données biométriques.
2.1.1.2. Le consentement explicite
Outre le respect des conditions de l’article 4.11 du RGPD, le consentement doit également être explicite lorsqu’un traitement relatif aux données biométriques est envisagé (article 9.2, a) du RGPD).
Selon l’APD, le terme explicite « renvoie à la manière dont le consentement est exprimé par la personne concernée ». Un moyen sûr de s’assurer du consentement explicite de la personne concernée est la déclaration écrite et signée de celle-ci.
2.1.2. L’intérêt public important
Les données biométriques peuvent également être traitées lorsque le traitement est nécessaire pour des motifs d’intérêt public important. Le responsable de traitement ne pourra cependant invoquer ce motif d’exception que lorsqu’il existe une disposition légale dans le droit de l’UE ou de l’Etat membre reconnaissant explicitement cet intérêt et autorisant le traitement de données biométriques dans ce contexte.
L’APD souligne à cet égard que la seule loi en Belgique autorisant explicitement le traitement de données biométriques à des fins d’authentification est la loi du 19 juillet 1991 relative aux registres de la population, aux cartes d’identité, aux cartes des étrangers et aux documents de séjour. En d’autres termes, à l’heure actuelle, à l’exception des données biométriques relatives à l’eID et au passeport, le traitement des données biométriques ne peut se fonder sur des motifs d’intérêt public important. L’APD relève à cet égard qu’il existe une série de secteurs où des données biométriques sont pourtant actuellement traitées (ex : accès aux locaux d’une centrale nucléaire). À l’heure actuelle, dans les cas où le consentement explicite de la personne concernée n’est pas possible, le traitement à des fins d’authentification a donc lieu sans base juridique (sous réserve des exceptions précitées).
L’APD pointe donc une lacune en droit belge et invite en conséquence le législateur belge à se pencher sur cette question et régir les modalités de traitement des données biométriques à des fins d’authentification dans un contexte déterminé.
2.2. La limitation des finalités
L’APD rappelle que le responsable de traitement est tenu de déterminer explicitement les finalités pour lesquelles les données biométriques sont traitées. Elle fournit plusieurs exemples de finalités potentielle pour le traitement de données biométriques :
– Authentification de personne à des fins de sécurité ;
– Enregistrement du temps dans un contexte professionnel ;
– Marketing direct ;
– Screening des lieux publics dans le cadre de la prévention de la criminalité ;
– …
2.3. Proportionnalité
L’APD rappelle également que, lorsqu’un traitement de données biométriques est envisagé, le responsable de traitement doit toujours obligatoirement effectuer un test de proportionnalité et se poser les questions suivantes :
– Les activités de traitement envisagées sont-elles appropriées ?
– Sont-elles nécessaires pour la réalisation des finalités ?
– La mesure ne va-t-elle pas plus loin que ce qui est nécessaire à la réalisation des finalités ?
2.4. Analyse d’impact relative à la protection des données
Enfin, l’APD rappelle sa Décision n° 01/2019 concernant les analyses d’impact relatives à la protection des données. En effet, il ressort du point 6 de la décision en question qu’une analyse d’impact doit en tout état de cause être réalisée lorsque le traitement utilise des données biométriques en vue de l’identification unique de personnes se trouvant dans un lieu public ou dans un lieu privé accessible au public.
Dans sa Recommandation, l’APD souligne toutefois que l’obligation d’analyse d’impact ne se limite pas aux seules finalités expressément reprises dans la décision. Dans le cadre du traitement de données biométriques, vu le risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact devra de toute manière être réalisée, sauf cas exceptionnels.