RGPD : Point sur le traitement des données biométriques

À la suite d’une grave fuite de données au Royaume-Uni, malgré les avertissements des Pays-Bas et de la Suède quelques mois auparavant sur le développement accéléré de la technologie par rapport aux législations, il se pose la question de savoir : quand est ce que le traitement des données biométriques est-il justifié ? 

Une importante fuite de données – l’affaire BioStar 2

Une importante fuite de données a récemment été découverte par des chercheurs israéliens en cybersécurité, sur la plateforme de sécurité BioStar 2

Cette plateforme est un système de sécurité biométrique à fermeture intelligente, une application sur un serveur central permettant aux administrateurs de surveiller et contrôler toute personne accédant aux zones sécurisées de leurs installations.

Le système de sécurité de surveillance utilise la reconnaissance faciale, les empreintes digitales ou encore les données biométriques, pour autoriser l’accès des utilisateurs.

Les utilisateurs ont consenti à la conservation de ces données sur le système et les administrateurs ont pu autoriser les utilisateurs à accéder aux zones sécurisées, gérer les autorisations des utilisateurs, enregistrer les journaux d'activité et intégrer l'application à d'autres applications de sécurité tierces. 

BioStar 2 a été intégrée à un autre système de contrôle d’accès appelé AEOS utilisé par 5700 organisations dans 83 gouvernements, incluant des organismes gouvernementaux et la MET police (Metropolitan police Service au UK). Cependant, les chercheurs ont découvert que la base de données BioStar 2 n’était ni protégée ni cryptée. Il était ainsi possible pour eux d’avoir accès à toutes les données disponibles sur l’application, simplement par modification de l’URL. 

La fuite comprenait plus de 27.8 millions de fichiers de données d’empreintes digitales, de reconnaissance faciale, de photographies faciales des utilisateurs, d’identifiants et mots de passe, et autres données personnelles.

Les données téléchargées par des bureaux de coworking aux Etats-Unis et en Indonésie, des enseignes de salle de sport indiennes et sri landankaises, des entreprises finlandaises et des cabinets médicaux britanniques ont pu être consultées. Ils avaient accès à la plateforme et pouvaient voir en temps réel les données téléchargées, modifiées ou supprimées et pouvaient même télécharger, modifier et supprimer leurs propres données eux-mêmes !

Les chercheurs ont averti sur le fait qu’ils pouvaient utiliser un profile déjà existant et en changer les données biométriques afin qu’elles correspondent aux leurs et ainsi pouvoir aisément accéder aux installations sécurisées. 

Les lanceurs d’alerte affirment que la société n’a pas été très coopérative ni même très réactive face aux avertissements concernant cette faille. Un porte-parole de l’entreprise a admis que des erreurs avaient été commises, mais ils pensent que le vrai enjeu reste de savoir comment y faire face.

En attendant de voir s’il y aura des sanctions de la part des législateurs et des organismes de contrôle, il se pose la question de savoir : Dans quel cas il est légitime de traiter et de sauvegarder des données biométriques ? 

Que dit le RGPD ? 

Les données biométriques regroupent les informations relatives aux caractéristiques physiques d’une personne, telles que les empreintes digitales ou la reconnaissance faciale. 

En vertu du Règlement Général de la Protection des Données (2016/679) (« RGPD ») les données biométriques font partie d’une catégorie particulière de données à caractère personnel qui requièrent : 

  • Une base légale spécifique pour le traitement cette catégorie particulière de données personnelles, et 

  • La réalisation d'une analyse d'impact relative à la protection des données, est absolument nécessaire pour confirmer le traitement.

C’est l’article 9 du RGPD qui interdit expressément le traitement des catégories spéciales de données à caractère personnel, en l’absence d’une base légale ou sur la base d’une exception. 

Il est possible de traiter les données biométriques si le sujet concerné y a consenti expressément, cependant avec le renforcement des règles du RGPD cela peut être imprévisible.

L’article 9 (2) du RGPD prévoit d'autres motifs sur lesquels les entreprises peuvent s'appuyer pour traiter des catégories particulières de données, notamment les données biométriques, qui sont toutefois entendus de manière très restrictive. 

Les articles 9 (2)(a) à (i) énoncent les circonstances, qui, en outre du consentement exprès, mentionne les cas dans lesquels ce traitement est nécessaire pour diverses raisons, notamment dans le domaine du droit du travail et de la sécurité et de la protection sociale, pour protéger les intérêts vitaux d'une personne concernée (ou d'une autre personne physique) qui est physiquement ou légalement incapable de donner son consentement, pour la reconnaissance, l'exercice ou la défense d'un droit en justice, pour des raisons d'intérêt public et pour certaines raisons concernant l’utilisation des données relatives aux soins de santé. 

En outre, il est également traité des cas où le traitement des donnés est effectué par une fondation, une association ou tout autre organisme à but non lucratif ayant une finalité politique, philosophique, religieuse ou syndicale (soumis à des conditions strictes) et où les données sont manifestement rendues publiques par la personne concernée.

Ces motifs doivent toujours être lus au regard du droit national applicable, par exemple en France, la loi informatique et libertés telle que modifiée transpose certaines dispositions du RGPD dans le droit français et prévoit des conditions supplémentaires dans certains cas - notamment en ce qui concerne le traitement des données sensibles dans le domaine de la santé, pour les traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé ou voire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (cf. les articles 64 et seq. de la loi informatique et libertés).

La position néerlandaise 

Peu après cette fuite de données au Royaume-Uni, la Cour d’Amsterdam a rendu une décision concernant les données biométriques, à propos de la question de savoir s’il était légitime d’exiger d’employés qu’ils soient tenus d'utiliser la vérification biométrique à des fins de sécurité.

Les employés étaient tenus d’utiliser leurs empreintes digitales sur une caisse enregistreuse afin de confirmer leur identité et ainsi accéder à l’argent. Leur consentement n’avait pas été recueilli pour l’utilisation de telles données personnelles, il s’agissait d’une exigence de l’entreprise.

La version néerlandaise du RGPD autorise l’utilisation de certaines données biométriques en l’absence de consentement, à condition que leur traitement soit nécessaire dans un but d'authentification ou de sécurité (UAVG, article 29) mettant en œuvre l’exception posée par l’article 9(2)(g) du RGPD selon laquelle le traitement de catégories particulières de données personnelles peut être rendu nécessaire pour motifs d’intérêt public important.

La Cour d’Amsterdam a décidé que l’employeur n’avait pas suffisamment exposé les motifs de l’utilisation de ces données biométriques ou réalisé une analyse d’impact appropriée de la protection de ces données, conformément à l’article 35 du RGPD. Compte tenu du fait que le RGPD interdit généralement le traitement de données biométriques excepté pour des motifs d’intérêt public, la Cour a estimé qu'il incombait à l'employeur d’exposer les raisons de l’insuffisance d’autres mesures alternatives de sécurité et celles de l’unique nécessité de recourir aux données biométriques. 

Cette décision montre à quel point il est important de veiller à la réalisation d’une analyse d’impact sur la protection des données et d’évaluer le caractère strictement nécessaire de la conservation de telles données par rapport aux objectifs poursuivis. 

Le point de vue suédois 

Peu après cette décision néerlandaise, la Suède est intervenue sur la question ! Attribuant sa première sanction dans le cadre du RGPD en août 2019, la Datainspektionen s’est prononcée en matière de reconnaissance faciale et de données biométriques, en avertissant, tant sur le caractère naissant de ces technologies que sur leur caractère potentiellement incontrôlable. 

Un lycée de Skellefteå avait testé un logiciel de reconnaissance faciale pour contrôler et enregistrer la présence des enfants en cours.

L'essai a duré trois semaines durant lesquelles 22 visages d'élèves ont été scannés, leurs données biométriques personnelles ayant été stockées et traitées pour surveiller leur présence.

L’école pensait avoir obtenu un consentement valable pour le traitement de ces données biométriques, signifiant ainsi que ce système de surveillance était légal. Cependant, la Datainspektionen a estimé qu’en considération du niveau d’autorité que le lycée a sur ses élèves ainsi que du niveau de dépendance de ces derniers vis-à-vis du lycée, leur consentement ne pouvait être valablement obtenu. 

Elle a souligné, qu’étant donné qu’il existait d'autres moyens alternatifs, à la disposition de l'école, de surveiller les enfants, beaucoup moins intrusifs, le traitement de ces données n'était pas justifié.
Les données biométriques sont des données personnelles sensibles qui méritent une protection renforcée, ainsi il doit exister des exceptions explicites qui s’appliquent, afin que ces données soient légalement traitées. 

En se servant de ce cas d’espèce pour infliger sa première amende, l’autorité suédoise chargée de la protection des données a délivré un message clair. Elle met l’accent sur le développement rapide des technologies de reconnaissance faciale et sur la grande nécessité d’en clarifier le régime applicable. 

Les leçons à tirer 

Il y a un grand nombre d’enseignements à tirer de la découverte de cette récente fuite de données et des orientations des organismes de contrôle suédois et néerlandais. Enfin, le traitement des données biométriques peut être légal à condition de disposer d’un motif justifié pour le faire. En outre, il est toujours utile de garder à l’esprit les points suivants :

  • Premièrement, réalisez une analyse d’impact relative à la protection des données. Soyez toujours assuré que le traitement de vos données est strictement nécessaire à l’exercice de votre activité, et qu’il n’existe pas d’autres moyens alternatifs pour parvenir aux mêmes résultats. 

  • Deuxièmement, justifiez vos décisions. Si vous estimez que votre traitement est justifié et légal, vous devez consigner votre décision et les autres options explorées pour prouver que vous avez bien exploré les autres alternatives et que le traitement choisi est le plus approprié. 

  • Enfin, utilisez des mesures techniques et de sécurité, appropriées. Il est essentiel qu’en cas de traitement de données à caractère personnel, celles-ci soient sauvegardées de manières organisées et sécurisées à l’aide de mots de passe cryptés, et qu’elles soient supprimées dès qu’elles ne sont plus d’aucune utilité. 

En cas de questions relatives au traitement des données données personnelles, n’hésitez pas à nous contacter !  

Article rédigé par Anaïs Crémas @ Gerrish Legal, mars 2020 / Photo de couverture : Brett Jordan sur Unsplash

Previous
Previous

RGPD : Vos contrats de traitement des données sont-ils conformes ? 

Next
Next

Start-ups : 5 Conseils pour bien réussir !