Comment se conformer aux normes de traitement des données biométriques ?

données personnellesnouvelles technologies
Written By Nathalie Pouderoux

L’autorité de protection des données britannique (« l’ICO ») a entrepris d'élaborer des orientations sur les données et les technologies biométriques afin d'aider les entreprises à comprendre comment traiter les données biométriques en toute sécurité, conformément à la réglementation.

L'ICO estime que l'utilisation des données biométriques dans les entreprises devrait augmenter dans les années à venir. Il pourrait s'agir de permettre une meilleure expérience utilisateur pour les clients ou de créer des systèmes plus efficaces pour les employés. Il est donc important que les entreprises sachent comment traiter les données biométriques et les risques potentiels tels que l'inexactitude et la discrimination.

 

Qu'est-ce que le traitement des données biométriques ?

Selon le RGPD britannique, les données biométriques sont définies à l'article 4, paragraphe 14, comme suit :

« « données biométriques » signifie les données à caractère personnel résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment l'identification unique de cette personne physique, telles que les images faciales ou les données dactyloscopiques ».

Certaines données biométriques sont considérées comme des données de « catégorie spéciale ». L'ICO explique que la raison pour laquelle les données biométriques sont considérées comme « spéciales » est qu'elles peuvent révéler des informations sur la race, l'ethnie ou le sexe d'une personne, par exemple, et qu'elles peuvent être liées à des facteurs plus larges tels que la liberté de pensée, de conscience et de religion, le droit à l'intégrité corporelle, le droit au respect de la vie privée et familiale ou le droit de ne pas être victime de discrimination.

Dans une autre publication, nous parlons de la réalité virtuelle et du risque pour nos données biométriques personnelles qui sont recueillies lorsque nous utilisons des équipements virtuels tels que des casques.

Nos données biométriques englobent des caractéristiques distinctives telles que les empreintes digitales et les expressions faciales qui sont exclusives à chaque individu. Par conséquent, lorsque nous utilisons la reconnaissance faciale pour déverrouiller nos appareils mobiles, nous sommes les seuls à pouvoir le faire. Les ramifications potentielles de nos données biométriques tombant entre les mains de personnes non autorisées pourraient avoir un impact énorme sur nous.

Les données biométriques peuvent être saisies au cours de notre vie quotidienne sans même que nous y pensions. Par exemple, il faut scanner son empreinte digitale pour entrer dans une salle de sport, apposer une signature électronique à la réception d'un colis (un exemple d'identification biométrique comportementale) ou envoyer un message vocal à un ami.

L'ICO donne d'autres exemples de données biométriques, notamment

  • la reconnaissance faciale

  • la vérification des empreintes digitales

  • la reconnaissance de l'iris

  • l'analyse de la rétine

  • la reconnaissance vocale

  • reconnaissance de la forme de l'oreille

  • analyse de la dynamique de frappe au clavier

  • analyse de la signature manuscrite

  • analyse de la démarche

  • analyse du regard (oculométrie)

 

Traitement des données biométriques

L'ICO élaborera d'autres lignes directrices à l'intention des entreprises, mais il a souligné quelques points essentiels pour ceux qui utilisent ou envisagent d'utiliser des données biométriques dans le cadre de leurs activités professionnelles quotidiennes.

Consentement

L'ICO indique qu'un consentement explicite est en principe nécessaire lors de la collecte de données biométriques. Comme pour la collecte d'autres données, les utilisateurs ne doivent pas se sentir contraints de fournir leurs données sensibles et doivent avoir la possibilité de choisir. Reprenons l'exemple de l'abonnement à une salle de sport. Si une salle de sport propose un accès par empreinte digitale mais que certains membres ne se sentent pas à l'aise de donner leurs empreintes digitales, la salle de sport devrait proposer une autre solution pour entrer dans la salle, comme un code pin ou une carte magnétique.

Analyse d'impact de la protection des données

La réalisation d'une analyse d’impact relative à la protection des données (en anglais, Data Protection Impact Assessment ou DPIA) est obligatoire pour les activités de traitement qui présentent un risque substantiel pour les droits et libertés des personnes. L'utilisation de tout système de reconnaissance biométrique est très susceptible de nécessiter une DPIA.

Cette exigence découle de la réglementation relative à la protection des données, qui stipule qu'une DPIA doit être réalisée lorsque des données de catégorie spéciale sont traitées à grande échelle ou lorsqu'une surveillance systématique étendue est exercée dans des zones accessibles au public. La plupart des applications des systèmes de reconnaissance biométrique répondent à ces critères. Même dans les cas où votre système ne répond pas à ces critères spécifiques, une DPIA est toujours impérative si vos activités de traitement correspondent à des opérations de traitement à haut risque.

Les risques

Détenir des données biométriques comporte des risques qui concernent principalement l'exactitude, la discrimination et la sécurité. Une identification inexacte peut entraîner des erreurs dans le système, ce qui compromet la fiabilité de l'authentification biométrique. Les problèmes de discrimination se posent lorsque des individus ou des groupes sont traités de manière injuste sur la base de leurs caractéristiques protégées. Enfin, l'aspect sécuritaire concerne l'accès non autorisé aux données biométriques et le risque de manipulation ou d'usurpation du système, ce qui compromet les garanties prévues.

Faire face aux risques

Pour protéger efficacement les données biométriques, il est impératif de mettre en œuvre des mesures de sécurité appropriées. Ces mesures doivent être déterminées par une analyse complète des risques, prenant en compte des facteurs tels que le contexte de traitement, les menaces potentielles pour la sécurité et le préjudice ou la détresse potentiels résultant de la compromission des données. En outre, il convient d'évaluer les vulnérabilités de votre système face aux différentes formes d'attaques. Pour maintenir l'efficacité de ces mesures de sécurité, il est essentiel de procéder régulièrement à des tests et à des contrôles. En outre, il est essentiel de crypter toutes les données biométriques utilisées pour renforcer la protection.

 

Comment Gerrish Legal peut vous aider ?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle. 

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là vous vous aider, contactez-nous dès aujourd’hui pour plus d’informations.

 

Article de Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal

Nathalie Pouderoux
Previous

Des règles de sécurité en ligne plus strictes : Comment les entreprises s'adaptent-elles à la réalité ?
Next

Faut-il un avocat pour rédiger un contrat ?