Le règlement 2016/679 définit les données de biométrie comme des données résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique.
Les données de biométrie sont des données particulières
Le règlement européen qualifie la biométrie et les données de biométrie comme des catégories particulières de données qui sont par nature particulièrement sensibles du point de vue des libertés et des droits fondamentaux et méritent une protection spécifique.
Toutefois, le règlement ne vise les données biométriques dans les catégories particulières de données que pour autant qu’elles ont pour finalité d’« identifier une personne physique de manière unique ». Les données biométriques qui ne permettraient pas d’identifier de manière unique une personne ne devraient pas relever de la catégorie particulière des données biométriques.
L’idée est séduisante, toutefois, il convient de remarquer que cette distinction entre identification et authentification figure d’une certaine façon dans la loi informatique et libertés.
En effet, l’article 25, I, alinéa 8 de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés dispose :
- « Sont mis en œuvre après autorisation de la Commission nationale de l’informatique et des libertés, […] 8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ».
et l’article 27 1 2°précise que :
- « Les traitements de données à caractère personnel mis en œuvre pour le compte de l’État qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ».
S’agissant des traitements biométriques mis en œuvre par une personne relevant du droit privé, l’article 25 ne vise que la biométrie nécessaire à des fins de contrôle de l’identité des personnes à l’exclusion des traitements mis en œuvre à des fins d’authentification.
Sur la base du principe d’interprétation stricte de la loi pénale et de la distinction opérée au sein de ces deux articles, la biométrie devrait relever d’un simple régime de déclaration dans la mesure où, s’il y a authentification, alors il n’y a pas de contrôle d’identité.
Néanmoins, la Cnil, n’admet pas cette interprétation. Dès lors, il sera intéressant de suivre la position des autorités de contrôle sur ce sujet.
Un principe d’interdiction sauf autorisation spécifique
En tout état de cause, le règlement pose le principe d’interdiction du traitement de données biométriques à moins que celui-ci ne soit autorisé dans des cas spécifiques qu’il prévoit, compte tenu du fait que le droit d’un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l’application des règles du règlement en vue de respecter une obligation légale ou pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
En outre, le règlement précise que les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données biométriques à la condition toutefois, que ces conditions ou limitations n’entravent pas le libre flux des données à caractère personnel au sein de l’Union lorsque ces conditions s’appliquent au traitement transfrontalier de ces données.
A cet égard, il est fort à parier concernant la biométrie que des propositions seront faites en ce sens, comme par le passé, et notamment avec l’amendement au projet de loi pour la République numérique de Gaëtan Gorce, non retenu par la Commission Mixte Paritaire.
Céline Avignon
Lexing Publicité et marketing électronique