Protection des données biométriques
Les données biométriques sont des données à caractère personnel car elles permettent d’identifier une personne.
Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales, etc.).
La CNIL a établi les conditions dans lesquelles ces traitements de données biométriques sont, ou non, soumis au cadre de protection des données.
Les professionnels doivent veiller à ce que les systèmes d’authentification biométrique utilisés par des particuliers dans leur vie quotidienne garantissent la protection des données personnelles.
Les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et par le règlement européen sur la protection des données.
Les entreprises qui exercent des activités au Canada doivent tenir compte des régimes de protection de la vie privée fédéral et provinciaux lorsqu’elles mettent en œuvre des systèmes biométriques.
Procéder à une évaluation des facteurs relatifs à la vie privée (une « ÉFVP »).
Une bonne ÉFVP permet à une organisation de s’assurer de sa conformité aux exigences en matière de protection de la vie privée en évaluant la proportionnalité, la nécessité, les flux de données, la sécurité et les préjudices potentiels d’un système biométrique, tout en documentant les stratégies d’atténuation.
Au Québec, les ÉFVP sont obligatoires; ailleurs au Canada, elles font partie des pratiques exemplaires.
Évaluer la nécessité et les solutions de rechange.
Les organisations devraient s’assurer de la nécessité d’avoir recours à un système biométrique avant son adoption et offrir des solutions de rechange à la collecte de données biométriques dans la mesure du possible.
Obtenir un consentement valable et clair.
Puisque les données biométriques sont habituellement considérées comme sensibles, les organisations sont généralement tenues d’obtenir le consentement exprès des personnes dont elles recueillent et utilisent les données biométriques.
Les organismes de réglementation s’attendent à ce que ce consentement soit franc, précis et distinct des autres modalités.
Les organisations doivent communiquer clairement la nature des données recueillies, à quelle fin elles le sont, qui y aura accès ainsi que les risques connexes.
Effectuer une vérification diligente du fournisseur.
Il est essentiel de procéder à une vérification diligente avant de retenir les services d’un tel fournisseur.
Cela comprend l’examen de ses pratiques en matière de protection de la vie privée, la mise en place de mesures de sécurité adéquates et l’intégration de modalités contractuelles portant sur le traitement et la conservation des données, la notification en cas d’atteinte à la sécurité des données, les contrôles d’accès et les droits d’audit.
Assurer la gouvernance de la confidentialité.
Les organisations devraient mettre en œuvre de robustes cadres de protection de la vie privée qui leur permettent d’assurer leur conformité continue aux exigences en la matière.
Cela comprend la formation des employés, l’élaboration de politiques et de procédures appropriées, la réalisation d’audits périodiques et la mise à jour des avis de confidentialité pour refléter l’utilisation des données biométriques.
Les organismes de réglementation s’attendent à ce que les organisations fassent preuve de transparence et de responsabilité.
Les données biométriques sont des renseignements personnels sensibles.
Elles sont directement liées à votre identité et à votre vie privée.
Les entreprises privées et les organismes publics doivent respecter des règles strictes pour collecter et utiliser vos données biométriques légalement.
Au Québec, les organisations doivent informer la Commission d’accès à l’information (CAI) avant de collecter des données biométriques dans une banque de données et avant d’utiliser des données biométriques pour identifier des personnes.
La CAI peut enquêter et décider si la collecte ou l’utilisation prévues respectent la loi et le droit à la vie privée.
De plus, les organisations doivent obtenir votre consentement.
Vous avez le droit de savoir que vos données biométriques seront collectées dans une banque de données et de comprendre comment elles seront utilisées.
Si une organisation veut utiliser vos données pour une autre raison que celle à laquelle vous avez consenti, elle doit généralement vous redemander votre accord.
Lorsqu’une organisation crée une banque de données biométriques, elle doit aussi avoir une raison sérieuse.
C’est-à-dire que la banque de données biométriques doit être nécessaire pour régler un problème réel et important.
Si l’un de ces critères n’est pas respecté, la CAI peut interdire à une entreprise privée ou un organisme public de collecter ou d’utiliser des données biométriques.
Les données biométriques sont des données à caractère personnel car elles permettent d’identifier des personnes.
Les données biométriques sont une catégorie particulière de données à caractère personnel qui, par leur nature, sont particulièrement sensibles car leur traitement peut comporter des risques significatifs pour les libertés et droits fondamentaux des personnes.
En vertu de l’article 9.1 du RGPD, le traitement de données biométriques est donc interdit, à moins que le responsable du traitement puisse légitimement invoquer l’un des motifs d’exception énumérés de manière limitative à l’article 9.2 du RGPD.
Cela est nécessaire vu que ces données requièrent une protection renforcée.
Un des motifs d’exception pour le traitement de données biométriques est le consentement explicite de la personne concernée.
En principe, le gabarit biométrique (l’ensemble des informations codées obtenues au départ des caractéristiques biométriques individuelles et uniques du travailleur permettant de vérifier ou d’établir son identité) peut exclusivement être conservé par le travailleur (par exemple sur un badge).