Un employeur peut-il utiliser les données biométriques de son personnel?

27 avril 2022
Un employeur peut-il utiliser les données biométriques de son personnel?

Texte: Frédérique Gillet

La prudence est de plus en plus de mise à la suite de la dernière recommandation relative au traitement de données biométriques du 1er décembre 2021 de l’autorité de protection des données…

Il n’est pas rare de recourir à des traitements de données biométriques (par exemple, dans le cadre de systèmes de contrôle d’accès aux locaux ou aux ordinateurs basés sur l’empreinte digitale, sur un système de reconnaissance faciale, ou sur base d’un balayage de l’iris). Mais est-ce bien légal?

Le RGPD définit les données biométriques comme «les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, comme des images faciales ou des données dactyloscopiques» (article 4, 14).

Or, depuis l’adoption du RGPD, les données biométriques sont, à présent, considérées comme une catégorie de données particulières. Leur traitement risque de mettre à mal les libertés et droits fondamentaux des personnes concernées. Il est donc, en principe, interdit.

Le RGPD liste, toutefois, certaines exceptions. Parmi celles qui sont le plus utilisées dans la pratique: le consentement explicite de la personne concernée et les motifs d’intérêt public importants.

Ce sont ces exceptions qui ont retenu tout particulièrement l’attention de l’autorité de protection des données dans ses recommandations relatives au traitement de données biométriques rendues au cours de ces dernières années, la dernière datant du 1er décembre 2021 (https://www.autoriteprotectiondonnees.be/publications/recommandation-01-2021-du-1-decembre-2021.pdf).

Un consentement valable explicite permet, en principe, de légitimer le traitement de données biométriques. Qu’en est-il dans le cadre d’un contrat de travail? Pour l’autorité de protection des données (alors même que, selon nous, le RGPD ne l’interdit pas nécessairement), le consentement ne peut valablement pas être donné dans le cadre d’un contrat de travail. Le lien de subordination et le déséquilibre qu’il entraîne rendent, selon elle, impossible tout consentement.

Qu’en est-il de l’intérêt public? Cette exception est souvent utilisée lorsqu’il n’est pas possible de recourir à l’exception de consentement (en raison du rapport de force entre le responsable du traitement et la personne concernée). Toutefois, recourir aux motifs d’intérêt public importants nécessite que le droit de l’Union européenne ou d’un état membre reconnaisse explicitement cet intérêt et autorise le traitement de données biométriques dans ce cadre. Or, il n’y a en Belgique (à la différence de ce qui existe chez certains de nos pays voisins) pas de base légale générale autorisant le traitement de données biométriques dans le cadre de l’identification ou de l’authentification unique d’une personne à des fins de sécurité (les seules dispositions légales concernent la carte d’identité électronique et le passeport). Pour l’autorité de protection des données, les motifs d’intérêt public ne peuvent actuellement pas justifier le traitement de données biométriques. Face à ce vide juridique, le législateur belge est donc, selon l’autorité de protection des données, amené à légiférer s’il veut (continuer à) autoriser une telle utilisation de données biométriques…

L’autorité rappelle également que même en cas de traitement licite, les autres principes prévus par le RGPD en la matière trouveront à s’appliquer et en particulier en matière de finalité, de proportionnalité, de sécurité des traitements, de limitation de la conservation et de transparence. Il ne suffit donc pas que le traitement de données biométriques soit licite, encore faut-il qu’il soit nécessaire au regard des finalités du traitement ou dit autrement qu’il n’existe pas d’autres moyens plus respectueux de la vie privée pour atteindre la même finalité.

À suivre l’autorité de protection des données, les traitements de données biométriques qui sont effectués le sont généralement sans base juridique.

www.dlapiper.com/en/belgium

ID

Frédérique Gillet

Fonction

Avocate de DLA Piper UK LLP