La possible chute du guide biométrique de la AEPD rouvre le fichage numérique

La possible chute du guide biométrique de la AEPD rouvre le fichage numérique

La Cour nationale aurait annulé le recours de l’Association espagnole des entreprises de sécurité (AES) contre la ligne directrice de l’Agence espagnole de protection des données (AEPD) concernant le contrôle de présence par systèmes biométriques. L’information, rapportée le 15/07/2026 par El Confidencial, indique que le tribunal aurait révoqué son approbation et sa publication, considérant qu’elle fonctionnait en pratique comme une instruction générale sans respecter la procédure spécifique réservée aux circulaires.

Les clés de la reconnaissance biométrique en 20 secondes

  • La décision remettait en question le format utilisé par l’AEPD, mais pas la protection des données biométriques.
  • Les empreintes et les visages restent soumis au Règlement Général sur la Protection des Données (RGPD).
  • Ce jugement n’autorise pas automatiquement les systèmes de contrôle biométrique.
  • Les fournisseurs et les entreprises devront attendre le texte intégral avant de modifier leurs projets.

Le texte complet n’était pas encore disponible parmi les sources officielles consultées pour la rédaction de cet article, il convient donc de faire preuve de prudence. La ligne directrice de novembre 2023 demeure accessible sur le site de l’AEPD, mais toutes ses pages sont désormais marquées par la mention « EN REVISIÓN ».

Ce cas concerne le secteur technologique car il ne se limite pas à la question de savoir si une entreprise peut effectuer un contrôle d’accès par empreinte digitale. Il soulève également la limite de l’intervention d’une autorité de contrôle à travers des lignes directrices qui, bien qu’étant formellement non contraignantes, peuvent finir par influencer des décisions d’achat, le développement de logiciels, des contrats et des évaluations juridiques.

Ce n’est pas une autorisation pour revenir au contrôle par empreinte

Il est essentiel de ne pas interpréter la décision comme une légalisation du contrôle horaire biométrique. Selon les informations disponibles, le tribunal aurait examiné le format utilisé par l’AEPD, sans se prononcer de façon générale sur la possibilité pour une entreprise d’identifier ses employés par la face, l’empreinte, l’iris ou la géométrie de la main.

La ligne directrice de 2023 avait établi des critères très restrictifs. Elle considérait que la reconnaissance biométrique, une comparaison d’un échantillon avec plusieurs identités, ainsi que l’authentification, une vérification un-à-un, pouvaient impliquer le traitement de catégories spéciales de données lorsqu’elles permettaient d’identifier de manière univoque une personne. Elle qualifiait également ces projets de traitements à haut risque, exigeant une évaluation d’impact relative à la protection des données (EIPD) avant leur mise en œuvre.

Ces critères ont eu des effets immédiats sur le marché : départements RH, intégrateurs de sécurité, fabricants de terminaux et fournisseurs de logiciels en mode SaaS ont révisé des projets qui jusque-là étaient considérés comme une solution pratique pour éviter l’usage de cartes, codes ou enregistrement manuel.

L’éventuelle annulation de la ligne directrice éliminerait ou affaiblirait ce document comme référence administrative, mais ne supprimerait pas le RGPD. Une organisation souhaitant traiter des données biométriques doit toujours disposer d’une base juridique conforme à l’article 6, ainsi que d’une condition permettant de lever l’interdiction prévue par l’article 9 pour les catégories particulières.

Elle devra également démontrer que le système est nécessaire à sa finalité. L’obligation légale de registrar la journée de travail ne nécessite pas forcément l’usage de la biométrie : cela peut se faire par une application, une carte, un code, un certificat numérique ou un procédé organisationnel. La société devra justifier pourquoi ces alternatives ne conviennent pas dans son cas.

Le consentement ne règle pas toujours le problème. En contexte professionnel, il peut être difficile de prouver que la décision de l’employé est réellement libre, surtout si le rejet du système biométrique entraîne une désavantage, oblige à des démarches supplémentaires ou limite l’accès au poste de travail.

La technologie n’élimine pas le risque juridique

Pour les fournisseurs, il peut être tentant de présenter certaines architectures comme ne traitant pas de données biométriques. Il est courant d’entendre qu’une empreinte numérique n’est pas une photo, que le système ne stocke pas d’images ou que le modèle ne permet pas de reconstruire le visage original.

L’AEPD a indiqué dans sa ligne directrice qu’un modèle biométrique reste un donnée personnelle lorsqu’il permet de singulariser une personne dans un système. Le fait qu’un humain ne puisse pas interpréter directement le fichier ne détruit pas sa capacité à relier des enregistrements, à authentifier des accès ou à déclencher des décisions automatisées.

La façon dont le produit est conçu modifie en revanche le niveau de risque : un système qui stocke la template sur une carte sous contrôle de l’employé n’a pas les mêmes implications qu’une base centrale rassemblant les modèles biométriques de l’ensemble des employés. De même, une authentification locale un-à-un diffère d’un système de reconnaissance à plusieurs identités cherchant une correspondance parmi des milliers.

Parmi les mesures qui peuvent réduire l’exposition, on trouve le stockage local, le chiffrement, la séparation entre la template et les données d’identification, le renouvellement régulier des références biométriques, ainsi que leur suppression automatique une fois la relation de travail terminée. Aucune de ces mesures n’est en soi une autorisation légale, mais elles peuvent aider à satisfaire l’analyse de nécessité, de proportionnalité et de sécurité.

Les responsables techniques doivent également examiner ce qui se passe lorsqu’une référence est compromise : un mot de passe peut être changé, mais pas une empreinte ou les traits d’un visage qui accompagnent l’individu toute sa vie. Les mécanismes permettant de générer des templates révoquables ou non liés à un service précis réduisent tout ou partie de ce risque, à condition que leurs propriétés soient démontrées et non simplement revendiquées à des fins commerciales.

L’évaluation ne devrait pas se limiter au lecteur biométrique. Elle doit couvrir la gestion de l’application, les API, les sauvegardes, les logs d’accès, le fournisseur cloud, l’équipement support, ainsi que toute intégration avec la paie, le contrôle horaire ou la sécurité physique.

Ce qui change pour les entreprises et les fournisseurs technologiques

Si la décision confirme l’étendue évoquée, cela pourrait modifier la façon dont l’AEPD publie ses critères à portée générale. La Loi organique 3/2018 permet à la Présidence de l’Agence d’émettre des circulaires fixant les critères suivis par l’autorité. Ces dispositions deviennent obligatoires après publication au Bulletin officiel de l’État.

Le Statut de l’AEPD prévoit une procédure intégrant rapport technique, justification du besoin, rapport juridique, démarches de consultation, avis du Conseil d’État, approbation de la Présidence, puis publication au BOE. La thèse attribuée à la Cour nationale serait que, lorsqu’une ligne directrice fonctionne en pratique comme une règle générale, elle ne peut pas se substituer à cette procédure formelle.

Pour les entreprises, cela introduit une incertitude mais pas une liberté totale. Celles qui ont déjà abandonné un projet biométrique ne devraient pas le relancer uniquement en se basant sur un titre. Celles qui maintiennent un projet en cours ne peuvent pas considérer leur conformité comme acquise.

Il est conseillé de revoir au moins la finalité précise, la base juridique, la condition de l’article 9 du RGPD, les alternatives moins intrusives, l’architecture technique, les durées de conservation et les mécanismes pour les personnes ne pouvant ou ne devant pas utiliser le système.

Les fournisseurs doivent éviter des déclarations du type « conforme au RGPD » ou « ne stocke pas de données biométriques » sans expliquer clairement le fonctionnement réel du produit. La conformité ne dépend pas uniquement de l’appareil ou de l’algorithme ; elle implique aussi la manière dont il est employé, la finalité visée, sa configuration et les décisions prises sur ses résultats.

La décision pourrait conduire l’AEPD à publier une nouvelle ligne directrice plus orientée, à émettre une circulaire via la procédure formelle, ou à attendre que les critères se précisent par des dossiers et des décisions judiciaires concrètes.

Jusqu’à ce que le jugement soit publié intégralement, un recours ne peut être exclu. La formulation précise de la décision déterminera si toute la ligne directrice est invalidée, seulement l’acte de son adoption ou certains points considérés comme dépassant le cadre d’un document à vocation pédagogique.

Questions fréquentes

Faut-il une autorisation pour utiliser la biométrie en entreprise ?

Il n’existe pas d’autorisation générale. Chaque organisation doit justifier la nécessité du traitement, sa base juridique et la condition permettant l’usage de données biométriques.

Que faire des systèmes biométriques déjà installés ?

Ils restent soumis au RGPD. La possible annulation de la ligne directrice ne supprime pas les évaluations d’impact, mesures de sécurité ou analyses de proportionnalité qui doivent être effectuées.

Une template biométrique reste-t-elle un donnée personnelle si elle est chiffrée ?

Pas nécessairement. Le chiffrement protège la donnée, mais ne change pas sa nature si le système peut l’utiliser pour singulariser ou authentifier une personne.

La AEPD peut-elle redisposer de critères concernant la reconnaissance biométrique ?

Oui. Elle peut publier des orientations, résoudre des cas spécifiques ou émettre une circulaire selon la procédure prévue dans son Statut et la Loi organique 3/2018.

Source : Avocats Contrats

le dernier