Même si l’image de la empreinte n’est pas stockée, une empreinte mathématique permettant d’identifier un employé constitue une donnée personnelle au sens du RGPD

Dans un contexte où de plus en plus d’entreprises intègrent des systèmes biométriques pour la gestion du temps et le contrôle d’accès, l’Agence espagnole de protection des données (AEPD) a publié un rappel important tant sur le plan juridique que technologique : l’utilisation de l’empreinte digitale, même si elle se limite à une représentation mathématique et ne stocke pas l’image elle-même, implique un traitement de données personnelles biométriques sensibles conformément au Règlement général sur la protection des données (RGPD).

Comme indiqué dans la décision PS-00432/2023, qui examine le cas d’une entreprise ayant mis en place un système de contrôle des horaires basé sur la reconnaissance d’empreintes digitales, sans offrir de alternative à l’utilisation de cette technologie. L’entreprise soutenait que le système ne conservait pas l’image de l’empreinte, mais une “empreinte biométrique cryptée”, ce qui, selon leur interprétation, ne violait pas le RGPD. Cependant, l’AEPD a été catégorique : si cette empreinte permet de vérifier qu’une personne est la même que celle ayant déjà accédé, alors il s’agit d’un données biométriques à des fins d’identification, activant ainsi les exigences légales de l’article 9 du RGPD.

Empreinte cryptée ≠ anonymat : pourquoi cela reste une donnée biométrique

Une des conclusions clés de cette décision est l’explication technique et juridique du concept de correspondance biométrique. Contrairement à une identification directe (par exemple, reconstruire l’image d’une empreinte ou d’un visage), ici il s’agit de vérification ou authentification : comparer une empreinte ou un profil actuel avec une empreinte préalablement stockée pour confirmer l’identité de la personne.

L’AEPD rappelle que l’article 4.14 du RGPD définit la donnée biométrique comme le résultat d’un traitement technique spécifique permettant d’identifier de manière univoque une personne, et qu’il n’est pas nécessaire que le système connaisse “qui vous êtes” par votre nom : il suffit qu’il sache que “vous êtes la même personne qu’hier”, pour qu’il s’agisse d’une identification.

Cela signifie que de nombreuses solutions de contrôle d’accès ou de présence qui promettent l’anonymat en n’enregistrant pas l’image visuelle de l’empreinte demeurent en réalité soumises aux obligations de protection des données. En effet, le fait de ne pas pouvoir reconstruire l’empreinte n’exonère pas de l’application du RGPD si la template permet de confirmer l’identité d’un individu précis.

Obligations pour les entreprises utilisant la biométrie

À la lumière de cette décision et d’autres critères contraignants émis par l’AEPD, les organisations qui traitent des données biométriques pour la gestion du temps doivent respecter les exigences suivantes :

1. Cadre juridique approprié

Le traitement des données biométriques à des fins d’identification est normalement interdit par défaut, sauf si l’une des exceptions de l’article 9.2 du RGPD est remplie. En milieu professionnel, le consentement est rarement valable car il existe une relation de subordination qui compromet leur liberté.

Par conséquent, l’entreprise doit justifier l’usage de la biométrie sur la base de l’intérêt légitime, en démontrant qu’il est nécessaire, proportionné et adapté à l’objectif recherché.

2. Évaluation d’impact (EIPD)

L’AEPD considère obligatoire une Évaluation d’impact relative à la protection des données (art. 35 du RGPD) pour tous les cas où des données biométriques sont traitées pour le contrôle des accès, étant considéré comme un traitement à haut risque.

Cette analyse doit inclure : la finalité, la nature des données, une analyse des risques, des mesures techniques et organisationnelles, ainsi que des mécanismes de revue continue.

3. Alternatives non biométriques

L’entreprise doit toujours proposer une alternative valable et fonctionnelle ne nécessitant pas le traitement de données biométriques. Cela peut inclure des cartes RFID, des codes PIN ou des applications mobiles. L’alternative doit présenter des prestations comparables sans imposer une charge ou un désavantage significatif pour l’utilisateur.

4. Transparence et documentation

Une information claire, concise et accessible doit être fournie aux employés concernant :

• La technologie utilisée
• Les données collectées
• Leurs objectifs
• Le mode de stockage et la durée
• Les droits ARSULIPO (Accès, Rectification, Suppression, Limitation, Portabilité et Opposition)

5. Sécurité et minimisation

Les principes de sécurité technique (cryptage, contrôle d’accès, logs d’activité) et de minimisation des données doivent être respectés. Seules les données strictement nécessaires doivent être traitées, et pour la durée la plus courte possible.

Précédent important pour les fournisseurs et développeurs de systèmes biométriques

La décision PS-00432/2023 envoie également un message clair aux développeurs de systèmes biométriques, aux intégrateurs et aux responsables de logiciels : il ne suffit pas de “ne pas sauvegarder l’image de l’empreinte” pour contourner la réglementation. La conception des systèmes doit intégrer dès le départ les principes de vie privée dès la conception et par défaut.

Dans un marché où prolifèrent des solutions de contrôle horaire “sans contact” visant à améliorer l’expérience employé, les fabricants doivent garantir que leurs systèmes respectent les exigences du RGPD dans toutes leurs configurations.

Et si le système est dans le cloud ?

Si le fournisseur stocke les empreintes biométriques sur des serveurs distants, il devient responsable du traitement et doit disposer d’un contrat conforme à l’article 28 du RGPD. De plus, si le stockage ou le traitement s’effectue en dehors de l’Espace Économique Européen, il faut évaluer les mécanismes de transfert international de données.

Conclusion : la technologie ne dispense pas du respect des obligations légales

À l’ère de la transformation numérique, le recours aux technologies avancées doit aller de pair avec un respect rigoureux des droits fondamentaux. L’AEPD a clairement indiqué que la protection des données biométriques ne doit pas être considérée comme une simple formalité : même si votre empreinte n’est pas visible, si elle permet de vous identifier, elle doit être protégée.

Ces décisions protègent non seulement le citoyen, mais offrent également une sécurité juridique aux entreprises et encouragent un développement technologique responsable.

Questions fréquentes (FAQ)

Quelle est la différence entre vérification et identification biométrique ?
La vérification compare un échantillon à une empreinte pour confirmer si c’est la même personne (1:1). L’identification compare un échantillon à plusieurs empreintes pour déterminer qui vous êtes (1:N). Les deux impliquent un traitement de données biométriques si elles permettent une identification univoque.

Puis-je refuser d’utiliser mon empreinte pour poinçonner ?
Oui, si aucune alternative valable n’est proposée, le consentement peut être considéré comme invalide. L’entreprise doit offrir une option non biométrique sans pénalité.

Quelle sanction pourrait encourir une entreprise en cas de non-respect de ces règles ?
Selon la gravité et l’impact, les sanctions peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, en plus de mesures correctives, avertissements ou suspension du traitement.

Quels secteurs utilisent le plus la biométrie et sont sous surveillance ?
Principalement ressources humaines, sécurité, banques, logistique, éducation et événements. La montée en puissance de la reconnaissance faciale dans les espaces publics et privés suscite également des inquiétudes.