Avant de définir les données biométriques, il est nécessaire de s’intéresser aux “catégories spéciales de données à caractère personnel”, aussi communément appelées “données sensibles”. En effet, l’article 9.1 du RGPD regroupe les données biométriques (ou, du moins, certaines d’entre elles ; voir section 2.2 “Données biométriques”) dans ce groupe plus large :
| Catégories spéciales de données à caractère personnel |
| Données révélant l’origine raciale ou ethnique |
| Données révélant l’opinion politique |
| Données révélant des croyances religieuses ou philosophiques |
| Données révélant l’appartenance syndicale |
| Données génétiques |
| Données biométriques (dans le but d’identifier de manière unique les personnes physiques) |
| Données relatives à la santé |
| Données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique |
Par défaut, l’article 9 RGPD interdit le traitement de catégories particulières de données à caractère personnel, sauf si l’une des exceptions énumérées à l’article 9.2 du RGPD se produit. L’une de ces exceptions se produit lorsque le “traitement est nécessaire à […] des fins de recherche scientifique ou historique”.
Il convient de noter que, pour être conforme, il ne suffit pas qu’un traitement de catégories particulières de données personnelles réponde à l’une des exceptions énumérées à l’article 9.2 du RGPD. En outre, et avant que le traitement ne commence, le responsable du traitement des données doit identifier une base juridique appropriée pour le traitement des données (cf. section 3.2.3 “Identifier la base juridique la plus appropriée”)[1] .
Les responsables du traitement des données doivent également savoir que, conformément à l’article 9.4 du RGPD, les États membres peuvent introduire des conditions supplémentaires et appliquer des exigences et des limitations supplémentaires concernant le traitement des données génétiques, des données biométriques ou des données relatives à la santé. Ainsi, les responsables du traitement des données qui souhaitent traiter ces catégories spéciales doivent toujours vérifier si des exigences nationales spécifiques s’appliquent. De plus amples informations peuvent être trouvées dans les rapports nationaux produits par le consortium PANELFIT (qui peuvent être consultés à l’adresse https://www.panelfit.eu/national-reports/).
Bien que certaines données ne constituent pas des catégories spéciales de données à caractère personnel en elles-mêmes, lorsqu’elles sont utilisées conjointement avec d’autres données, elles peuvent constituer des catégories spéciales de données à caractère personnel. Par exemple, l’adresse et la langue maternelle d’une personne ne constituent pas des catégories particulières de données à caractère personnel. Toutefois, lorsque le nom, le lieu de naissance et d’autres données de la personne concernée sont joints à l’ensemble de données, la combinaison peut révéler suffisamment d’informations pour identifier l’origine raciale ou ethnique de la personne concernée avec un degré raisonnable de certitude. Dans ce scénario, les données devraient être soumises aux mêmes exigences et limitations que les catégories spéciales de données à caractère personnel, même si elles ne le sont pas par elles-mêmes.
| Ensemble de données 1 | Ensemble de données 2 |
| Adresse : Washington D.C. | Adresse : Washington D.C. |
| Langue maternelle : Français | Langue maternelle : Français |
| Nom : Seydou Kablan Bakayoko | |
| Lieu de naissance : Abidjan | |
| Autre langue connue : Cebaara, Anglais | |
| École primaire : École Konan Raphael, Abidjan | |
| L’ensemble de données 1 ne fournit pas d’informations sur l’origine raciale ou ethnique de la personne concernée. | Les informations fournies par l’ensemble de données 2 pourraient être considérées comme suffisantes pour révéler l’origine raciale ou ethnique de la personne concernée (avec un degré raisonnable de certitude) |
Il convient de noter à nouveau que les données doivent satisfaire à un degré raisonnable de certitude. Ce degré de certitude est contextuel et doit être évalué au cas par cas.
- Voir également Ludmilla Georgieva and Christopher Kuner, ‘Article 9. Processing of Special Categories of Personal Data’, in The EU General Data Protection Regulation (GDPR): A Commentary (Oxford, United Kingdom: Oxford University Press, 2019), 376–77. ↑