Le terme “données biométriques” est défini à l’article 4.14 du RGPD. Ainsi, les données biométriques sont “des données à caractère personnel résultant d’un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment l’identification unique de cette personne physique”. La définition suggère que pour que des données personnelles soient considérées comme “biométriques”, elles doivent satisfaire à quatre critères^[1] .

Premièrement, elles doivent s’apparenter à des “données personnelles”, définies à l’article 4.1 du RGPD comme “des informations relatives à une personne physique identifiée ou identifiable”. Deuxièmement, elles nécessitent un “traitement technique spécifique” pour extraire les informations de la source de données brute (par exemple, extraire les traits du visage d’une photo pour les mesurer). Le considérant 51 du RGPD indique que “le traitement des photographies ne devrait pas systématiquement être considéré comme un traitement de catégories spéciales de données à caractère personnel, car elles ne sont couvertes par la définition des données biométriques que lorsqu’elles sont traitées par un moyen technique spécifique permettant l’identification ou l’authentification unique d’une personne physique”. Ainsi, les données biométriques qui ne font pas l’objet d’un “traitement technique spécifique” ne constituent pas des données biométriques dans le contexte du RGPD ^[2] . Toutefois, même lorsque les données ne constituent pas des données biométriques à un certain stade, elles peuvent faire partie d’un traitement de données qui les rend biométriques à un stade ultérieur. Par exemple, une base de données peut contenir des photos qui seront utilisées pour effectuer une identification biométrique par le biais d’un traitement technique spécifique à un stade ultérieur (et qui ne constituent donc pas encore des données biométriques). Imaginez un scénario dans lequel ladite base de données est directement liée au système qui effectue l’identification biométrique (voir également la section 2.3 2Système biométrique”). Dans ce cas, des parties non autorisées pourraient exploiter ce lien pour accéder aux données biométriques. Par exemple, elles pourraient exfiltrer les photos (non biométriques) hébergées dans la base de données et, après avoir violé le système qui effectue l’identification biométrique, elles pourraient faire passer la photo par ce système et effectuer l’identification biométrique, obtenant ainsi l’accès aux données biométriques. Dans ce scénario, une sécurité faible garantit que des parties externes peuvent obtenir des données biométriques, même si ces données biométriques n’existent pas encore. Les responsables du traitement des données doivent aborder cette question sous l’angle de la gestion des risques. S’ils ne peuvent pas garantir une atténuation appropriée des risques pour les données non biométriques (c’est-à-dire les risques d’exploitation), ces ensembles de données devraient être considérés comme des données biométriques et être soumis à toutes les exigences légales, même si elles ne remplissent pas – en soi – les critères pour être considérés comme des données biométriques.

Données biométriques scénario 1

Scénario de données biométriques 2

Le troisième critère concerne les caractéristiques des personnes concernées qui sont saisies par le traitement technique spécifique mentionné ci-dessus. Ces caractéristiques peuvent être “physiques”, “physiologiques” ou “comportementales”, et sont différentes des qualités accidentelles telles que l’adresse de la personne concernée, sa localisation à un moment donné, les données relatives à son emploi, etc. Le quatrième et dernier critère indique que pour que les données personnelles soient considérées comme des données biométriques, elles doivent permettre ou confirmer l’identification unique d’une personne physique. En effet, les données biométriques n’identifient pas nécessairement les personnes de manière unique en soi. Par exemple, les données biométriques peuvent être utilisées pour distinguer les humains des animaux, ou les hommes des femmes^[3] . Toutefois, contrairement à d’autres éléments d’identification tels que les noms ou les codes d’identification, le traitement des données biométriques ne permet pas une identification claire et nette. Il permet plutôt d’identifier des personnes avec un certain degré de probabilité. Selon un point de vue établi, les données doivent être considérées comme biométriques “même si les modèles utilisés en pratique pour les mesurer techniquement impliquent un certain degré de probabilité”^[4] .

 

 

1. Sur l’analyse de la définition fournie dans le RGPD, voir . C. Jasserand, ‘Legal Nature of Biometric Data: From “Generic” Personal Data to Sensitive Data’, European Data Protection Law Review 2, no. 3 (2016): 297–311, https://doi.org/10.21552/EDPL/2016/3/6. ↑
2. Les spécialistes se demandent si cela devrait également s’appliquer aux traitements techniques qui sont des conditions préalables à l’identification, comme le simple stockage dans des bases de données. Voir par exemple, Kindt, Having yes, using no ? About the new legal regime for biometric data, Computer Law and Security Review, 34, 2018, pp. 523-538. Pour une analyse des enjeux autour du format autre que les photographies, voir Andras Nautsch et al., Preserving privacy in speaker and speech characterization, Computer Speech & Language, 58, 2018, p. 445. ↑
3. Voir par exemple ‘14 Misunderstandings with Regard to Identification and Authentication’ (Agencia espanola proteccion datos, European Data Protection Supervisor, June 2020), 3. ↑
4. Article 29 Data Protection Working Party, ‘Opinion 4/2007 on the Concept of Personal Data’, 2007, 8. Voir également Article 29 Data Protection Working Party, ‘Opinion 3/2012 on Developments in Biometric Technologies’, 2012, 6. ↑