L’une des étapes les plus cruciales du point de vue de la protection des données est l’identification de la base juridique du traitement des données personnelles, qui sont énumérées à l’article 6 du RGPD. Toutefois, comme nous l’avons déjà mentionné, le traitement des données biométriques est interdit et ne peut avoir lieu que lorsque des exemptions spécifiques s’appliquent. Celles-ci sont prévues à l’article 9.2 du RGPD et sont de deux types. Celles qui sont immédiatement valables et applicables, et celles qui nécessitent une législation supplémentaire de l’Union ou d’un État membre avant de pouvoir être utilisées pour justifier un traitement de données biométriques.
| Bases juridiques disponibles prévues par le RGPDpour traiter les données biométriques | |
| Nécessite une législation supplémentaire de l’UE ou des États membres | |
| Consentement explicite | |
| Emploi, sécurité sociale et protection sociale | ✓ |
| Intérêts vitaux | |
| Activités des associations et autres entités à but non lucratif | |
| Les données ont été publiées par la personne concernée | |
| Actions en justice ou actes judiciaires | |
| Intérêt public substantiel | ✓ |
| Santé ou services sociaux | ✓ |
| Intérêt public en matière de santé | ✓ |
| Archivage, recherche et statistiques | ✓ |
Lorsque l’une de ces exemptions s’applique, il est alors possible pour le responsable du traitement de sélectionner l’une des bases juridiques énumérées à l’article 6 du RGPD et de traiter les données personnelles en conséquence.
Parmi les dix exemptions de l’article 9.2 du RGPD, deux sont particulièrement pertinentes dans le présent document. La première est l’exigence de “consentement explicite”. Dans le contexte du traitement des données biométriques, le consentement des personnes concernées doit être “explicite”, ce qui signifie qu’il doit s’agir d’une déclaration claire, spécifique et non équivoque selon laquelle les personnes concernées consentent à ce que leurs données biométriques soient traitées aux fins spécifiques identifiées par le responsable du traitement des données[1] . Par exemple, en cas de traitement de données biométriques extraites de photos, il ne suffira pas de recueillir le consentement des personnes concernées sur le traitement desdites photos. Les personnes concernées doivent être informées que les caractéristiques biométriques seront extraites et traitées, et leur consentement explicite doit être recueilli.
| Exemple : Consentement vs Consentement explicite | |
| Consentement | Consentement explicite |
| “Veuillez fournir une photo de vous de face, prise dans un environnement bien éclairé. Cette photo sera utilisée pour extraire des caractéristiques biométriques dans le but de développer un nouveau système de reconnaissance biométrique.” | “A – Veuillez fournir une photo de vous de face, prise dans un environnement bien éclairé.
B – La photo sera utilisée pour extraire des caractéristiques biométriques dans le but de développer un nouveau système de reconnaissance biométrique. C – Avant d’envoyer la photo, veuillez cocher la case suivante pour indiquer que vous consentez, en tant que personne concernée, à ce que votre photo soit traitée en vue de l’extraction d’éléments biométriques qui seront traités conformément à la finalité décrite au point B. Cochez la case ☐” |
Lorsqu’on parle de consentement dans le contexte de la recherche, il est également important de faire la distinction entre le consentement à participer à l’étude et le consentement au traitement des données personnelles. Il s’agit de deux types de consentement différents qui doivent être recueillis indépendamment[2] . L’équipe de recherche peut s’appuyer sur un seul formulaire de consentement, à condition que celui-ci fasse clairement la distinction entre les deux types de consentement et ne les rassemble pas en un seul accord (pour plus d’informations, voir le document “Issues and gaps analysis on informed consent in the context of ICT research and innovation” sur https://www.panelfit.eu/wp-content/uploads/2020/11/D21-Issues-and-gaps-analysis-on-informed-consent-in-the-context-in-ICT-research-and-Innovation.pdf).
Une autre exemption au traitement d’une catégorie spéciale de données personnelles qui est pertinente pour l’objectif de ce document est l’exemption pour le traitement nécessaire aux activités de recherche. Pour être applicable, cette exemption doit satisfaire à deux critères. Premièrement, le traitement doit être soumis à des garanties techniques et organisationnelles appropriées conformément à l’article 89.1 du RGPD. Deuxièmement, il doit exister un droit de l’Union ou des États membres fournissant un fondement juridique au traitement dans le cadre d’une activité de recherche. Ce dernier critère implique que l’exemption à des fins de recherche pourrait ne pas être applicable partout. Par conséquent, les chercheurs doivent procéder à un examen des législations nationales de tous les États où la recherche va être menée afin de déterminer si de telles normes sont présentes (voir “Étude comparative des rapports nationaux” à l’adresse https://www.panelfit.eu/national-reports/).
- Le RGPD reconnaît dans le considérant 33 qu’il peut ne pas être possible d’identifier pleinement la finalité du traitement des données au moment de la collecte des données et, par conséquent, que les personnes concernées devraient être autorisées à donner leur consentement pour certains “domaines de recherche scientifique”. Le point soulevé par le considérant 33 et un certain nombre de problèmes d’interprétation ont été examinés dans le document “Issues and gaps analysis on informed consent in the context of ICT research and innovation”. ↑
- VoirEuropean Data Protection Board, ‘Guidelines 05/2020 on Consent under Regulation 2016/679’, May 2020, 30; European Data Protection Board, ‘Opinion 3/2019 Concerning the Questions and Answers on the Interplay between the Clinical Trials Regulation (CTR) and the General Data Protection Regulation’, 2019. ↑