La biométrie à l’heure du règlement européen sur la protection des données

La biométrie est une technologie particulièrement adaptée pour les paiements en ligne grâce à de nouvelles techniques permettant à la fois l’authentification et l’identification. Elle soulève néanmoins des questionnements en matière de protection des données à caractère personnel.

La CNIL apporte des éclaircissements par le biais d’une doctrine spécifique aux traitements de données biométriques. En effet, elle élabore, depuis 2005, une doctrine concernant les traitements portant sur des données biométriques, traitements devant faire l’objet d’une autorisation préalable de la CNIL, conformément à l’article 25-8° de la loi informatique et libertés.

La doctrine de la CNIL doit également être mise en perspective avec le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données personnelles des personnes physiques pour parvenir à une meilleure protection du risque de fraudes et de cyberattaques.

En effet, ce règlement, tout comme la loi informatique et libertés, a inclus les données biométriques parmi les catégories particulières de données à caractère personnel (dites « données sensibles »). Le règlement européen sur la protection des données (RGPD) consacre ainsi les données biométriques dans son article 9 : « les données biométriques aux fins d’identifier une personne physique de manière unique » sont des données « sensibles » dont le traitement est par principe interdit sauf exceptions énumérées à l’alinéa 2 du même article.

Dès lors, les entreprises peuvent pour l’heure utiliser et stocker les données biométriques seulement après autorisation de la CNIL, mais pour ce faire, elles doivent démontrer avoir un but légitime. En effet, elles doivent justifier qu’elles n’ont pas d’autres techniques alternatives et prouver la proportionnalité entre la finalité du traitement et les risques en matière de protection des données et de la vie privée.

Par ailleurs, à compter de mai 2018, les entreprises devront adopter une nouvelle procédure suite à l’entrée en vigueur de la RGDP. Par la suite, le système d’autorisation de la CNIL prendra fin pour basculer vers un système de responsabilisation des acteurs. Les responsables de traitements des données doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires à la protection des données personnelles. Les entreprises devront également justifier leur utilisation de la biométrie à l’aide d’études mesurant l’impact d’un tel moyen d’identification sur la sécurité et la vie privée des utilisateurs.

Retrouvez l’intégralité de la newsletter de septembre 2017 ici…https://www.syrtals.com/newsletter-syrtals-septembre-2017/

Bruno-JoanidesV2
Directeur d'activités Nouveaux services de paiement