Le règlement général sur la protection des données (RGPD) est un cadre juridique qui définit des lignes directrices pour la collecte et le traitement des informations personnelles des personnes vivant dans l’Union européenne (UE). Mais comme l’avancée de la technologie sollicite de plus en plus l’utilisation des données biométriques, le règlement européen relatif à la protection des données personnelles encadre également la collecte des données biométriques en vue de mieux responsabiliser les entreprises.
Qu’est-ce qu’une donnée personnelle ?
Le terme « données personnelles » se définit comme étant une référence pouvant amener à identifier une personne directement ou indirectement.
Les personnes sont notamment identifiables grâce à leur nom, leur numéro de téléphone, leur adresse (adresse physique ou adresse IP), leur compte bancaire ou leur identifiant électronique. Dans la pratique, ces identifiants sont également attribués à la carte de crédit, à la plaque d’immatriculation ou à une police d’assurances.
Mais il y a également des identifications possibles via les caractéristiques personnelles de chaque individu. Ce sont des données physiques, physiologiques ou génétiques.
Il faut aussi noter que les données personnelles ne sont pas toujours objectives. Elles peuvent être subjectives telles que les opinions politiques, les convictions religieuses ou les jugements. Et elles n’apparaissent pas toujours de façon explicite. L’évaluation d’un salarié par un employeur par exemple fait partie des données personnelles RGPD de l’employé que le responsable des ressources humaines va garder dans les dossiers de la personne concernée.
Qu’en est-il des données biométriques RGPD ?
La biométrie est la science qui consiste à analyser les caractéristiques propres à chaque individu pour pouvoir authentifier son identité. C’est le moyen d’identification le plus pertinent et le plus fiable car les caractéristiques physiques ou comportementales sont uniques. Vous pouvez avoir ici de plus amples informations concernant l’exploitation des données biométriques RGPD.
Les données biométriques sont des données à caractère personnel. Mais par rapport aux autres données personnelles, elles sont particulières. En effet, ce type de données ne change pas dans le temps, comme le groupe sanguin par exemple.
Il existe deux catégories de données biométriques RGPD:
- Les données physiologiques
- Les données comportementales.
Les données physiologiques peuvent être morphologiques comme les empreintes, la forme de l’iris ou la forme du visage. Elles peuvent également être biologiques, comme l’ADN. Ces dernières sont couramment utilisées en médecine et par la police scientifique.
Les données comportementales sont également des données biométriques RGPD. Les plus utilisées sont : la reconnaissance vocale, les études de la dynamique de frappe, la dynamique de signature, les gestes, etc.
Il apparait évident que ce sont les mesures physiologiques qui offrent un haut niveau de fiabilité tout au long de la vie d’un individu.
Rôles et attributions du DPO
Les responsables du traitement des données personnelles et les sous-traitants doivent doubler de vigilance dans le traitement des données biométriques RGPD. Pour accomplir leur tâche, ils peuvent nommer un DPO (Data Protection Officer) ou Délégué à la Protection des Données. Cette nomination n’est obligatoire que dans certains cas. Si la collecte des données personnelles se fait par une autorité publique, autre que le tribunal, si les données collectées sont à très grande échelle et nécessitent une surveillance systématique et régulière ou alors, si les traitements concernent des données personnelles RGPD et des données biométriques RGPD sensibles, comme les données relatives au dossier médical.
Même si ce n’est pas obligatoire, avoir un DPO au sein d’une entreprise aide à la mise en conformité RGPD. Le DPO va :
- conseiller les responsables de traitement de données à caractère personnel
- organiser des formations sur la protection des données traitées
- effectuer des audits afin de toujours maintenir la conformité au RGPD
- servir d’interlocuteur avec l’autorité de contrôle, c’est-à-dire la CNIL ou Commission Nationale de l’Informatique et Libertés.
Il faut se rappeler que la protection des données personnelles RGPD et des données biométriques RGPD concernent tous les sites utilisés par des visiteurs européens. Même si la collecte se fait en dehors des pays membres de l’UE.