Earlegal du 22/09/2023
- Quel est le cadre légal ? Quelles sont les exigences par rapport au consentement des personnes concernées ?
- Faut-il réaliser une analyse d’impact ?
- Est-ce possible d’utiliser une pointeuse biométrique ?
- Quelles utilisations dans la lutte contre la fraude ?
par Fanny Coton et Marie Dejaer.
earlegal #8 Comment implémenter le legal design dans vos contrats ?
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
1. ALL OVER THE WORLD
Techno-sécurité :
données
biométriques et
reconnaissance
faciale
22 septembre 2023
Fanny COTON
Marie DEJAER
2. Notre fil rouge
Société biotech
Volonté de protéger
ses secrets d’affaires
Souhaite placer des
contrôles
biométriques
d’accès pour son
personnel
3. 4 questions
1. Quel est le cadre légal pour un usage civil ?
2. Et dans un usage répressif ?
3. Analyses détaillées des bases de licéité
potentielles
4. Concrètement, qu’est-ce qui est possible ?
5. « (…) les données à caractère personnel résultant
d'un traitement technique spécifique, relatives aux
caractéristiques physiques, physiologiques ou
comportementales d'une personne physique, qui
permettent ou confirment son identification unique,
telles que des images faciales ou des données
dactyloscopiques » (art 4.14 RGPD)
Définition des données biométriques
7. Exemples de traitements de données
biométriques
• Déverrouillage/ Vérification d’identité sur
téléphone portable
• Comptage d’une foule
• Reconnaissance faciale à l’entrée d’un bâtiment
• Comparaison du visage avec un document
d’identité
• …
8. Cadre légal multiple
Protégé par :
✓ Article 8 CEDH (droit au respect de la
vie privée et familiale)
✓ Article 7 Charte des droits
fondamentaux
✓ Article 9 du RGPD
✓ Article 10 de la directive « Police –
Justice »
✓ (Proposition de) Règlement
établissant des règles harmonisées
concernant l’IA
✓ Loi caméras
9. Bases de licéité classiques : Article 6 du RGPD
Le traitement n'est licite que si, et dans la mesure où, au moins
une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses
données;
b) le traitement est nécessaire à l'exécution d'un contrat
auquel la personne concernée est partie ;
c) le traitement est nécessaire au respect d'une obligation
légale ;
d) le traitement est nécessaire à la sauvegarde des intérêts
vitaux ;
e) le traitement est nécessaire à l'exécution d'une mission
d'intérêt public ;
f) le traitement est nécessaire aux fins des intérêts légitimes.
10. Bases de licéité - Données biométriques :
Article 9 du RGPD
Le traitement des données relatives à la santé est en principe
interdit, sauf si l'une des bases juridiques énumérées à l'article 9
s'applique :
0. le traitement est nécessaire à la sauvegarde de l'intérêt vital
de la personne concernée ;
1. la personne concernée a donné son consentement explicite ;
2. le traitement est nécessaire pour des raisons d'intérêt public
important, sur la base du droit de l'Union ou du droit des États
membres, qui doit être proportionné à l'objectif poursuivi,
respecter l'essence du droit à la protection des données et
prévoir des mesures appropriées et spécifiques pour la
sauvegarde des droits fondamentaux et des intérêts de la
personne concernée;
3. le traitement porte sur des données à caractère personnel
manifestement rendues publiques par la personne concernée
11. Prise de décision automatisée et profilage :
Article 22 du RGPD
« La personne concernée a le droit de ne pas faire l'objet
d'une décision fondée exclusivement sur un traitement
automatisé, y compris le profilage, produisant des effets
juridiques la concernant ou l'affectant de manière
significative de façon similaire. » Art. 22.1 du RGPD
Décision automatisée ne peut être fondée sur des données
sensibles, dont biométriques ou recueillies par caméra, sauf
en cas
• d'un consentement explicite ou d'une nécessité pour un
intérêt public important
• et qu'il existe des mesures appropriées pour sauvegarder
les droits et libertés et les intérêts légitimes
12. Caméras de surveillance intelligentes :
Art. 8/1 loi caméras
• Caméras de surveillance intelligentes =
« caméra de surveillance qui comprend
également des composantes ainsi que
des logiciels qui, couplés ou non à des
registres ou à des fichiers, peuvent traiter
de manière autonome ou non les
images recueillies » (article 2, 4°/3 de la
loi caméras)
Caméras de surveillance intelligentes + fichiers de données à caractère
personnel = interdit
→ Exception : reconnaissance automatique des plaques d'immatriculation
14. Directive « Police – justice »
« Le traitement des données à caractère personnel qui révèlent (…)
des données biométriques aux fins d'identifier une personne
physique de manière unique (…) est autorisé uniquement en cas de
nécessité absolue, sous réserve de garanties appropriées pour les
droits et libertés de la personne concernée, et uniquement:
a) lorsqu'ils sont autorisés par le droit de l'Union ou le droit d'un État
membre;
b) pour protéger les intérêts vitaux de la personne concernée ou
d'une autre personne physique; ou
c) lorsque le traitement porte sur des données manifestement
rendues publiques par la personne concernée. »
EDPB's Guidelines 05/2022 on the use of facial recognition
technology in the area of law enforcement
15. Directive « Police – justice »
Prise de décision individuelle automatisée, y compris le profilage
• Interdiction de prendre une décision fondée exclusivement sur un
traitement automatisé qui produit un effet juridique défavorable sur la
personne concernée ou qui l'affecte de manière significative, sauf si la
loi l'autorise en prévoyant des garanties appropriées (au moins le droit
d'obtenir une intervention humaine),
• Une décision ne peut être fondé sur des données biométriques, sauf si
des garanties appropriées sont prévues pour les droits et libertés et les
intérêts légitimes.
• Le profilage qui entraîne une discrimination à l'encontre de personnes
physiques sur la base de données biométriques est interdit.
16. Cas pratique 1 : JO de Paris en 2024
• Traitement algorithmique d’images
capturées par vidéosurveillance – à titre
expérimental
• But : assurer la sécurité
• Oui :
• Détection des bagages abandonnés
• Mouvements de foule
• Incidents anormaux
• Exclusion :
• Le traitement des données biométriques
• L’utilisation de la reconnaissance faciale
17. Cas pratique 2 : CEDH – Arrêt Glukhin/Russie 2023
• Manifestant seul,
• N’a pas demandé d’autorisation
administrative préalable.
• Se plaint devant la CEDH que la
reconnaissance faciale ait été
utilisée pour l’identifier et l’arrêter.
CEDH : pas illicite en soi, MAIS :
✓ Législation trop peu prévisible
(“pour l’administration de la justice”),
✓ Pas pour tous les types d’infractions
✓ Ici disproportionné : manifestation pacifique, infraction
bénigne
→ Violation des art. 8 et 10 de la CEDH
18. Quels développements à venir ?
Artificial Intelligence Act
(trilogue à venir)
Parlement UE :
• Interdiction des systèmes
d'identification biométrique en temps
réel et à distance, tels que la
reconnaissance faciale
• Exception : a posteriori + pour des
crimes graves + seulement après
l'approbation du tribunal
• enregistrement dans une base de
données de l'UE :
• évalués avant leur mise sur le marché
et tout au long de leur cycle de vie.
20. Notre fil rouge
Société biotech
Volonté de protéger
ses secrets d’affaires
Souhaite placer des
contrôles
biométriques
d’accès pour son
personnel
21. Bases de licéité - Données biométriques :
Article 9 du RGPD
Le traitement des données relatives à la santé est en principe
interdit, sauf si l'une des bases juridiques énumérées à l'article 9
s'applique :
0. le traitement est nécessaire à la sauvegarde de l'intérêt vital
de la personne concernée ;
1. la personne concernée a donné son consentement explicite
2. le traitement est nécessaire pour des raisons d'intérêt public
important, sur la base du droit de l'Union ou du droit des États
membres, qui doit être proportionné à l'objectif poursuivi,
respecter l'essence du droit à la protection des données et
prévoir des mesures appropriées et spécifiques pour la
sauvegarde des droits fondamentaux et des intérêts de la
personne concernée;
3. le traitement porte sur des données à caractère personnel
manifestement rendues publiques par la personne concernée ;
22. 1.1 Consentement : Exigences
• Avant le début du traitement
• 2 conditions au consentement :
1) Valable – art 4.11 RGPD
• Libre,
• spécifique,
• Éclairé,
• Univoque.
Lignes directrices de l’EDPB sur le consentement valable
Termes clairs, simples, et demande distincte de toutes les autres
2) Explicite – art 9.2.a) RGPD
Ecrite et signée - formulaire électronique, e-mail, document scanné +
signature, signature électronique
≠ consentement verbal → difficulté probatoire
23. 1.2 Consentement « libre » - précisions
- Avoir le choix
« …valable que si la personne concernée est véritablement en
mesure d’exercer un choix et s’il n’y a pas de risque de tromperie,
d’intimidation, de coercition ou de conséquences négatives
importantes si elle ne donne pas son consentement. Si les
conséquences du consentement sapent la liberté de choix des
personnes, le consentement n’est pas libre ».
• Une alternative à l’utilisation des données biométriques est
prévue
• Ex. : choisir d’utiliser un autre mode d’authentification (simple
badge ou mot de passe)
- Avoir la possibilité de retirer son consentement
• Art 7.3 du RGPD : obligation d’information de la personne
concernée
→ Gratuit et sans préjudice
24. 1.3 Retrait du consentement
• Pas d’exigence de forme particulière
• De manière simple
Cheminement complexe
Exigence de mot de passe
Si retrait du consentement :
- RT cesse tout traitement
- Pas d’influence sur la licéité du
traitement avant le retrait
- RT vérifie si la conservation des
données se justifie, même si pas de
demandes de suppression de la
personne concernée article 5.1.e)
RGPD
25. 1.4 Défaut de consentement - Sanction
L’autorité de contrôle
néerlandaise a sanctionné une
entreprise pour défaut de
consentement valable
▪ Pourquoi ?
❑ Traitement illicite d’empreintes
digitales d’employés par le RT
❑ Absence de consentement libre,
spécifique et éclairé
→ Sanction : amende 725.000 EUR
26. Notre fil rouge
Société biotech
contrôles
biométriques
d’accès pour son
personnel
CONSENTEMENT
27. 2.1 Intérêt public important - Définition
« Traitement est nécessaire pour des motifs d’intérêt public
important, sur la base du droit de l’Union ou du droit d’un État
membre qui doit être proportionné à l’objectif poursuivi,
respecter l’essence du droit à la protection des données et
prévoir des mesures appropriées et spécifiques pour la
sauvegarde des droits fondamentaux et des intérêts de la
personne concernée » Art. 9.2.g) RGPD
28. 2.2 Intérêt public important - Limitations
L’intérêt doit :
❖ Être explicitement reconnu
❖ ET traitement des données biométriques doit être autorisé
29. 2.3 Défaut d’intérêt public important – Sanction de
l’APD
• Contexte : Covid
• Utilisation de caméras thermiques dans les aéroports de Bruxelles
Zaventem et Charleroi
• Amende :
- 200.000 EUR à Brussels Airport Zaventem
- 100.000 EUR à Brussels South Charleroi Airport
(réduction à 25.000 EUR par la Cour des marchés)
30. 2.4 Défaut d’intérêt public important – Avis
consultatif de l’AEPD
• Contexte : évènements sportifs (stade de foot)
• Utilisation de systèmes d’identification
biométrique à l’entrée des stades
• Fondement : motif d’intérêt public important -
identification des hooligans
• Avis consultatif de l’AEPD : pas de fondement
légal en droit national Espagnol permettant de
traiter ces données sur base de l’intérêt public
important
Vérification
Identification
Authentification Identification
Comparaison des données avec les
informations biométriques de la même
personne, enregistrées préalablement
« one-to-one comparison »
Comparaison des données avec les
informations biométriques disponibles dans une
base de données
« one-to-many comparison »
32. 3. Données manifestement rendues publiques
• Contexte des réseaux
sociaux et photos qui y sont
publiées
• Possibilité de réutiliser ces
photos à d’autres fins ?
• Conditions :
1) Finalité initiale compatible
avec finalité ultérieure art.
5.1.b) RGPD
2) Information de la personne
concernée
34. Qu’est-ce qui est possible ?
Est-ce autorisé vis-à-vis de :
• membres du personnel ?
• élèves ?
• clients ?
• inconnus ?
• individus sur « liste noire » ?
• pour analyser une foule
sans identification ?
35. Personnel : Pointeuse biométrique ?
Iberia : art. 13
→ Avertissement
Art. 9 : pas d’alternative possible,
pas « nécessaire » (par opposition aux
zones « sensibles » de l’entreprise)
Art. 9 + 13
30.000 € département provincial de
santé : Consentement pas valide
20.000 € club de sport : Alternative
existante, mais pas de réelle
possibilité de retirer son consentement
Art. 9 : pas de consentement
725.000 €
37. Elèves – contrôle d’accès/présence
Empreintes digitales et
reconnaissance faciale
Art. 9 + 13 + 28
Avertissement car déjà
arrêté
Arrêt expérimentation
Art. 9 (ni consentement,
ni int. public)
38. Elèves – contrôle d’accès à la cantine
APD polonaise : 4.400 €
Art. 9 : Pas de
consentement valable
Les élèves qui refusaient
rentraient en dernier au
réfectoire
→ Annulé sur recours
(Consentement valable)
39. Elèves – contrôle lors d’examens en ligne
durant le confinement
Caméra de
l’ordinateur active
pendant l’examen
Refus = échec à
l’examen
→ Art.9.2.g = nécessaire à
intérêt public
(enseignement universitaire)
40. Clients – contrôle d’accès par des clubs de sport
Reconnaissance faciale (membres)
APD lituanienne : 20.000 €
APD danoise : OK sous 2 réserves :
• Les clients qui acceptent doivent
pouvoir déclencher le système de
reconnaissance faciale lorsqu’ils
passent
(pour que les clients qui le refusent
ne soient filmés)
• Le club doit demander un second
consentement pour traiter les
données d’entrées/sorties pour
établir des statistiques.
42. Identifier des inconnus ?
250.000 €
Réprimande
Organe de contrôle de
l'information policière
demande l’arrêt
Usage de par la police
43. Hooligans à l’entrée des
stades de football : viol.
9.2.g
Supermarché pour vérifier
que 2 braqueurs
condamnés, interdits de
fréquenter le supermarché
pendant 2 ans, ne
reviennent pas : viol. Art. 9
Identifier des individus sur une liste noire ?
46. Analyser une foule sans identification ?
Nombre de passants à
la côte durant la crise
Covid-19
47. Analyser une foule sans identification ?
Habitudes sportives
dans un parc à
Leuven
48. Notre fil rouge
Société biotech
Contrôles
biométriques
d’accès pour son
personnel
Uniquement pour
accéder aux pièces
où se déroulent les
recherches et où
sont entreposés les
résultats
49. Une AIPD est-elle obligatoire ?
• Article 35.3 - 3 cas obligatoires
• 2ème cas : « Traitement à grande échelle de catégories
particulières de données à caractère personnel visées à
l’article 9, paragraphe 1, ou de données à caractère
personnel relatives à des condamnations pénales et à des
infractions visées à l'article 10 »
• 3ème cas : « Surveillance systématique à grande échelle d'une
zone accessible au public ».
• Décision n° 01/2019 Secrétariat général APD → liste des
activités de traitement pour lesquelles une analyse
d’impact est requise
« Lorsque le traitement utilise des données biométriques en vue de
l'identification unique des personnes concernées se trouvant dans un
lieu public ou dans un lieu privé accessible au public »
50. Une AIPD est-elle obligatoire ?
• Décision n° 01/2019 Secrétariat général APD → Réunion de 2
critères :
•données particulières,
•concernant des personnes vulnérables (enfants, travailleurs)
•à grande échelle,
•croiser des ensembles de données,
•surveiller systématiquement,
•utiliser de nouvelles solutions technologiques (ex: combinaison
des empreintes digitales et de la reconnaissance faciale).
→ AIPD OU NOTE D’ACCOUNTABILITY SUR L’ABSENCE DE
NÉCESSITÉ D’UNE ANALYSE D’IMPACT
16.000 € pour avoir mis en œuvre un système
d’identification biométrique SANS réaliser d’AIPD
51. Que faut-il viser dans l’AIPD ?
❑ Nécessité : Autres solutions moins intrusives
n’apportent pas assez de garanties
❑ Proportionnalité : Balance des intérêts :
❑ Fraude au détriment de la société/du RT
❑ Risque pour la vie humaine
❑ Transparence
❑ Validité du consentement
❑ alternative équivalente,
❑ clarté du processus d’obtention du
consentement,
❑ possibilité concrète de retrait
❑ Conformité de la technologie employée
❑ Conformité du prestataire
52. Inspiration chez nos voisins ?
CNIL – Délibération 2019-001 relative à la mise en
œuvre de dispositifs ayant pour finalité le contrôle
d’accès par authentification biométrique aux
locaux, aux appareils et aux applications sur les
lieux de travail
Autorisé si :
- Justifié par l’employeur et que l’utilisation de la
biométrie répond aux besoins de l’organisme
(ex : sécurisation des locaux si traitement
chimiques)
- Dispositif qui garantit la maîtrise exclusive des
employés sur leur gabarit biométrique
OU Contexte exceptionnel qui justifie un
dispositif prévoyant une maîtrise partagée des
gabarits entre l’employeur et l’employé
53. Merci
pour votre attention !
Des questions ?
Notre prochaine
formation earlegal :
→ 20 octobre : Innover
dans l’immobilier :
comment créer un
immeuble à
rendement ?
https://www.eventbrite.fr/
e/billets-earlegal-
comment-creer-un-
immeuble-a-rendement-
685724429227?aff=ebdso
porgprofile