L’autorité de protection des données néerlandaise (Autoriteit Persoonsgegevens) a informé ce 30 avril 2020, avoir infligé à une société une amende record de 725.000 EUR car celle-ci utilisait les empreintes digitales de ses employés dans le but de vérifier leur présence de contrôler leur temps de travail.

La biométrie est aujourd’hui associée à de nombreuses facettes de la vie quotidienne nécessitant une authentification des personnes.  Il est désormais courant pour tout un chacun d’utiliser son empreinte digitale, ou son iris pour débloquer un téléphone ou pour accéder à des locaux.  Dans un contexte professionnel, il peut s’agir du contrôle d’accès à des locaux, à des ordinateurs, ou à des applications.

Néanmoins, une entreprise néerlandaise vient d’être épinglée par l’autorité de contrôle nationale, les employés de cette entreprise devaient faire scanner leurs empreintes digitales pour vérifier leur présence.  Après enquête, l’Autoriteit Persoonsgegevens a conclu que l’entreprise n’aurait pas dû traiter les empreintes digitales des employés.

Monique Verdier, vice-présidente de l’Autoriteit Persoonsgegevens a ainsi déclaré « Cette catégorie de données personnelles est extrêmement protégée par la loi.  Si ces données tombent entre de mauvaises mains, cela pourrait potentiellement entraîner des dommages irréparables. Tels que le chantage ou la fraude d’identité. Une empreinte digitale ne peut pas être remplacée, comme un mot de passe. Si les choses tournent mal, l’impact peut être énorme et avoir un effet négatif à vie sur quelqu’un. »

L’entreprise concernée s’est opposée à la publication de la décision judiciaire.

Biométrie : Consultez les recommandations de l’Autorité de Protection des Données et de la CNIL

Il est à noter que l’Autorité de Protection des Données belge a publié un dossier thématique sur l’utilisation des données biométriques dans un but d’authentification.  Dossier dans lequel le principe de proportionnalité du traitement est bien mis en avant :

Ce dossier prévoit en effet que « le système biométrique doit, au point de vue technique et organisationnel, répondre à certains critères qui garantissent sa proportionnalité :

  • la technique biométrique choisie doit se baser sur des caractéristiques physiques qui ne laissent pas de trace. Le recours à l’empreinte digitale, qu’un être humain laisse quotidiennement tout autour de lui, est donc à proscrire.  Il convient plutôt de se tourner vers des technologies utilisant des caractéristiques biométriques qui ne laissent pas de traces, telles que le réseau veineux du doigt ou de la main, le contour de la main, l’iris, etc. ;
  • les données biométriques de référence doivent être stockées sur un support amovible (comme une carte à puce) ou dans le capteur biométrique (l’appareil avec lequel on s’authentifie, par exemple à l’entrée du bâtiment), pour autant que ce dernier ne soit accessible de (N.D.A. que) localement, sans possibilité de connexion avec d’autres systèmes informatiques ;
  • seuls les « gabarits » des données biométriques peuvent être enregistrés. Ce ne sont donc pas les images brutes des caractéristiques physiques contrôlées qui sont stockées, mais bien des chiffres déduits de ces images brutes ;
  • la technologie biométrique choisie doit nécessiter une participation consciente de la personne concernée lors de l’authentification. La reconnaissance faciale à distance, la collecte d’empreintes digitales ou l’enregistrement de la voix, susceptibles de se produire à l’insu de la personne concernée, présentent certains risques à cet égard ;
  • le système doit présenter un niveau de sécurité suffisamment élevé. »

En France, la CNIL a également communiqué des outils relatifs à l’utilisation de la biométrie pour le contrôle d’accès sur les lieux de travail.