Empreinte digitale en violation du RGPD

Dans cette ère moderne dans laquelle nous vivons aujourd'hui, il est de plus en plus courant d'utiliser les empreintes digitales comme moyen d'identification, par exemple: déverrouiller un smartphone avec un balayage des doigts. Mais qu'en est-il de la vie privée lorsqu'elle n'a plus lieu dans une affaire privée où existe un volontarisme conscient? L'identification des doigts liée au travail peut-elle être rendue obligatoire dans le contexte de la sécurité? Une organisation peut-elle imposer à ses employés l'obligation de remettre leurs empreintes digitales, par exemple pour l'accès à un système de sécurité? Et comment cette obligation est-elle liée aux règles de confidentialité?

Empreinte digitale en violation du RGPD

Les empreintes digitales en tant que données personnelles spéciales

The question we should ask ourselves here, is whether a finger scan applies as personal data within the meaning of the General Data Protection Regulation. A fingerprint is a biometric personal data that is the result of specific technical processing of a person’s physical, physiological or behavioral characteristics. Les données biométriques peuvent être considérées comme des informations relatives à une personne physique, car ce sont des données qui, par leur nature, fournissent des informations sur une personne particulière. Au moyen de données biométriques telles qu'une empreinte digitale, la personne est identifiable et peut être distinguée d'une autre personne. À l'article 4 du RGPD, cela est également explicitement confirmé par les dispositions relatives à la définition.

L'identification des empreintes digitales est une violation de la vie privée?

Le tribunal de district d'Amsterdam a récemment statué sur l'admissibilité d'un balayage des doigts en tant que système d'identification basé sur le niveau de réglementation de la sécurité.

La chaîne de magasins de chaussures Manfield a utilisé un système d'autorisation de lecture des doigts, qui a permis aux employés d'accéder à une caisse enregistreuse.

Selon Manfield, l'utilisation de l'identification digitale était le seul moyen d'accéder au système de caisse enregistreuse. Il était nécessaire, entre autres, de protéger les informations financières et les données personnelles des employés. Les autres méthodes n'étaient plus qualifiées et susceptibles de fraude. L'une des employées de l'organisation s'est opposée à l'utilisation de son empreinte digitale. Elle a considéré cette méthode d'autorisation comme une violation de sa vie privée, se référant à l'article 9 du RGPD. Selon cet article, le traitement des données biométriques aux fins de l'identification unique d'une personne est interdit.

Nécessité

This prohibition does not apply where the processing is necessary for authentication or security purposes. Manfield’s business interest was to prevent loss of revenue due to fraudulent personnel. The Subdistrict Court rejected the employer’s appeal. Manfield’s business interests did not make the system ‘necessary for authentication or security purposes’, as stipulated in Section 29 of the GDPR Implementation Act. Of course, Manfield is free to act against fraud, but this may not be done in violation of the provisions of the GDPR. Furthermore, the employer had not provided its company with any other form of security. Insufficient research had been carried out into alternative authorization methods; think of the use of an access pass or numerical code, whether or not a combination of both.  The employer had not carefully measured the advantages and disadvantages of different types of security systems and could not sufficiently motivate why he preferred a specific finger scan system. Mainly because of this reason, the employer did not have the legal right to require the use of the fingerprint scanning authorization system on his staff on the basis of the GDPR Implementation Act.

Si vous souhaitez introduire un nouveau système de sécurité, il faudra évaluer si ces systèmes sont autorisés en vertu du RGPD et de la loi de mise en œuvre. Si vous avez des questions, veuillez contacter les avocats au Law & More. Nous répondrons à vos questions et vous fournirons une assistance juridique et des informations.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

ECLI: NL: RBAMS: 2019: 6005

Partager