Dans cette ère moderne dans laquelle nous vivons aujourd'hui, il est de plus en plus courant d'utiliser les empreintes digitales comme moyen d'identification, par exemple: déverrouiller un smartphone avec un balayage des doigts. Mais qu'en est-il de la vie privée lorsqu'elle n'a plus lieu dans une affaire privée où existe un volontarisme conscient? L'identification des doigts liée au travail peut-elle être rendue obligatoire dans le contexte de la sécurité? Une organisation peut-elle imposer à ses employés l'obligation de remettre leurs empreintes digitales, par exemple pour l'accès à un système de sécurité? Et comment cette obligation est-elle liée aux règles de confidentialité?
Les empreintes digitales en tant que données personnelles spéciales
La question que nous devons nous poser ici est de savoir si une analyse digitale s'applique en tant que données personnelles au sens du règlement général sur la protection des données. Une empreinte digitale est une donnée biométrique à caractère personnel résultant d'un traitement technique spécifique des caractéristiques physiques, physiologiques ou comportementales d'une personne. [1] Les données biométriques peuvent être considérées comme des informations relatives à une personne physique, car ce sont des données qui, de par leur nature, fournissent des informations sur une personne en particulier. Au moyen de données biométriques telles qu'une empreinte digitale, la personne est identifiable et peut être distinguée d'une autre personne. À l'article 4 du RGPD, cela est également explicitement confirmé par les dispositions relatives à la définition. [2]
L'identification des empreintes digitales est une violation de la vie privée?
Le tribunal de sous-district Amsterdam a récemment statué sur l'admissibilité d'un lecteur d'empreintes digitales en tant que système d'identification basé sur le niveau de réglementation de la sécurité.
La chaîne de magasins de chaussures Manfield a utilisé un système d'autorisation de lecture des doigts, qui a permis aux employés d'accéder à une caisse enregistreuse.
Selon Manfield, l'utilisation de l'identification digitale était le seul moyen d'accéder au système de caisse enregistreuse. Il était nécessaire, entre autres, de protéger les informations financières et les données personnelles des employés. Les autres méthodes n'étaient plus qualifiées et susceptibles de fraude. L'une des employées de l'organisation s'est opposée à l'utilisation de son empreinte digitale. Elle a considéré cette méthode d'autorisation comme une violation de sa vie privée, se référant à l'article 9 du RGPD. Selon cet article, le traitement des données biométriques aux fins de l'identification unique d'une personne est interdit.
Nécessité
Cette interdiction ne s'applique pas lorsque le traitement est nécessaire à des fins d'authentification ou de sécurité. L'intérêt commercial de Manfield était d'éviter la perte de revenus due à un personnel frauduleux. Le tribunal de district a rejeté l'appel de l'employeur. Les intérêts commerciaux de Manfield n'ont pas rendu le système `` nécessaire à des fins d'authentification ou de sécurité '', comme le stipule l'article 29 de la loi de mise en œuvre du RGPD. Bien entendu, Manfield est libre d'agir contre la fraude, mais cela ne peut être fait en violation des dispositions du RGPD. En outre, l’employeur n’avait fourni à son entreprise aucune autre forme de garantie. Des recherches insuffisantes ont été menées sur d'autres méthodes d'autorisation; pensez à l'utilisation d'un laissez-passer ou d'un code numérique, qu'il s'agisse ou non d'une combinaison des deux. L'employeur n'avait pas mesuré soigneusement les avantages et les inconvénients des différents types de systèmes de sécurité et ne pouvait pas suffisamment expliquer pourquoi il préférait un système de lecture digitale spécifique. Principalement pour cette raison, l'employeur n'avait pas le droit légal d'exiger l'utilisation du système d'autorisation de numérisation d'empreintes digitales sur son personnel sur la base de la loi de mise en œuvre du RGPD.
Si vous souhaitez introduire un nouveau système de sécurité, il faudra évaluer si ces systèmes sont autorisés en vertu du RGPD et de la loi de mise en œuvre. Si vous avez des questions, veuillez contacter les avocats au Law & More. Nous répondrons à vos questions et vous fournirons une assistance juridique et des informations.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005