[Digital Business Africa – Avis d’expert] – La donnée personnelle est toute information indépendamment de son support (y compris le son et l’image) qui permet d’identifier directement ou indirectement une personne physique ou toute information relative à une personne déjà identifiée. Parmi ces données, il existe une catégorie pour laquelle la loi n°2013-450 du 19 Juin 2013 relative à la protection des données personnelles exige des précautions particulières pour leur usage à cause du risque élevé. Il s’agit des données biométriques, génétiques, numéro d’identification…
En effet, les données biométriques sont des informations personnelles liées aux caractéristiques uniques et permanentes de l’être humain, qu’elles soient physiques, physiologiques ou associées au comportement. Ainsi, elles facilitent et garantissent l’identification et l’authentification d’un individu, au moyen de systèmes ou de procédures technologiques.
Une technologie basée sur la mesure de certains paramètres physiques ou comportementaux, qui sont stockés dans des algorithmes cryptés. De ce fait, il existe plusieurs dispositifs biométriques, à savoir les dispositifs « à traces » tels que les empreintes digitales et palmaires, les dispositifs « sans traces » tels que le contour de la main, le réseau veineux des doigts de la main. Ou les dispositifs biométriques dits «intermédiaires», à savoir la voix, l’iris de l’œil, ou la forme du visage.
Parlant du cadre juridique, la loi n°2013- 450 du 19 juin 2013 relative à la protection des données à caractère personnel en son article 7 soumet le traitement des données biométriques à une autorisation préalable et inclut le traitement des données biométriques dans une catégorie spéciale et autorise leur utilisation uniquement dans certaines circonstances.
Par ailleurs, les articles 14 à 20 et 39 à 41 exigent le respect des principes de la légitimité, de la finalité, de la proportionnalité, de la transparence, de la conservation limitée, et de la sécurité.
En Côte d’Ivoire, conformément au décret n°2018-454 du 09 mai 2018 relatif au Registre National des Personnes Physiques, l’authentification des données biographiques et biométriques relèvent de la compétence exclusive de l’ONI.
Ainsi, l’article 4 du décret précité impose aux administrations et entreprises privées détenant des bases de données biométriques de les communiquer à l’ONECI. Il en résulte que la constitution et la détention de base de données biométriques par toute entité autre que l’ONECI est interdite. Conditions de mise en place d’un système biométrique Pour mettre en place un système biométrique, la loi exige qu’il faut justifier d’un besoin spécifique (Article 16 Loi DCP), s’assurer que la finalité du traitement soit limitée au contrôle de l’accès d’un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme tel que la protection de l’intégrité physique des personnes, de celle des biens et des installations ou encore de celles de certaines information.
Par ailleurs, il est capital de laisser la personne libre d’y recourir ou de choisir un dispositif alternatif.
Autrement dit, l’utilisateur doit pouvoir librement choisir d’utiliser le dispositif biométrique ou non. D’autres conditions exigent que l’utilisateur ait reçu une information individuelle renforcée sur le dispositif biométrique et son alternative [consentement « éclairé »] ; qu’il puisse choisir d’utiliser un autre mode d’authentification (simple badge ou mot de passe), sans contrainte additionnelle, ni incitation ou contrepartie particulière [consentement « libre »].
Ou encore que son accord porte spécifiquement sur l’authentification biométrique. Cet accord ne doit pas être dilué dans une acceptation générale des conditions d’utilisation du service [consentement « spécifique »].
La notion de consentement de l’utilisateur est aussi importante. Elle doit être recueillie par écrit et conservé. Pour finir, il y a la sécurité du traitement et de la conservation des traces biométriques relevées
En la matière, plusieurs risques sont encourus. D’où la protection de l’identité de l’utilisateur. Cela permet de prévenir l’usurpation d’identité ou la fraude documentaire. Des alternatives sont prévues à savoir : faire usage du pointage électronique par carte couplé à un dispositif de vidéosurveillance, utiliser des digicodes ou Maintenir les données biométriques sous le contrôle exclusif de la personne concernée pour des finalités autres que le contrôle du temps de travail.
Source : ARTCI