Introduction
L’entrée en vigueur le 1er septembre 2023 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD) et de son ordonnance du 31 août 2022 (OPDo) va entraîner, pour les employeurs qui traitaient déjà les données biométriques de leurs employés, de nécessaires et substantielles adaptations. Pour ceux, par contre, qui pensent se mettre à ce genre de traitement à l’avenir, elle est l’occasion de faire le point sur les contraintes spécifiques qu’il entraîne.
Les données biométriques
En droit européen, sont des données biométriques, les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques (art. 4 ch. 13 RGPD).
Les données biométriques constituent une catégorie particulière de données à caractère personnel. Elles sont, de par leur nature, particulièrement sensibles car leur traitement peut représenter des risques significatifs pour les libertés et les droits fondamentaux des personnes. Leur traitement est donc interdit (art. 9.1 RGPD), sous réserve des hypothèses où l’une des conditions de l’art. 9.2 RGPD serait remplie (consentement explicite, sauvegarde des intérêts vitaux, exécution des obligations et exercice des droits en matière de droit du travail, etc.)
En droit suisse, sont notamment des données personnelles sensibles (données sensibles) les données biométriques identifiant une personne physique de manière univoques (art. 5 let. c ch. 4 nLPD). La notion ne figurait pas dans l’ancien droit, et est donc introduite par la nLPD.
Par données biométriques, on entend les données personnelles résultant d’un traitement technique spécifique et relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique qui permettent ou confirment son identification unique. Il s’agit par exemple des empreintes digitales, des images faciales, de l’iris, ou encore de la voix. Ces données doivent impérativement résulter d’un traitement technique spécifique qui permet l’identification ou l’authentification unique d’un individu. Tel ne sera en principe pas le cas, par exemple, de simples photographies.[1]
On peut aussi penser à d’autres technologies biométriques, comme l’analyse du réseau veineux, la reconnaissance du visage (2D ou 3D), celle de la rétine ou de la forme de l’oreille, l’analyse de la démarche ou de la posture (biométrie comportementale), et d’autres encore tant la technologie évolue vite dans ce domaine, à tel point que l’on commence d’ailleurs à voir des techniques biométriques d’analyse des émotions.[2]
On voit donc que la définition de la donnée biométrique, en droit suisse, est proche, si ce n’est similaire à celle du droit européen, mais elle n’en tire toutefois pas les mêmes conséquences.
En effet, son traitement n’est ainsi pas interdit par principe, mais fait l’objet de dispositions qualifiées qui concernent les données sensibles en général, d’une part, et les analyses différenciées des traitements selon le risque encouru d’autre part.
Le traitement de données biométriques devra naturellement aussi respecter les dispositions et principes ordinaires du droit de la protection des données, applicables par le renvoi de l’art. 328b CO (licéité, transparence et proportionnalité du traitement ; respect des finalités du traitement ; information ; droit d’accès, etc.) On soulignera ici, sans s’y attarder davantage, l’importance du test de proportionnalité, comme souvent en matière de droit de la protection des données, et d’une information préalable exhaustive et de bonne foi (art. 6 al. 2 et 19 nLPD).
Le traitement de données biométriques
Les données biométriques peuvent être traitées pour différentes fins dont, en premier lieu, la vérification et l’identification des personnes concernées, mais pas seulement.
Elles soulèvent notamment les questions spécifiques suivantes :
Lorsque le consentement de la personne concernée est requis, celle-ci ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée (art. 6 al. 6 nLPD). Le consentement doit toutefois être exprès notamment s il s’agit d’un traitement de données sensibles (art. 7 let. a nLPD ; ce qui inclut les données biométriques).[3]
Le consentement devant être libre et éclairé, il est – dans le cadre des rapports de travail – une notion difficile à manier en raison de l’inégalité structurelle du rapport entre les parties.[4] On en retiendra donc généralement qu’il ne pourra pas être retenu s’il sert de base à un traitement en défaveur de l’employé.
De la même manière, lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable de traitement procèdera au préalable à une analyse d’impact (art. 22 al. 1 nLPD). Il y aura notamment un « risque élevé » au sens de ce qui précède en cas de traitement de données sensibles à grande échelle (art. 22 al. 2 let. a nLPD), ce qui sera généralement le cas lors d’un traitement de données biométriques par un employeur.
L’analyse d’impact contient une description du traitement envisagé, une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée, ainsi que les mesures prévues pour protéger ceux-ci (art. 22 al. 3 nLPD). Si, après l’analyse d’impact, un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée subsiste, le Préposé fédéral à la Protection des données et à la Transparence (PFPDT, art. 43 ss nLPD) devra être consulté, à moins que le responsable de traitement n’ait en son sein un conseiller à la protection des données au sens de l’art. 10 nLPD.
A teneur de l’art. 7 nLPD, le responsable du traitement est aussi tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données. Il le fait dès la conception du traitement (Privacy by design). Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l’état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées. Les risques spécifiques posés par les données biométriques doivent donc être pris en compte dès l’origine du traitement.
De la même manière, les responsables du traitement et les sous-traitants devront assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru (art. 8 al. 1 nLPD). Les mesures doivent permettre d’éviter toute violation de la sécurité des données, soit toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé, et ce indépendamment de la question de savoir si la violation est intentionnelle ou non, licite ou illicite (art. 8 al. 2 et 5 let. h nLPD ; art. 1 ss OPDo).
Les mesures peuvent viser par exemple à pseudonymiser des données, à les crypter, à assurer la confidentialité et la disponibilité du système ou de ses services, ou encore à élaborer des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures prises.
L’OPDo contient à ce sujet des prescriptions qui concrétisent l’obligation de sécurité, dont la nécessité d’établir un règlement de traitement si des données personnelles sensibles sont traitées à grande échelle de manière automatisée (art. 5 OPDo) et les obligations de journalisation de l’art. 4 OPDo.
Ainsi, le responsable du traitement privé et son sous-traitant privé établissent un règlement pour les traitements automatisés en cas de traitement de données sensibles à grande échelle, ou de profilage à risque élevé (art. 5 al. 1 OPDo). Le règlement comprend en particulier des informations sur l’organisation interne, sur les procédures de traitement et de contrôle des données, ainsi que sur les mesures visant à garantir la sécurité des données. Il est actualisé régulièrement.
Il est à noter que même si on ne doit pas établir un règlement de traitement spécial sur les données biométriques au sens de ce qui précède, un règlement général de protection des données est de toute façon recommandé pour la mise en œuvre des mesures techniques et organisationnelles, qui précisera comment les données personnelles sont traitées au sein de l’entreprise, quelles sont les compétences, etc. Ces directives doivent être effectivement appliquées : les collaborateurs doivent être rendus attentifs à leurs obligations par le biais de formations et d’entraînements appropriés et être soutenus dans leur mise en œuvre.
Par ailleurs, lors de traitements automatisés de données sensibles à grande échelle ou de profilage à risque élevé, et lorsque les mesures préventives ne suffisent pas à garantir la protection des données, le responsable du traitement privé et son sous-traitant privé journalisent au moins l’enregistrement, la modification, la lecture, la communication, l’effacement et la destruction des données. La journalisation est notamment nécessaire lorsque, sans cette mesure, il n’est pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées (art. 4 al. 1 OPDo). La journalisation doit fournir des informations sur l’identité de la personne qui a effectué le traitement, la nature, la date et l’heure du traitement et, cas échéant, l’identité du destinataire des données (art. 4 al. 4 OPDo). Les procès-verbaux de journalisation sont conservés durant au moins un an, séparément du système dans lequel les données personnelles sont traitées. Ils sont accessibles uniquement aux organes et aux personnes chargés de vérifier l’application des dispositions relatives à la protection des données personnelles ou de préserver ou de restaurer la confidentialité, l’intégrité, la disponibilité et la traçabilité des données, et ne peuvent être utilisés qu’à cette fin (art, 4 al. 5 OPDo).
Ces différentes dispositions (art. 8 nLPD ; 1 ss OPDo) matérialisent en fait une approche fondée de la sécurité fondée sur les risques. Ainsi plus le risque d’une atteinte à la sécurité des données est élevé, plus les exigences auxquelles doivent répondre les mesures à prendre seront élevées.
[1] Message du 15 septembre 2017concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales, FF 6565, 6641
[2] Information Commissioner’s Office (UK), Biometrics : insight, version 1.0
[3] Une déclaration de volonté est ainsi expresse lorsqu’elle est formulée oralement, par écrit ou par un signe, et qu’elle découle directement des mots employés ou du signe en question. Une déclaration de volonté en tant que telle doit donc manifester clairement la volonté dans sa forme même. Par ailleurs, lorsqu’un consentement exprès est requis, il ne peut pas être tacite. (Message du 15 septembre 2017concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales, FF 6565, 6648)
[4] Autorité de protection des données (BE), Recommandation relative au traitement de données biométriques, version 1.1, 1er décembre 2021, p. 24
Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)
Le droit du travail et de la protection des données en Suisse 