La Commission nationale contre la violence, le racisme, la xénophobie et l’intolérance dans le sport (la Commission) souhaitait installer des systèmes d’identification biométrique à l’entrée des stades de sport afin d’identifier de manière univoque les supporters de football. Elle demande à l’autorité espagnole de protection des données (APD ; Agencia Española de Protección de Datos) de se déterminer sur la conformité du traitement envisagé avec le RGPD.

Selon la Commission, la base juridique du traitement était l’art. 6 par. 1 let. e RGPD, soit un traitement nécessaire à l’exécution d’une mission d’intérêt public, en l’occurrence  la sécurité et l’intégrité des personnes assistant aux match de football, ainsi que la prévention de violations des droits fondamentaux sous la forme de crimes haineux et de discrimination. En outre, la Commission s’est appuyée sur l’article 9 par. 2 let. g RGPD [traitement nécessaire pour des motifs d’intérêt public important].

L’APD, dans un avis 0098/2022, considère que l’installation de systèmes d’identification biométrique constituerait un traitement de catégories particulières de données au sens de l’art. 9 RGPD. L’APD a rappelé la définition des « données biométriques », à savoir « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (art. 4 ch. 14 RGPD).

L’APD a souligné la nécessité de faire la distinction entre l’identification biométrique et l’authentification biométrique, telles que définies par le Groupe de travail Article 29 dans l’Avis 3/2012 sur les développements des technologies biométriques. Selon cet avis, l’identification biométrique signifie l’identification d’un individu en comparant les données biométriques acquises au moment de l’identification à un certain nombre de modèles biométriques stockés dans une base de données, tandis que l’authentification biométrique signifie la vérification d’un individu en comparant les données biométriques acquises au moment de la vérification à un modèle biométrique unique stocké dans un dispositif. Dans son évaluation, l’autorité chargée de la protection des données s’est appuyée sur les lignes directrices 05/2022 de l’EDPB relatives à l’utilisation de la technologie de reconnaissance faciale dans le domaine de la répression, qui confirment que les deux techniques constituent un traitement de catégories particulières de données au sens de l’art. 9 RGPD. L’APD a manifesté son inquiétude face à la prolifération des systèmes d’identification biométriques, qui sont considérés comme particulièrement intrusifs pour les droits et libertés des personnes concernées.

En ce qui concerne la base juridique envisagée, l’autorité chargée de la protection des données a noté que l’art. 9 par. 2 let. g RGPD fait référence à un intérêt public important, par opposition à l’intérêt public (standard) contenu dans d’autres dispositions. Par conséquent, selon l’APD, l’interprétation de l’intérêt public doit être plus restrictive dans  cette hypothèse.

 L’APD s’est référée à la Cour constitutionnelle espagnole, qui a statué que toute limitation du droit à la protection des données doit être énoncée dans la loi et exister avant tout traitement. En outre, un objectif légitime poursuivi par l’intérêt public ne peut être défini par des concepts généraux, indéterminés ou vagues et la limitation doit être proportionnée à l’objectif poursuivi. À cet égard, l’ADP a conclu qu’une telle loi n’existait pas dans en Espagne. La loi mentionnée par la Commission (article 13, paragraphe 1, de la loi contre la violence, le racisme, la xénophobie et l’intolérance dans le sport) n’identifiait pas un intérêt public substantiel invoqué et ne contenait pas de règles spécifiques, pas plus qu’elle ne prévoyait de mesures appropriées et spécifiques pour sauvegarder les droits et intérêts fondamentaux des personnes concernées. Par ailleurs si la disposition faisait référence aux systèmes de vérification de l’identité, elle ne mentionnait pas la possibilité spécifique d’utiliser des systèmes biométriques.

Par conséquent, l’autorité chargée de la protection des données a conclu que le traitement envisagé, tel que décrit par la Commission, ne pouvait pas s’appuyer sur la base juridique de l’art. 9 par. 2 RGPD.

(Décision originale : https://www.aepd.es/es/documento/2022-0098.pdf; présentée et traduite (angl : https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_0098/2022&mtc=today).

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)