Protection renforcée des données biométriques : la Nouvelle-Zélande adopte un code dédié

Dans cet article, David Alizade (Lexing Nouvelle-Zélande) analyse le nouveau Code sur le traitement des données biométriques néo-zélandais, qui instaure des règles spécifiques pour les entreprises et les organisations qui collectent, utilisent et traitent des données biométriques.

L’utilisation croissante des technologies biométriques (reconnaissance faciale, empreintes digitales, etc.) par les entreprises néo-zélandaises pour améliorer l’efficacité, l’authentification et la sécurité (procédure de vérification des clients, accès aux locaux, sécurité des paiements…) soulève des préoccupations majeures en matière de surveillance et de profilage. Les informations biométriques sont considérées comme particulièrement sensibles et irremplaçables, car elles ne peuvent pas être modifiées en cas de compromission.

Pour répondre à ces risques, le Commissaire à la protection de la vie privée (Privacy Commissioner) de Nouvelle-Zélande a introduit le Code sur le traitement des données biométriques (Biometric Processing Privacy Code).

Ce Code, juridiquement contraignant en vertu de la loi sur la vie privée de 2020 (Privacy Act 2020)

est entré en vigueur le 3 novembre 2025 pour les nouveaux traitements (traitements débutant à partir de ce date) ;
et entrera pleinement en vigueur le 3 août 2026 pour les systèmes existants (traitements déjà en cours avant le 3 novembre 2025).

Il impose à toutes les organismes qui collecte, utilisent, conservent ou traitent des données biométriques des obligations plus strictes et spécifiques que celles déjà prévues par la loi sur la vie privée.

Principales obligations du nouveau Code sur les traitements des données biométriques

Le Code s’articule autour de trois piliers principaux :

nécessité : avant toute collecte de données biométriques, les entreprises sont tenues d’effectuer un test de proportionnalité rigoureux. Elles doivent prouver que le traitement est licite, efficace, qu’aucune alternative moins intrusive n’est raisonnablement disponible, et qu’elles ont évalué les risques pour la vie privée (y compris l’impact culturel sur les Maoris) par rapport aux avantages attendus. Des garanties appropriées (par exemple en termes de consentement, de sécurité ou encore de non-participation (opt-out)) doivent être mises en place.
transparence: les entreprises doivent notamment informer, avant la collecte, les personnes concernées de manière claire et visible (par exemple, par voie d’affichage), des raisons pour lesquelles leurs données sont collectées et de la manière dont elles seront utilisées, de l’existence d’alternatives (code PIN, mot de passe), de la durée pendant laquelle les données seront conservées, de leurs droits d’accès et de suppressions à l’égard des données les concernant, et de leur droit d’introduire, le cas échéant une réclamation.
restrictions d’utilisation : le Code interdit certaines utilisations des données biométriques considérées comme à haut risque, notamment l’analyse des émotions pour en déduire l’état mental ou les intentions, le profilage biométrique sauf dans des cas spécifiques et limités) et l’inférence de caractéristiques personnelles (telles que la race ou l’origine ethnique) protégées par la loi sur les droits de l’homme de 1993 (Human Rights Act 1993).

Conclusion et recommandations

Le Code sur le traitement des données biométriques ne remplace pas la loi sur la vie privée ; il la complète en introduisant des règles claires et spécifiques pour les données biométriques, qui sont une catégorie de données à haut risque. Les organisations doivent donc de conformer à ces deux textes.

Les entreprises sont invitées à :

auditer leurs usages, en inventoriant et en cartographiant tous les traitements actuels et envisagés impliquant des données biométriques ;
appliquer le test de proportionnalité, pour vérifier que chaque traitement est licite, nécessaire et proportionné aux risques ;
mettre à jour leur documentation (politiques de confidentialité, politiques internes etc.) en conséquence ;
renforcer la sécurité et les procédures pour l’exercice des droits des personnes concernées (mettre en place des mécanismes de consentement ou de retrait, sécuriser davantage les données, minimiser leur durée de stockage) ;
respecter les échéances : s’assurer que tout projet impliquant des données biométriques mis en place depuis le 3 novembre 2025 est conforme au Code, et que les projets déjà existants avant le 3 novembre 2025 seront conformes au plus tard le 3 août 2026.

Pour en savoir plus

Pour en savoir plus, vous pouvez lire l’article complet (en anglais) de Lexing Nouvelle-Zélande.

Lire l’article complet

Notre conseil :

Pour en savoir plus, vous pouvez contacter Lexing Nouvelle-Zélande.

Imprimer
Partager

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.