Vers un règlement-type de l’usage de la biométrie en Côte d’Ivoire ?

Courant le mois de juin 2024, un communiqué de l’Autorité de Protection des données à caractère personnel de Côte d’Ivoire (ARTCI) a mis en lumière un problème croissant : l’utilisation de la biométrie comme moyen de contrôle d’accès et de présence des employés dans les secteurs public et privé. L’ARTCI par ce communiqué, rappelle que cette pratique doit être en conformité avec la Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, qui vise à protéger les libertés et la vie privée des citoyens.

L’argument principal de l’ARTCI est que l’utilisation de la biométrie est souvent disproportionnée par rapport aux objectifs poursuivis par les entreprises et institutions. La collecte et le traitement des données biométriques, qui comprennent des informations extrêmement sensibles comme les empreintes digitales, les scans rétiniens ou les reconnaissances faciales, doivent être justifiés par une nécessité impérieuse et proportionnée.

Pour saisir la portée de ce communiqué qui tient lieu d’avertissement et de mise en demeure, il est utile d’analyser le régime juridique des données sensibles et notamment de la Biométrie et d’envisager les bonnes pratiques à mettre en œuvre par les employeurs ivoiriens.

La Biométrie dans la réglementation ivoirienne sur la protection des données à caractère personnel

La Biométrie est ce procédé de vérification de l’identité et d’authentification d’un individu qui utilise des caractéristiques uniques inhérentes à sa personne (visage, démarche, empreinte digitale, voix etc…). Parce que cela relève d’informations très personnelles, voire intimes, sur les individus, ce procédé est généralement inclus dans la liste des données sensibles à savoir :

Les origines raciales ou ethniques.
Les opinions politiques.
Les croyances religieuses ou philosophiques.
L’appartenance syndicale.
Les données génétiques et biométriques utilisées pour identifier une personne de manière unique.
Les données concernant la santé.
Les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne.

Ces données ne peuvent donc faire l’objet de traitement ou de collectes que dans un cadre très restrictif prévu par la loi.

Ainsi l’article 7 de la Loi ivoirienne n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel prévoit notamment que le traitement des données à caractère personnel comportant des données biométriques fasse d’objet d’une autorisation préalable avant toute mise en œuvre.

En effet, s’agissant de la Biométrie, selon la règlementation ivoirienne, son recours doit être préalablement autorisé par l’Autorité de Protection ivoirienne (ARTCI) et lorsque ce sera le cas, se conformer aux principes intrinsèques à tout traitement de donnée personnelle à savoir les principes de licéité, de transparence, de proportionnalité, de limitation de la conservation, d’intégrité et confidentialité, de responsabilité, de respect des droits de la personne concernée.

C’est donc sans surprise que l’Autorité de Protection ivoirienne a rappelé que l’utilisation de la Biométrie sans autorisation préalable est interdite et a averti que son utilisation pour accéder au lieu de travail et/ou pour contrôler le temps de présence était disproportionnée par rapport à la finalité.

La posture de l’Autorité de Protection ivoirienne est parfaitement compréhensible dans la mesure où les employeurs ayant recours à ce procédé ne justifient pas du caractère impératif de l’usage de la Biométrie dans ce cas précis, alors qu’il existe d’autres moyens moins invasifs de contrôler l’accès au lieu de travail.

Utilisation de la Biométrie : Bonnes Pratiques et Exemples internationaux

Le communiqué de l’ARTCI sur l’usage de la Biométrie pour accéder au lieu de travail et/ou contrôler le temps de présence entraîne une réflexion sur la question des bonnes pratiques en la matière et celle du rôle de l’Autorité de Protection qui est celui notamment d’élaborer des règles de conduite relatives au traitement et à la protection des données à caractère personnel (Cf Article 47 de la loi ivoirienne).

Les bonnes pratiques recommandées qui tiennent compte du contexte local sont d’ordre réglementaire et opérationnel comme ci-après :

Les entreprises devraient évaluer la proportionnalité de l’utilisation de la biométrie, en comparant les avantages de cette technologie avec les risques potentiels pour la vie privée.
Les employeurs devraient obtenir un consentement explicite de leurs employés pour l’utilisation de la biométrie, en fournissant des informations claires et détaillées sur la finalité de la collecte, la durée de conservation des données, les mesures de sécurité mises en place, et les droits des individus. Ce processus de consentement doit être bien documenté et les employés doivent avoir la possibilité de retirer leur consentement à tout moment sans subir de conséquences négatives.
L’employeur doit justifier de la mise en place de mesures de sécurité techniques et organisationnelles robustes pour protéger ces données et l’audit régulier des systèmes de traitement des données biométriques.
Les entreprises devraient limiter la collecte de données biométriques aux seuls cas où cela est absolument nécessaire, et explorer des alternatives moins invasives. Par exemple, la biométrie pourrait être réservée aux zones nécessitant une sécurité renforcée, tandis que d’autres méthodes d’authentification plus simples pourraient être utilisées ailleurs.
Par ailleurs, au titre des mesures alternatives, les responsables du traitement sont pourraient avoir recours aux alternatives non exhaustives suivantes :
- Utiliser des digicodes
- Maintenir les données biométriques sous le contrôle exclusif de la personne concernée pour des finalités autres que le contrôle du temps de travail
- Les Systèmes de Badges (à QR codes ou à Code-Barres)
- Les contrôles d’Accès Numériques (Mots de Passe et Codes PIN

Au total, à la lumière des quelques mesures alternatives évoquées, le recours à la biométrie pour le contrôle des temps de présence uniquement, est inapproprié voire proscrit.

En Europe, plusieurs pays ont mis en œuvre des pratiques exemplaires pour l’utilisation de la biométrie en conformité avec le RGPD :

La CNIL, l’autorité française de protection des données, comme le BfDI en Allemagne, imposent des lignes directrices strictes sur l’utilisation de la biométrie, strictement limité pour protéger les droits des employés, exigeant une justification rigoureuse et interdisant son usage pour le contrôle de la présence sauf en cas de nécessité avérée et après consultation avec l’autorité.

En France notamment, la CNIL a mis en place un Règlement Type sur la Biométrie.

Sur le continent américain, sans avoir de législation fédérale unique sur la protection des données équivalente à la loi ivoirienne ou au RGPD, des lois sectorielles existent aux Etats Unis, comme le Health Insurance Portability and Accountability Act (HIPAA) pour les données de santé et le Genetic Information Nondiscrimination Act (GINA) pour les données génétiques. Ces lois imposent des obligations strictes en matière de traitement des données sensibles.

Ces exemples montrent que la biométrie peut être utilisée de manière sécurisée et légale, mais uniquement lorsqu’elle est proportionnée, justifiée et encadrée par des mesures de protection maximales.

Certains pays africains tels que le Sénégal, le Maroc et le Kenya s’efforcent de mettre en place un cadre juridique pour protéger les données biométriques. En effet, ils ont commencé par une approche progressive, notamment par la sécurisation des documents d’identité avant de s’employer à approfondir la question liée à l’usage de la Biométrie en dehors des documents nationaux d’identité.

Notre conseil :

Le communiqué de l’ARTCI est un rappel important des risques associés à l’utilisation de la biométrie sans une régulation adéquate. En adoptant des pratiques inspirées du RGPD, telles que la minimisation des données, le consentement explicite, la proportionnalité, et la sécurité renforcée, les entreprises ivoiriennes peuvent non seulement se conformer à la législation locale, mais aussi garantir la protection des droits de leurs employés et la confidentialité de leurs données personnelles.

L’ARTCI, de son côté, pourrait envisager de fournir des lignes directrices plus détaillées comme un règlement type à l’instar de la CNIL relatif à la Biométrie ou d’autres traitements de données personnelles, et de promouvoir des audits réguliers pour assurer le respect de la loi. Car son communiqué tenant lieu d’avertissement et de mise en demeure, il n’est pas impossible que des sanctions interviennent après un contrôle de l’Autorité.

Mots clés : biométrie

Imprimer
Partager

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.