- Les explications du PFPDT exigent un traitement approprié et lié à un but précis, ainsi que la protection des données d’identification vocale contre tout accès non autorisé.
- Le stockage centralisé des données biométriques est disproportionné dans le domaine des loisirs ; les jetons (par ex. les cartes à puce) sont recommandés comme alternative.
- Le consentement est souvent exigé par le PFPDT, mais il n’est pas requis de manière générale en droit suisse ; pas d’obligation légale d’interdiction de couplage.
Le PFPDT a publié le 20 avril 2017 Explications sur les procédures d’identification des votes c’est-à-dire les procédures biométriques qui identifient les personnes par leur voix. Selon les explications, les points suivants doivent notamment être respectés :
- Le traitement des données ne doit être effectué qu’avec des moyens nécessaires et appropriés au regard de la finalité poursuivie et le système doit être protégé contre tout accès non autorisé.
- Dans le domaine des loisirs, une stockage centralisé des données biométriques est disproportionnée : Comme la personne à vérifier est présente, elle peut s’identifier à l’aide d’un jeton (par exemple une carte à puce) sur lequel ses données biométriques sont enregistrées.
- En revanche, le stockage centralisé de données biométriques est autorisé pour la protection de données secrètes (par exemple dans le domaine des télécommunications ou de la banque), en particulier pour les applications où l’authentification se fait à distance, c’est-à-dire par téléphone ou en ligne. Les personnes concernées doivent cependant être informées au préalable et une alternative au système de reconnaissance biométrique doit leur être proposée. Il faut en outre une consentement explicite et volontaire dans le traitement des données.
Le PFPDT a publié un rapport sur les systèmes de reconnaissance biométrique. Guide avec un complément sur le stockage des données dont il est question ici.
Il n’est pas clair – comme c’est le cas pour de nombreuses explications du PFPDT – pourquoi, en principe, une Consentement est exigée. En droit suisse de la protection des données, on sait qu’une justification n’est pas nécessaire tant qu’il n’y a pas d’élément constitutif de l’art. 12 LPD, c’est-à-dire en particulier tant que les principes généraux de traitement sont respectés. Cela vaut même si les données biométriques devaient être particulièrement sensibles, comme le propose l’avant-projet de LPD (de lege lata, les données biométriques ne sont pas en principe sensibles, contrairement à une Déclaration du PFPDT il y a quelques années). Même le Guide du PFPDT sur les systèmes de reconnaissance biométrique n’exige pas systématiquement un consentement. Pour plus d’informations, voir le Site web du PFPDT et sur de ce site web.
Si un consentement est nécessaire dans un cas concret, il doit en outre, de lege lata pas explicitement doit être. Il faut également rejeter l’idée qu’il faut une Alternative être proposée. Cette exigence repose sur l’idée d’une interdiction de couplage qui n’existe pas sous cette forme en Suisse et qui ne devrait pas non plus être justifiée par le droit de la protection des données, mais plutôt – si c’est le cas – par le droit des cartels ou le long de la jurisprudence relative à l’obligation de contracter en droit des obligations. Même l’avant-projet de la nouvelle LPD ne prévoit pas, à juste titre, d’interdiction de couplage, bien qu’elle aurait pu être justifiée ici en s’appuyant sur le RGPD.