Montrer «patte blanche» pour entrer au fitness, à la piscine et même à l’école ou à l’usine: la presse signale de plus en plus de cas où le relevé des empreintes digitales remplace une simple carte d’accès. Un procédé qui heurte certaines sensibilités, à en croire plusieurs réactions parvenues à la permanence juridique de Bon à Savoir. Une pratique qui n’a pas non plus l’heur de plaire au préposé fédéral à la protection des données (PFPDT), qui vient de remporter une victoire dans ce domaine devant le Tribunal administratif fédéral.
Voici l’affaire qui vient d’être jugée (1). Un centre de sport schaffhousois a introduit un système d’accès par empreintes digitales, dans le but de lutter contre l’utilisation frauduleuse de cartes d’abonnement. Ces empreintes se trouvaient ainsi stockées dans une banque de données centrale.
Saisi de plusieurs réclamations de la clientèle, le PFPDT a fait un contrôle, qui concluait à une violation de la législation sur la protection des données. En effet, le stockage d’empreintes par un centre de sport n’est pas conforme au principe de la proportionnalité. Autrement dit, la conservation de telles données sensibles n’est pas nécessaire pour atteindre le but poursuivi, à savoir le contrôle de l’accès aux installations. Au-delà de ce constat, l’autorité fédérale a fait des propositions pour répondre aux exigences légales: offrir une solution non biométrique (carte d’entrée ordinaire) et renoncer au stockage central des empreintes. Celles-ci pourraient en revanche figurer sur une carte à puce en possession de l’utilisateur. Le système de contrôle ne ferait alors que comparer les informations de la carte à l’empreinte apposée sur un scanner à l’entrée.
Victoire en justice
Ces solutions ont été rejetées par le centre sportif, ce qui a amené le PFPDT à saisir le tribunal. Après sa victoire en justice, l’autorité fédérale de surveillance recommande la prudence dans le recours à la biométrie. Face à de tels procédés, les clients d’installations de loisirs, les élèves d’une école ou les employés d’une entreprise ne doivent pas hésiter à faire valoir leurs droits. Principalement:
- Exiger des informations précises sur la technique utilisée pour le traitement des données.
- S’assurer que les empreintes ne sont pas stockées, ce qui serait disproportionné, sauf cas particuliers (par exemple le contrôle de l’accès à une fabrique de lingots d’or...).
- Exiger une solution de rechange, sauf cas particuliers.
En cas de violation de ses droits, le client ou l’employé peut s’adresser au PFPDT, qui n’a cependant pas la compétence de défendre une personne en particulier. Il agira à condition qu’un cercle important de personnes soit concerné (comme dans l’affaire du centre de sport schaffhousois). Quant aux élèves d’une école publique, ils peuvent prendre contact avec la commission cantonale de protection des données (2). Et, dans tous les cas, il reste l’ultime recours à la justice, pour violation de la loi sur la protection des données.
Suzanne Pasquier
(1)Tribunal administratif fédéral, jugement du 4 août 2009, A-3908/2008
(2) Adresses sur le site du PFPDT: www.edoeb.admin.ch –> Le PFPDT –> liens
