L'utilisation des données biométriques par les entreprises est de plus en plus répandue, tout comme la réponse législative et judiciaire concernant l'utilisation de la biométrie et les questions connexes de droit de la vie privée et de droit des contrats.
Les praticiens doivent aborder de manière proactive les risques juridiques connexes avec les clients, les employés et les fournisseurs tiers.
L'une des scènes les plus célèbres du film "Minority Report" montre le personnage de Tom Cruise, Jon Anderton, traversant un centre commercial alors que des scanners discrets utilisant la technologie de reconnaissance de l'iris sont en train de scanner son iris (et celui des autres clients). Les scanners identifient chaque personne individuellement afin de créer une expérience d'achat personnalisée par le biais de publicités ciblées sur écran vidéo que nous pouvons voir changer et bouger en même temps que Tom. Une technologie de fiction farfelue ? Au cours des 16 dernières années, les utilisations potentielles de la technologie biométrique ont augmenté.
Qu'est-ce que la biométrie ?
La biométrie mesure et analyse les caractéristiques physiques et comportementales uniques des personnes. Les nombreuses utilisations de la biométrie comprennent l'identification, les contrôles d'accès, les tests et de nombreuses autres applications commerciales en évolution rapide. Comme toute technologie, la biométrie présente à la fois de nombreuses applications bénéfiques pour les entreprises et les particuliers, et des risques juridiques.
Parmi les exemples de biométrie, citons l'ADN, les empreintes digitales, les globes oculaires, les iris et les rétines, les empreintes vocales, les empreintes de main et la géométrie faciale d'une personne, pour n'en citer que quelques-uns. Certains éléments biométriques, comme les empreintes digitales et les motifs des vaisseaux sanguins de la rétine, ne changent généralement pas avec le temps. D'autres, comme la géométrie faciale, peuvent changer avec le temps en raison de l'âge, de la maladie ou d'autres facteurs, et peuvent donc avoir un impact négatif sur la précision des données biométriques. L'unicité et la permanence potentielle de la biométrie sont avantageuses du point de vue de la sécurité, car elles permettent d'identifier et de distinguer les individus avec précision. De plus, vous n'avez pas à vous soucier d'oublier votre mot de passe biométrique.
Comment la biométrie est-elle utilisée dans les entreprises aujourd'hui ?
Les entreprises utilisent actuellement, et continueront d'utiliser, la biométrie (et les technologies connexes) dans une grande variété d'applications afin d'améliorer leurs processus commerciaux et les interactions avec leurs clients et employés, ainsi que leur confort et leur fiabilité. En voici quelques exemples :
La gestion de la main-d'œuvre. Pensez à une mise à jour moderne de la pointeuse pour les employés qui se connectent et quittent le travail. Au lieu de devoir faire la queue pour récupérer une carte de pointage, la poinçonner dans une machine à horodater, puis remettre la carte de pointage dans son emplacement, les lecteurs biométriques permettent aux travailleurs de simplement apposer leurs empreintes digitales sur un scanner biométrique d'empreintes digitales. Cela peut empêcher le poinçonnage par les pairs et le vol de temps, et accroître la responsabilité et la sécurité.
Hôpitaux. Bien que les violations de données relatives aux cartes de crédit fassent la une des journaux, les cas d'usurpation d'identité médicale et les erreurs commises par les médecins et le personnel hospitalier qui mélangent les dossiers des patients sont de plus en plus courants, coûteux et potentiellement mortels. Les technologies biométriques peuvent aider les hôpitaux et autres prestataires médicaux à éviter ces risques.
Le secteur bancaire. Le secteur bancaire a étudié et adopté les technologies biométriques afin de réduire les vols d'identité et d'améliorer l'efficacité et l'expérience du client dans le processus bancaire.
Commerce de détail. Les salons de bronzage, les clubs de santé ou d'autres entreprises similaires basées sur le modèle des membres permettent à leurs clients d'entrer et d'utiliser facilement les installations de l'entreprise en utilisant un scanner d'empreintes digitales à n'importe quel endroit de l'entreprise pour l'identification des clients.
Automobile. La biométrie peut être utilisée à la place des porte-clés pour entrer dans une voiture et l'utiliser, ou pour reconnaître si les facultés du conducteur sont affaiblies (par exemple, s'il est fatigué ou s'il envoie des SMS), ce qui pourrait mettre en danger les occupants du véhicule et les autres personnes et véhicules alentour.
Toutefois, si elles sont compromises, les mêmes caractéristiques et avantages de la biométrie présentent une menace potentielle pour le propriétaire des marqueurs biométriques et des risques pour les entreprises qui utilisent les données biométriques et en sont les gardiens.
Les données biométriques sont différentes des autres identifiants uniques utilisés pour accéder aux finances ou à d'autres informations sensibles. Par exemple, les numéros de sécurité sociale, lorsqu'ils sont compromis, peuvent être modifiés. En revanche, les données biométriques sont biologiquement uniques à l'individu ; par conséquent, une fois que leur intégrité est compromise, l'individu n'a aucun recours, est exposé à un risque accru d'usurpation d'identité et est susceptible de se retirer des transactions facilitées par les données biométriques..
Lois sur la confidentialité des informations biométriques
La confidentialité des informations biométriques est durablement ancrée dans la matrice des risques juridiques liés à la vie privée auxquels sont confrontés les entreprises et les particuliers, et fait l'objet d'un examen par les législateurs , les régulateurs étatiques et par d'autres gouvernements et régulateurs dans la communauté internationale.
Des législateurs étatiques ont envisagé, ou envisagent, de légiférer sur la confidentialité des informations biométriques. D'autres États ont envisagé, ou envisagent actuellement, une législation complète sur la confidentialité des informations biométriques, ou mentionnent actuellement certaines informations biométriques (par exemple, les empreintes digitales) dans leurs lois existantes. De nouvelles lois sont à l'étude, car les pouvoirs législatifs et judiciaires tentent de comprendre l'impact des PIF sur les particuliers et les entreprises aujourd'hui, et de déterminer si et comment les informations biométriques doivent être réglementées. "Le bien-être, la sécurité et la sûreté du public seront servis en réglementant la collecte, l'utilisation, la sauvegarde, la manipulation, le stockage, la conservation et la destruction des identifiants et des informations biométriques.. Ce concept fondamental est applicable et doit être pris en compte dans toutes les législations, compte tenu de la permanence unique des données biométriques.
Des problèmes commerciaux, juridiques et technologiques complexes que les législateurs doivent prendre en considération. Il est donc nécessaire de faire preuve d'un esprit critique et d'une rédaction réfléchie pour élaborer une législation . Les organismes de réglementation gouvernementaux, les organismes législatifs et les organismes de réglementation d'autres pays, ainsi que les rédacteurs de traités internationaux, ont examiné et continueront d'examiner des lois . Comme la plupart des législations relatives aux technologies, la législation continuera d'évoluer à mesure que le droit et la législation tenteront de rattraper les technologies en évolution rapide et l'impact de ces technologies sur la société dans notre communauté mondiale.
Conseils pratiques
Sans être exhaustif, voici quelques conseils pratiques à l'attention des entreprises et de leurs conseillers professionnels concernant l'utilisation des applications biométriques dans les processus commerciaux :
Élaborer des politiques écrites indiquant comment l'entreprise recueillera, utilisera, distribuera et détruira les données biométriques.
Respecter ces politiques écrites. Un juge, un arbitre ou un organisme de réglementation gouvernemental (ou les employés et les clients) n'apprécient pas que les politiques écrites d'une entreprise disent une chose, mais que les faits montrent qu'elle fait en réalité autre chose. Si vous avez besoin d'une perspective économique à ce sujet, considérez les sanctions statutaires accrues prévues par certaines lois lorsqu'il est établi qu'une entreprise a violé la loi intentionnellement ou par imprudence.
Informez et divulguez. De manière claire et concise, et conformément aux obligations légales, informez vos employés et vos clients de la manière dont vous traitez leurs données biométriques. Par exemple,
a. Combien de temps l'entreprise conservera-t-elle les données biométriques ?
b. Quand (et comment) les données biométriques seront-elles détruites ?
c. Les données biométriques seront-elles partagées avec (par exemple, traitées par) un fournisseur tiers ?
d. Comment les données biométriques seront-elles traitées si l'entreprise est vendue, ferme ou fait faillite ?
Sécuriser par cryptage les données biométriques au repos et en transit.
Limitez l'accès aux données biométriques. Si vous devez distribuer les données biométriques à un fournisseur tiers, rédigez avec soin et concision le contrat avec ce fournisseur tiers afin d'exprimer clairement les paramètres relatifs aux données biométriques.
Envisagez de stocker moins de 100 % de l'ensemble des données biométriques d'une personne (c'est-à-dire seulement une partie suffisante de l'ensemble des données pour confirmer une correspondance exacte entre la personne et son ensemble de données biométriques afin de répondre au besoin de l'entreprise d'utiliser les informations biométriques).
Envisagez, lorsque cela est possible, de demander aux employés et aux clients d'utiliser l'authentification à deux facteurs en conjonction avec les informations biométriques. Utilisez les données non biométriques (second facteur) pour randomiser les informations biométriques qui ne sont authentifiées que lorsque les informations biométriques et le second facteur sont présents.
Traitez de manière appropriée vos obligations légales et statutaires concernant les données biométriques dans tous vos contrats avec vos clients, dans les contrats avec vos fournisseurs accédant ou traitant des données biométriques pour lesquels vous êtes le gardien de ces données, et dans les politiques et manuels de vos employés.
L'application de ces conseils pratiques peut varier en fonction de l'entreprise et des lois applicables, et ne constitue pas une liste exhaustive de toutes les considérations relatives à l'utilisation des applications biométriques dans les processus commerciaux.
Conclusion
Les données biométriques et les dispositifs et applications qui collectent, traitent et analysent les données biométriques sont maintenant, et deviendront encore plus, omniprésents. Un nombre croissant d'entreprises de divers secteurs d'activité seront de plus en plus confrontées à des problèmes dans leurs processus opérationnels, car elles commencent à réaliser et à reconnaître le retour sur investissement que les technologies biométriques peuvent apporter à l'entreprise. En fin de compte, ces entreprises et leurs conseillers professionnels doivent comprendre et aborder de manière proactive les risques juridiques liés aux informations biométriques et à leur utilisation par les clients, les employés et les fournisseurs tiers.