[Digital Business Africa] – En Côte d’Ivoire, l’utilisation de la biométrie comme moyen de contrôle de présence et d’accès des employés est récurrente dans certaines structures ivoiriennes, suscitant la réaction de l’ARTCI en tant qu’Autorité de Régulation et de Protection des données personnelles.
Désiré Aka, Directeur de la Protection des données personnelles & Vie privée de l’ARTCI, aborde dans cette interview la réglementation et les bonnes pratiques en matière de collecte de données biométriques.
Le Régulateur : Comment définit-on les données à caractère personnel et quel lien ont-elles avec la biométrie ?
Désiré Aka : La donnée personnelle est toute information, de quelque nature que ce soit, indépendamment de son support (y compris le son et l’image), qui permet d’identifier directement ou indirectement une personne physique, ou toute information relative à une personne déjà identifiée.
Parmi ces données, il existe une catégorie pour laquelle la loi n°2013- 450 du 19 juin 2013 relative à la protection des données personnelles exige des précautions particulières pour leur usage à cause du risque élevé, à savoir les données biométriques, génétiques, le numéro d’identification, etc. Les données biométriques sont des données personnelles liées aux caractéristiques uniques et permanentes de l’être humain, qu’elles soient physiques, physiologiques ou associées au comportement.
Elles facilitent et garantissent l’identification et l’authentification d’un individu, au moyen de systèmes ou de procédures technologiques. Quelques exemples de dispositifs biométriques : les dispositifs « à traces » que sont les empreintes digitales et palmaires ; les dispositifs « sans traces » relatifs au contour de la main, le réseau veineux des doigts de la main ; et les dispositifs biométriques dits « intermédiaires » qui ont rapport à la voix, l’iris de l’œil et la forme du visage.
Le Régulateur : Quelle lecture faites-vous de l’utilisation de la biométrie pour le recensement ou le contrôle de temps de présence des agents en entreprise ?
D.A : Préalablement à la réponse, il est important de rappeler le dispositif juridique qui encadre l’utilisation de la biométrie en Côte d’Ivoire. Il s’agit notamment de la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.
L’article 7 de la loi ivoirienne soumet le traitement des données biométriques à une autorisation préalable et inclut le traitement des données biométriques dans une catégorie spéciale et autorise leur utilisation uniquement dans certaines circonstances.
Par ailleurs, les articles 14 à 20 et 39 à 41 exigent le respect des principes de la légitimité, de la finalité, de la proportionnalité, de la transparence, de la conservation limitée et de la sécurité. Il découle de ce qui précède la question de savoir à quelles conditions peut-on être autorisé à mettre en place un système biométrique ? Sans être exhaustif, l’autorisation peut être obtenue à certaines conditions telles que justifier d’un besoin spécifique (Article 16 Loi DCP).
Le recours à un dispositif biométrique doit avant tout répondre à un vrai besoin à l’instar de l’authentification pour permettre l’accès à un lieu, une application ou un service lorsqu’il n’y a plus d’autres alternatives.
En second lieu, la finalité du traitement doit être limitée au contrôle de l’accès d’un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme tel que la protection de l’intégrité physique des personnes, de celle des biens et des installations ou encore de celles de certaines informations.
Il s’agit en d’autres termes, d’impératifs de sécurité. En Côte d’Ivoire, conformément au décret n°2018-454 du 09 mai 2018 relatif au Registre National des Personnes Physiques, l’authentification des données biographiques et biométriques relève de la compétence exclusive de l’Office national d’identification (ONI).
L’article 4 du décret précité impose aux administrations et entreprises privées détenant des bases de données biométriques de les communiquer à l’ONECI (l’Office national de l’état civil et de l’identification créé en 2019 en lieu et place de l’ONI, ndlr).
Il en résulte que la constitution et la détention de base de données biométriques par toute entité autre que l’ONECI est interdite.
Le Régulateur : A ce jour, quelles sont les entités autorisées pour l’utilisation de la biométrie ?
D.A : Plusieurs entreprises ont été autorisées par l’ARTCI dans le cadre de l’utilisation de la biométrie à des fins de contrôle d’accès dans des zones dites sensibles ou à risques. Les autorisations sont délivrées au cas par cas et suivant la nature de l’activité du responsable du traitement. Il est important de signaler qu’il s’agit de dispositifs de lecture uniquement de données biométriques sans constitution de base de données.
L’ARTCI, Autorité de protection des données personnelles a, dans ses communiqués du 07 juin 2024 et du 21 juin 2024, rappelé aux responsables du traitement que l’utilisation de la biométrie est, d’une part, soumise à autorisation préalable et, d’autre part, disproportionnée pour le contrôle de présence par rapport à la finalité.
Aussi, a-t-elle invité les contrevenants à mettre fin sans délai à la collecte et au traitement des données biométriques aux risques de s’exposer à des sanctions prévues par la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.
Dans le cadre de notre interaction régulière avec les parties prenantes, il faut distinguer celles qui prétendent, après 10 ans, ne pas être informées de l’existence de la loi et celles qui, bien que connaissant la loi et ses exigences, décident de ne pas les respecter.
Pour les premiers, on pourrait leur accorder le bénéfice de la présomption de bonne foi et pour lesquels le renforcement des campagnes de sensibilisation entreprises a pour objectifs de les informer désormais. Pour les seconds, au contraire, il s’agit de cas de non-respect manifeste du dispositif.
Dans tous les cas de figure, le respect du dispositif légal et réglementaire en vigueur en matière de protection des données personnelles et de la vie privée n’est pas une option. Le couple sensibilisation/sanctions est la réponse adéquate au rétablissement de l’ordre juridique.
Le Régulateur : Justement, à quelles sanctions s’exposent les contrevenants à la loi ?
D.A : L’Autorité de Protection dispose d’un large éventail de sanctions prévues par les articles 49 à 51 de la Loi. Il y a les Sanctions administratives et pécuniaires telles que l’avertissement, l’interruption de la mise en œuvre d’un traitement, l’interdiction temporaire ou définitive d’un traitement, le retrait provisoire ou définitif de l’autorisation, une sanction pécuniaire dont le montant ne peut excéder la somme de 10 millions de FCFA.
En cas de récidive, ce montant peut être porté à 100 millions de FCFA (maximum) pour une personne physique et à 500 millions de FCFA (maximum) pour une personne morale. Les sanctions administratives et pécuniaires sont appliquées sans préjudices des Sanctions pénales.
L’entrave à l’action de l’Autorité de Protection est punie d’une peine d’emprisonnement d’un mois à deux ans et d’une amende de 1 000 000 à 10 000 000 de FCFA. Cette entrave est constituée par les comportements suivants : opposition à l’exercice des missions confiées aux membres ou agents de l’ARTCI ; refus de communiquer les informations et documents nécessaires à l’exercice des missions ; communication de données non conformes ou dans un format inaccessible.
Est interdite et punie d’une peine d’emprisonnement de un à cinq ans et d’une amende de 1.000.000 à 10.000.000 de FCFA, la prospection directe à l’aide de tout moyen de communication utilisant, sous quelque forme que ce soit, les données à caractère personnelle d’une personne physique qui n’a exprimé son consentement préalable à recevoir de telles prospections (Article 22 de la loi PDCP).
Le Régulateur : De quelles alternatives disposent les entreprises (non autorisées à utiliser la biométrie) pour s’assurer de la présence de leurs employés ou pour autoriser leur accès ?
D.A : Au titre des alternatives, plusieurs solutions sont offertes. Il s’agit notamment de faire usage du pointage électronique par carte couplé à un dispositif de vidéosurveillance ; utiliser des digicodes ou maintenir les données biométriques sous le contrôle exclusif de la personne concernée pour des finalités autres que le contrôle du temps de travail.
De façon concrète, les responsables du traitement sont invités à avoir recours aux alternatives suivantes :
Les cartes d’identification :
- Cartes RFID (Radio Frequency IDentification) : utilisation de cartes à puce avec identification par radiofréquence pour l’accès aux locaux et la gestion des présences.
- Cartes à Bande Magnétique : cartes avec une bande magnétique codée utilisée pour accéder aux systèmes et locaux.
Les Systèmes de Badges :
- Badges avec QR Codes : les employés utilisent des badges avec des codes QR scannés pour s’identifier et enregistrer leur présence.
- Badges à Code-Barres : badges comportant des codes-barres scannés par des lecteurs pour l’identification.
Les Systèmes de Pointage :
- Horodateurs : dispositifs physiques où les employés enregistrent leur arrivée et départ en insérant un badge ou une carte.
- Systèmes de Pointage Manuels : feuilles de pointage où les employés notent leur heure d’arrivée et de départ. Les contrôles d’Accès Numériques :
- Mots de Passe et Codes PIN : systèmes d’accès utilisant des mots de passe ou des codes PIN pour l’authentification.
- Systèmes d’Identification par Carte Magnétique ou à Puce : accès contrôlé par des cartes à puce ou magnétiques.
Au regard des mesures alternatives offertes, le recours à la biométrie pour le contrôle des temps de présence est inapproprié et proscrit.
Le Régulateur : Au-delà des sanctions, que fait l’ARTCI pour promouvoir la loi sur la protection des données à caractère personnel dans l’exercice de la collecte de données biométriques ?
D.A : Conforme à sa mission d’information et de sensibilisation prévue par l’article 47 de la loi relative à la protection des données personnelles, l’ARTCI œuvre à vulgariser la loi sur la protection des données personnelles et à instaurer une culture de la protection des données personnelles et de la vie privée en suscitant les bons réflexes de la part de toutes les parties prenantes.
Elle œuvre également au renforcement de la sensibilisation sur l’éthique en matière de protection des données personnelles, à la simplification des procédures et formalités de déclaration, d’autorisation et de mise en conformité dans un souci d’efficacité.
De même que la mise en œuvre des lignes directrices en matière de protection des données personnelles, y compris l’utilisation de la biométrie, l’accompagnement de l’innovation et l’assistance par des conseils et avis.
Source : ARTCI
« Assemblée Mondiale de Normalisation des Télécommunications (AMNT-24) qui se tiendra du 15 au 24 octobre 2024 à New Delhi, Inde,
