Skip to Content
RGPDPartie 5 — Données sensibles & mineurs5.3 — Biométrie & génétique

Chapitre 5.3 — Biométrie & génétique

⏱️ TL;DR — Les données génétiques et les données biométriques traitées aux fins d’identifier de manière unique une personne font partie des catégories particulières de l’article 9. Le mot clé pour la biométrie, c’est « aux fins d’identifier » : une empreinte ou un visage transformés en gabarit pour reconnaître une personne parmi d’autres est une donnée sensible. Ces traitements sont à très haut risque : le corps ne se change pas comme un mot de passe, une fuite est irréversible. Résultat pratique : une AIPD (analyse d’impact) est très souvent obligatoire, et dans certains contextes — notamment sur des mineurs dans un lieu public — le traitement est tout simplement écarté. La CNIL s’est ainsi opposée à la reconnaissance faciale à l’entrée de lycées. Règle de prudence : avant toute biométrie, la question n’est pas « comment », mais « peut-on faire autrement ».

🎯 Objectifs

  • Définir une donnée biométrique et une donnée génétique au sens du RGPD.
  • Comprendre le critère décisif : « aux fins d’identifier ».
  • Distinguer authentification (vérifier) et identification (reconnaître).
  • Savoir pourquoi ces traitements imposent presque toujours une AIPD, et parfois un refus.

Génétique et biométrie : deux catégories particulières

Deux familles distinctes, toutes deux à l’article 9 :

  • Données génétiques : les informations sur les caractéristiques héréditaires ou acquises d’une personne, issues notamment d’une analyse d’un échantillon biologique (ADN). Rares en EdTech, mais présentes dans le médico-social ou la recherche. Elles concernent aussi, par nature, la parenté — donc d’autres personnes que celle testée.
  • Données biométriques : les données issues d’un traitement technique des caractéristiques physiques, physiologiques ou comportementales d’une personne — visage, empreinte digitale, iris, voix, façon de taper au clavier — qui permettent ou confirment son identification unique.

La nuance décisive est dans cette dernière phrase. Une photo de profil est une donnée personnelle, mais elle ne devient une donnée biométrique sensible que lorsqu’elle est traitée techniquement aux fins d’identifier la personne : par exemple transformée en un gabarit mathématique servant à la reconnaître automatiquement. C’est le but d’identification unique qui fait basculer dans l’article 9.

⚠️ Piège — « Ce n’est qu’une photo / qu’un enregistrement vocal, ce n’est pas de la biométrie. » Tant que l’image ou le son n’est pas transformé en gabarit d’identification, ce n’est pas une donnée biométrique au sens de l’art. 9 — mais dès qu’un système en extrait des mesures pour reconnaître la personne (déverrouiller, pointer, contrôler un accès), on bascule dans le régime sensible. Le déclencheur n’est pas le média, c’est la finalité d’identification unique et le traitement technique qui l’accompagne.

Authentification ou identification : la question qui change tout

On confond souvent les deux, alors qu’elles portent des risques très différents.

Authentification (vérifier)Identification (reconnaître)
Question posée« Es-tu bien celui que tu prétends être ? »« Qui es-tu, parmi tous ces gens ? »
Comparaison1 contre 1 : le gabarit présenté vs un gabarit de référence.1 contre N : le gabarit vs une base de gabarits.
ExempleDéverrouiller son téléphone avec son visage.Repérer une personne dans une foule, un portail scolaire.
Où est le gabaritIdéalement sur l’appareil de la personne, sous son contrôle.Dans une base centralisée — bien plus risqué.
RisquePlus faible si local et sous contrôle de la personne.Élevé : surveillance, base attaquable, effet de masse.

L’authentification 1:1, quand le gabarit reste sur l’appareil et sous le contrôle de la personne (comme le déverrouillage d’un smartphone), est bien moins intrusive que l’identification 1:N contre une base centrale. Mais dans les deux cas, si le traitement vise à identifier de façon unique, on reste dans l’article 9 : il faut une exception, une base légale, des garanties, et une évaluation du risque.

Pourquoi c’est du très haut risque

La biométrie a une propriété qu’aucune autre donnée ne partage : elle est irrévocable. On peut changer un mot de passe compromis, pas son visage ni ses empreintes. Une fuite de gabarits biométriques est définitive et peut suivre la personne toute sa vie. À cela s’ajoutent un fort potentiel de surveillance, un risque de discrimination (biais des systèmes de reconnaissance), et une atteinte à des personnes qui n’ont souvent pas de vrai choix de refuser (élèves, salariés).

Conséquence opérationnelle : un traitement biométrique d’identification déclenche presque toujours une AIPD (analyse d’impact, art. 35), car il coche plusieurs critères de risque élevé (données sensibles + surveillance + personnes vulnérables). Et lorsqu’une alternative moins intrusive existe — et elle existe presque toujours (badge, identifiant, appel) — le principe de proportionnalité conduit à écarter la biométrie.

Le cas de la reconnaissance faciale au lycée

L’exemple emblématique en France : des lycées ont voulu installer un dispositif de reconnaissance faciale à l’entrée pour contrôler les accès. La CNIL s’y est opposée, jugeant le dispositif disproportionné : le même objectif (contrôler les entrées) pouvait être atteint par des moyens bien moins intrusifs (badges, contrôle humain), et le traitement portait sur des mineurs dans leur lieu de vie quotidien, sans réel consentement libre. La leçon dépasse le cas : plus le public est vulnérable et captif, plus l’exigence de proportionnalité est stricte — au point de rendre la biométrie tout bonnement inenvisageable.

💡 Réflexe — Devant toute idée de biométrie, inverse l’ordre des questions. Ne demande pas « comment je l’implémente proprement ? » mais d’abord « est-ce vraiment nécessaire, et sans alternative ? ». Si un badge, un code ou une liste d’émargement fait le travail, la biométrie est presque toujours disproportionnée. Et si le projet concerne des mineurs ou un lieu de vie (école, cantine), considère par défaut que c’est non, jusqu’à preuve solide du contraire — étayée par une AIPD.

🧭 Sur FormaCampus — Un établissement client rêve d’un « pointage par reconnaissance faciale » pour l’émargement des présences en formation. La bonne réponse produit est de ne pas le construire : c’est de la biométrie d’identification, sur un public parfois mineur, alors qu’un simple émargement numérique (code personnel, signature, QR à usage unique) atteint la même finalité sans donnée sensible ni base attaquable. Si un jour un cas d’usage l’imposait vraiment, ce serait au prix d’une AIPD complète, d’un consentement explicite réellement libre, d’un stockage de gabarit chiffré et sous contrôle de la personne, et d’un échange préalable avec la CNIL. Par défaut : alternative moins intrusive.

🔒 Côté personne concernée — Un élève ou un stagiaire soumis à la reconnaissance faciale n’a, en pratique, pas le choix : refuser reviendrait à ne plus pouvoir entrer ou émarger. Son consentement n’est donc pas libre. Il subit une surveillance dans un lieu qu’il fréquente tous les jours, avec une donnée — son visage — qu’il ne pourra jamais « changer » si elle fuite. C’est précisément parce que la personne est en position de faiblesse que le droit place la barre très haut, jusqu’à interdire.

📚 Le texte — Les données génétiques et les données biométriques aux fins d’identifier de manière unique une personne sont visées par l’article 9.1 du RGPD ; leur traitement suppose une exception de l’article 9.2. Le caractère à haut risque déclenche l’analyse d’impact (AIPD) de l’article 35. Pour la reconnaissance faciale, se reporter aux positions publiques de la CNIL, qui s’est opposée à son usage à l’entrée d’établissements scolaires.

✏️ Exercices

Exercice 1 — Biométrie ou pas ? Dis si chaque traitement porte sur une donnée biométrique au sens de l’art. 9 : (a) stocker la photo de profil des stagiaires, (b) transformer cette photo en gabarit pour ouvrir automatiquement la porte, (c) demander un mot de passe, (d) reconnaître un formateur à sa voix pour le connecter.

✅ Solution

(a) Non au sens de l’art. 9 — une photo de profil affichée reste une donnée personnelle ordinaire tant qu’elle n’est pas traitée pour identifier. (b) Oui — la photo devient un gabarit servant à reconnaître la personne : biométrie d’identification, article 9. (c) Non — un mot de passe n’est pas une donnée biométrique. (d) Oui — la reconnaissance vocale utilise une caractéristique physiologique pour identifier : article 9. Le critère est toujours le même : y a-t-il un traitement technique aux fins d’identification unique.

Exercice 2 — Authentification ou identification ? Pour chaque cas, dis s’il s’agit d’une comparaison 1:1 ou 1:N et lequel est le plus risqué : (a) déverrouiller son téléphone par empreinte, gabarit stocké sur l’appareil ; (b) une caméra qui repère, dans un hall, les visages d’une base de personnes recherchées.

✅ Solution

(a) Authentification, 1:1 — on compare l’empreinte présentée au seul gabarit de référence, stocké localement sous le contrôle de la personne : risque relativement contenu. (b) Identification, 1:N — on compare chaque visage à toute une base centralisée : surveillance de masse, base attaquable, effet irréversible. C’est bien plus risqué, et dans un lieu public sur des personnes non consentantes, très probablement disproportionné. Le stockage local et la logique 1:1 réduisent le risque ; la base centralisée et le 1:N l’aggravent.

Exercice 3 — Décide. Un lycée client veut « moderniser » le contrôle d’accès par reconnaissance faciale des élèves. Quelle est la bonne réponse, et pourquoi ?

✅ Solution

La bonne réponse est non, et de proposer une alternative. Motifs : (1) c’est de la biométrie d’identification (art. 9) ; (2) sur des mineurs, dans leur lieu de vie quotidien, sans consentement réellement libre ; (3) le but — contrôler les entrées — est atteignable par des moyens beaucoup moins intrusifs (badge, contrôle humain) ; (4) donc le traitement est disproportionné. C’est exactement la position tenue par la CNIL sur ce type de dispositif. On propose un badge ou un contrôle d’accès classique, sans donnée biométrique.

🧠 Quiz de révision

1. Qu’est-ce qui fait d’une photo une donnée biométrique au sens de l’article 9 ?

Le fait qu’elle soit traitée techniquement aux fins d’identifier de manière unique une personne — typiquement transformée en gabarit de reconnaissance. Une photo simplement stockée ou affichée reste une donnée personnelle ordinaire ; c’est la finalité d’identification qui la fait basculer dans le sensible.

2. Quelle est la différence entre authentification et identification ?

L’authentification vérifie « es-tu bien celui que tu prétends ? » par une comparaison 1:1 (idéalement gabarit local). L’identification répond « qui es-tu parmi N ? » par une comparaison 1:N contre une base centralisée — bien plus risquée (surveillance, base attaquable).

3. Pourquoi la biométrie est-elle un risque particulier ?

Parce qu’elle est irrévocable : on ne change pas son visage ou ses empreintes comme un mot de passe. Une fuite est définitive. S’ajoutent le potentiel de surveillance, les biais discriminatoires et le fait que les personnes concernées (élèves, salariés) n’ont souvent pas de choix réel.

4. Un traitement biométrique d’identification impose-t-il une AIPD ?

Presque toujours. Il cumule des critères de risque élevé (donnée sensible, surveillance, souvent public vulnérable), ce qui rend l’analyse d’impact (art. 35) obligatoire. Et si une alternative moins intrusive existe, le principe de proportionnalité conduit généralement à renoncer à la biométrie.

5. Que retenir du cas de la reconnaissance faciale au lycée ?

La CNIL s’y est opposée : dispositif disproportionné, car le but (contrôler les accès) était atteignable par des moyens bien moins intrusifs, et il visait des mineurs dans leur lieu de vie sans consentement libre. Leçon : plus le public est vulnérable et captif, plus l’exigence de proportionnalité est stricte — jusqu’au refus.


Chapitre suivant : Données pénales & NIR — le régime strict de l’article 10 pour les condamnations et infractions, et pourquoi le numéro de sécurité sociale ne se demande jamais « par confort ».

Last updated on