Biométrie - Guide de l'ICO ouvert à la consultation

 Si vous vous intéressez à la 𝗯𝗶𝗼𝗺𝗲́𝘁𝗿𝗶𝗲, voici un guide produit par l'Information Commissioner's Office (Royaume-Uni). Ce guide fait l’objet d’une phase de consultation jusqu’au 20 octobre 2023.

Au Québec, vous devez tenir compte de la 𝘓𝘰𝘪 𝘤𝘰𝘯𝘤𝘦𝘳𝘯𝘢𝘯𝘵 𝘭𝘦 𝘤𝘢𝘥𝘳𝘦 𝘫𝘶𝘳𝘪𝘥𝘪𝘲𝘶𝘦 𝘥𝘦𝘴 𝘵𝘦𝘤𝘩𝘯𝘰𝘭𝘰𝘨𝘪𝘦𝘴 𝘥𝘦 𝘭’𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘰𝘯 (art. 44 et 45), si vous avez l’intention:

• de vérifier ou de confirmer l’identité d’une personne au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques; 
• de constituer une banque de caractéristiques ou de mesures biométriques.

Vous devez également tenir compte, selon si vous êtes un organisme public ou une entreprise, de la 𝘓𝘰𝘪 𝘴𝘶𝘳 𝘭’𝘢𝘤𝘤𝘦̀𝘴 𝘢𝘶𝘹 𝘥𝘰𝘤𝘶𝘮𝘦𝘯𝘵𝘴 𝘥𝘦𝘴 𝘰𝘳𝘨𝘢𝘯𝘪𝘴𝘮𝘦𝘴 𝘱𝘶𝘣𝘭𝘪𝘤𝘴 𝘦𝘵 𝘴𝘶𝘳 𝘭𝘢 𝘱𝘳𝘰𝘵𝘦𝘤𝘵𝘪𝘰𝘯 𝘥𝘦𝘴 𝘳𝘦𝘯𝘴𝘦𝘪𝘨𝘯𝘦𝘮𝘦𝘯𝘵𝘴 𝘱𝘦𝘳𝘴𝘰𝘯𝘯𝘦𝘭𝘴 ou de la 𝘓𝘰𝘪 𝘴𝘶𝘳 𝘭𝘢 𝘱𝘳𝘰𝘵𝘦𝘤𝘵𝘪𝘰𝘯 𝘥𝘦𝘴 𝘳𝘦𝘯𝘴𝘦𝘪𝘨𝘯𝘦𝘮𝘦𝘯𝘵𝘴 𝘱𝘦𝘳𝘴𝘰𝘯𝘯𝘦𝘭𝘴 𝘥𝘢𝘯𝘴 𝘭𝘦 𝘴𝘦𝘤𝘵𝘦𝘶𝘳 𝘱𝘳𝘪𝘷𝘦́.

De plus, vous devez déclarer votre banque de caractéristiques ou de mesures biométriques à la Commission d'accès à l'information - pour plus de détails, voir: https://www.cai.gouv.qc.ca/biometrie/.

Mise à jour du référentiel sur les règles d’entreprise contraignantes « responsable de traitement » par le Comité européen de la protection des données.

Mise à jour du référentiel sur les règles d’entreprise contraignantes « responsable de traitement » par le Comité européen de la protection des données. 

 

En vertu du Règlement général sur la protection des renseignements personnels, en l’absence d’une décision de la Commission européenne assurant qu’un pays tiers assure un niveau de protection adéquat (art. 45), le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers que s’il est prévu des garanties appropriées (art. 46).

Parmi ces garanties, on retrouve les règles d’entreprise contraignantes  (art. 47) (ou binding corporate rules ou BCR), soit 

« un outil qui peut être utilisé par un groupe d’entreprise ou de sociétés, engagées dans une activité économique commune, pour transférer des données personnelles en dehors de l’Espace économique européen entre responsable de traitement ou sous-traitants, au sein du même groupe. Elles amènent les sociétés adhérentes d’un même groupe à déployer un schéma de gouvernance commun qui permet d’établir un niveau de protection des données essentiellement équivalent à celui prévu par le RGPD. Les BCR créent également des droits pour les personnes concernées en tant que tiers bénéficiaires ».

(CNIL, « Glossaire »)  

Pour aller plus loin: 

• European Data Protection Board, Recommandations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rule (Art. 47 GDPR), 20 juin 2023;
• Commission nationale de l’informatique et des libertés, « Le CEDP adopte la version définitive du référentiel BCR « responsable de traitement »», 7 août 2023.