L'objectif est de fournir des lignes directrices aux responsables du traitement et aux sous-traitants sur la manière d'interpréter et de respecter le RGPD lors du traitement de ce type de données. Elles sont en effet considérées comme des données sensibles par le RGPD, ce qui implique que leur traitement est, en principe, interdit, sauf si le responsable du traitement peut invoquer un motif légal.

Les données biométriques sont  les données qui portent sur les caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment l'identification unique de cette personne physique, telles que les images faciales ou les empreintes digitales.

Une exception est prévue pour l'utilisation des systèmes biométriques pour l'accès aux appareils personnels (par exemple, smartphone, tablette, etc.) mais la recommandation ne traite pas de l'utilisation mixte de dispositifs à des fins professionnelles et privées.

La recommandation examine deux motifs légaux possibles pour le traitement des données biométriques en Belgique : le consentement explicite de la personne concernée et « l'intérêt public important » du responsable de traitement.

Cependant, l’intérêt public important ne peut actuellement être invoqué que dans le cadre du traitement des données biométriques pour la carte d'identité électronique belge (eID) et le passeport européen. Il n'existe, en effet, actuellement aucune autre loi permettant l'utilisation de données biométriques pour des raisons d'intérêt public important.

En outre, il est peu probable que le consentement valide puisse être invoqué par les employeurs à l'égard de leurs employés pour traiter ce type de données sensibles car on peut suspecter qu’il n’est pas librement donné.

À ce jour, en raison de cette lacune en droit belge, la plupart des traitements de données biométriques ont lieu sans base juridique. Cela signifie que le législateur belge devrait rapidement définir dans une loi les modalités du traitement de ces données dans la mesure où il veut (continuer à) autoriser l’utilisation de telles données dans un contexte déterminé.

Une attention particulière doit être accordée à la proportionnalité du traitement des données biométriques qui ne peuvent être traitées que si le responsable du traitement peut démontrer qu’il n’existe pas d’autres moyens moins intrusifs pour atteindre la ou les finalités qu’il s’est fixé.

FEB – Étant donné que cette exigence de base légale déroge au régime antérieur au RGPD, l’APD avait prévu dans la version provisoire de sa recommandation une période transitoire assez courte d’un an pour permettre au législateur de donner une base légale à de nombreux traitements. La FEB déplore le caractère peu pragmatique et éloigné de la pratique des entreprises de cette recommandation et le fait que cette période transitoire ait disparu dans la version définitive de la recommandation.