Traitement des données biométriques : aperçu de la réglementation.
L'utilisation du Système de connexion Visuel (VLS) de Netradyne peut constituer un traitement de données biométriques dans certaines juridictions. Le contenu de cette page donne un aperçu limité des exigences réglementaires associées aux données biométriques.
Note : Le contenu de cette section ne doit pas être interprété comme un conseil juridique ou comme un substitut à un conseil juridique. Bien que Netradyne s'efforce de fournir des informations pertinentes et actuelles concernant les exigences réglementaires applicables au traitement des données biométriques, elle ne prétend pas que les informations fournies ici sont exhaustives, actuelles ou adéquates. De même, Netradyne ne prétend pas que l'exemple de formulaire de consentement ou la politique d'information biométrique fournis par Netradyne sont suffisants pour se conformer à toutes les exigences légales et réglementaires applicables dans votre juridiction. Il est impératif de demander un avis juridique définitif et de vérifier l'applicabilité des différentes lois dans votre région avant d'activer la fonction VLS.
Exigences des États-Unis en matière de VLS
Dernière mise à jour : 07/2023
Aux États-Unis, le Texas, l'Illinois et l'État de Washington sont actuellement les seuls États à disposer de lois spécifiques sur la protection de la vie privée en matière de biométrie. Toutefois, de nombreux États ont élargi leur législation globale en matière de protection de la vie privée, en imposant des restrictions à la collecte, à l'utilisation, à la conservation et au partage des informations biométriques. La ville de Portland a également adopté une ordonnance interdisant certaines utilisations des technologies de reconnaissance faciale. Si vous choisissez d'activer le système de connexion visuelle (VLS), ces lois peuvent s'appliquer à votre utilisation du VLS.
Vous trouverez ci-dessous un résumé des lois existantes et proposées en matière de protection de la vie privée dans certains États. La législation dans ce domaine évolue rapidement et les informations fournies ne sauraient se substituer à un avis juridique. Si vous avez des questions, veuillez contacter privacy@netradyne.com.
Législations existantes - Résumé des principales exigences
Illinois
(740 ILCS 14/) Loi sur la confidentialité des informations biométriques
La loi exige que les entités en possession d'identifiants biométriques ou d'informations biométriques se conforment à certaines exigences.
- Fournir un avis aux personnes dont les données biométriques doivent être collectées, les informant des finalités spécifiques et de la durée pendant laquelle les données biométriques seront collectées, stockées ou utilisées.
- Obtenir une autorisation écrite des personnes concernées pour procéder à la collecte ou à la divulgation des informations biométriques.
- Mettre à la disposition du public une politique écrite établissant le calendrier de conservation et les lignes directrices pour la destruction définitive des informations biométriques.
Texas
Code des affaires et du commerce du Texas Sec. 503.001.
L'entité qui saisit l'identifiant biométrique d'une personne à des fins commerciales est tenue de...
- Notifier la personne avant de saisir l ' identifiant biométrique et obtenir son consentement à la saisie de l'identifiant biométrique.
- Protéger les données contre la divulgation en utilisant des mesures raisonnables.
- Détruire les identifiants biométriques dans un délai raisonnable, mais pas plus tard que le premier anniversaire de la date à laquelle la finalité de la collecte des informations biométriques prend fin.
Washington
Wash. Rev. Code § 19.375.010 et seq.
- Il est interdit d'enregistrer un identifiant biométrique dans une base de données à des fins commerciales sans en avoir informé au préalable, sans avoir obtenu le consentement ou sans avoir prévu un mécanisme permettant d'empêcher l'utilisation ultérieure d'un identifiant biométrique à des fins commerciales.
Ville de Portland
Code de la ville de Portland, titre 34 - Justice numérique, chapitres 34.10.010-34.10-050
- L'ordonnance interdit à une entité privée d'utiliser des technologies de reconnaissance faciale dans les lieux d'hébergement public situés sur le territoire de la ville de Portland.
Législations proposées - Résumé des principales exigences
Arizona
2023 AZ S.B. 1238
- Les informations biométriques doivent être détruites à la première des deux dates suivantes : (1) la finalité de la collecte des informations ; ou (2) dans les trois ans suivant la dernière interaction de la personne concernée avec l'entité.
- Les entités privées doivent obtenir le consentement écrit et éclairé des personnes avant de collecter leurs données biométriques.
- Les informations biométriques doivent être détruites à la première des deux dates suivantes : (1) lorsque l'objectif de la collecte des informations a été atteint ; ou (2) dans les trois ans suivant la dernière interaction de la personne concernée avec l'entité.
Connecticut
2023 CT S.B. 730
- Toute entité utilisant la technologie de reconnaissance faciale pour identifier les clients et les invités dans un espace public doit afficher une information claire sur cette utilisation.
Hawaï
2023 HI H.B. 1085
- Les informations biométriques doivent être détruites à la première des deux dates suivantes : (1) la finalité de la collecte des informations ; ou (2) dans les trois ans suivant la dernière interaction de la personne concernée avec l'entité.
- Les entités privées doivent obtenir le consentement écrit et éclairé des personnes avant de collecter leurs données biométriques.
- Les informations biométriques doivent être détruites à la première des deux dates suivantes : (1) lorsque l'objectif de la collecte des informations a été atteint ; ou (2) dans les trois ans suivant la dernière interaction de la personne concernée avec l'entité.
Maryland
HB 33/ SB 169
- Les informations biométriques doivent être détruites à la première des deux dates suivantes : (1) la finalité de la collecte des informations ; ou (2) dans les trois ans suivant la dernière interaction de la personne concernée avec l'entité.
- Les entités privées doivent obtenir le consentement écrit et éclairé des personnes avant de collecter leurs données biométriques.
- (2) dans les 3 ans suivant la dernière interaction de la personne concernée avec l' entité ; ou (3) dans les 30 jours suivant la réception d' une demande d'effacement des données d'une personne.
- La loi entrera en vigueur le 1er octobre 2023.
Massachusetts
2023 MA S.B. 195
- Les informations biométriques doivent être détruites à la première des deux dates suivantes : (1) la finalité de la collecte des informations ; ou (2) dans les trois ans suivant la dernière interaction de la personne concernée avec l'entité.
- Les entités privées doivent obtenir le consentement écrit et éclairé des personnes avant de collecter leurs données biométriques.
- Les informations biométriques doivent être détruites à la première des éventualités suivantes : (1) la finalité de la collecte desdites informations ou (2) dans un délai d' un an à compter de la dernière interaction de la personne concernée avec l'entité.
Des projets de loi similaires ont été proposés dans le Minnesota, le Missouri, le Montana, le Nevada, le New Jersey, la Pennsylvanie et le Tennessee.
La collecte et l'utilisation d'informations biométriques sont couvertes par des lois nationales détaillées sur la protection de la vie privée, notamment en Californie, Colorado, Virginie, Connecticut, et Utah. Les lois sur la protection de la vie privée de ces États considèrent les informations biométriques comme une forme d'information « sensibles ».
La plupart des lois et des projets de loi mettent l'accent sur les exigences clés suivantes
- Informer les personnes et obtenir leur consentement.
- Élaborer une politique écrite établissant un calendrier de conservation et des lignes directrices pour la destruction des données biométriques.
Exigences du Royaume-Uni et de l'UE en matière de VLS - Résumé des principales exigences
Dernière mise à jour : 07/2023
L' utilisation des VLS dans l' UE est principalement régie par les dispositions du règlement général sur la protection des données (RGPD) de l'UE.
- Le GDPR considère les " données biométriques " comme une catégorie spéciale de données à caractère personnel et exige parconséquent que les principes de légalité, de nécessité, de proportionnalité et de minimisation des données soient dûment pris en compte.
- Les responsables du traitement doivent d'abord évaluer l ' impact sur les droits et libertés fondamentaux et envisager des moyens moins intrusifs pour atteindre la finalité légitime du traitement.
- L' utilisation de la fonctionnalité de reconnaissance biométrique par des entités privées à leurs propres fins (par exemple, à des fins de marketing, de statistiques ou même de sécurité) nécessitera , dans la plupart des cas, le consentement explicite de toutes les personnes concernées (article 9, paragraphe 2, point a), du GDPR), mais une autre exceptionappropriée prévue à l' article 9 pourrait également s 'appliquer.
- L' utilisation du VLS dans certains pays de l'UE peut également nécessiter l' évaluation des lois spécifiques sur la vidéosurveillance ou des lois sur l'emploi dans ce pays. Dans ces pays de l'UE, pour les entreprises dotées d'un comité d'entreprise, l'utilisation du VLS peut être soumise à l'approbation préalable du comité d'entreprise.
- Une analyse d'impact sur la protection des données (DPIA) doit être menée pour évaluer l'impact sur les droits et libertés des conducteurs. Le champ d'application de l 'évaluation doit inclure le VLS.
- Netradyne recommande d' informer les conducteurs des finalités du traitement de leurs donnéespersonnelles. Il est conseillé, en plus de fournir un avis de confidentialité détaillé, d ' utiliser des autocollants deconfidentialité à l'intérieur des véhicules pour informer les conducteurs du traitement de leurs données personnelles (y compris les données biométriques, le cas échéant).
- Netradyne recommande d'obtenir le consentement éclairé de tous les conducteurs avant d'activer le VLS au Royaume-Uni et dans l'Union européenne.
Si vous avez des questions, veuillez contacter privacy@netradyne.com.
Exigences canadiennes en matière de VLS - Résumé des principales exigences de la législation canadienne en matière de protection de la vie privée
Dernière mise à jour : 07/2023
- Comme pour le GDPR de l'UE, les lois canadiennes sur la protection de la vie privée considèrent les informations biométriques comme des informations personnelles sensibles. Par conséquent, les entités qui souhaitent traiter ces données doivent généralement obtenir un consentement éclairé et explicite.
- Une évaluation de l' impact sur la vie privée (EIVP) doit être réalisée pour évaluer l' impact sur la vie privée des individus. Les lois canadiennes sur la protection de la vie privée exigent que la collecte et l'utilisation d'informations personnelles soient limitées à ce qui est raisonnable et nécessaire dans les circonstances.
- Les principes de minimisation des données, de limitation de la conservation , de droits des personnes concernées, de transparenceet de sécurité des données doivent être dûment pris en compte.
- Le Québec a des exigences plus strictes en ce qui concerne le traitement des données biométriques. La création d' une base de données de caractéristiques ou de mesures biométriquesdoit être divulguée à la Commission d'accès à l'information (CAI), au plus tard 60 jours avant la mise en service de cette base de données.
Si vous avez des questions, veuillez contacter privacy@netradyne.com.