Qu'advient-il de mes données biométriques de l'e-ID ?
Les données biométriques – par exemple la photo de votre visage – sont des données sensibles au sens de la loi sur la protection des données (LPD). Il est dès lors très important de comprendre comment la loi sur l’e-ID réglemente le traitement de ces données. Veuillez noter que les explications qui suivent se basent sur le projet de loi sur l’e-ID, qui n’est pas encore entré en vigueur.
Des données biométriques sont générées lorsque vous demandez qu’une e-ID soit émise à votre nom. De telles données peuvent également être transmises lorsque vous présentez votre e-ID.
Pour demander une e-ID en ligne, vous avez besoin de votre smartphone muni du portefeuille électronique de la Confédération. À l’aide de cette application, vous photographiez dans un premier temps votre document d’identité valide (passeport, carte d’identité ou titre de séjour) et enregistrez dans un deuxième temps une courte vidéo de votre visage. Lors de la troisième et dernière étape, vous transmettez ces données à l’Office fédéral de la police (fedpol), qui compare les données que vous avez transmises avec celles qui sont déjà disponibles dans la base de données des documents d’identité. Si les données concordent, l’e-ID est délivrée directement dans votre portefeuille électronique. Mais que se passe-t-il avec les données biométriques que vous avez transmises ? fedpol les enregistre afin de vous protéger contre le vol d’identité. Il ne peut les utiliser que dans le cadre d’une enquête visant à établir si une autre personne se fait éventuellement passer pour vous. fedpol conservera ces données jusqu’à cinq ans au plus après la date d’expiration de votre e-ID. Passé ce délai, elles seront effacées.
Si vous vous rendez dans un bureau des passeports ou des migrations pour demander une e-ID, la comparaison faciale sera effectuée sur place, soit par une personne, soit par une machine (station de saisie). Les cantons décident eux-mêmes du mode de vérification de l’identité. La comparaison faciale automatisée sera utilisée notamment dans les situations où la personne qui effectue le contrôle n’est pas sûre d’elle (par exemple dans le cas de jumeaux) ou lorsqu’un canton doit effectuer un grand nombre de contrôles d’identité dans le cadre de l’émission de l’e-ID. Lorsqu’un canton recourt à la vérification de l’identité automatisée, il ne peut pas stocker les données biométriques obtenues ni les transmettre à fedpol. En d’autres termes, vos données biométriques utilisées lors de la vérification automatique de l’identité sur place seront immédiatement effacées.
Si l’image de votre visage est transmise lorsque vous utilisez l’e-ID, il y a également transmission de données biométriques. Quelles sont les règles applicables dans ce cas ? Tout d’abord, vos données sont protégées par la LPD. La demande, le traitement et le stockage de vos données d’identification électronique doivent être conformes au principe de la bonne foi. Les principes de proportionnalité, de finalité et du consentement doivent également être respectés. Les éventuelles infractions feront l’objet d’une enquête du Préposé fédéral à la protection des données et à la transparence, qui sera, selon le degré de gravité, ouverte d’office ou sur dénonciation.
La loi sur l’e-ID précise le principe de la finalité du traitement des données inscrit dans la LPD : la présentation de l’e-ID peut être exigée si la législation le prévoit ou si la fiabilité de la transaction en dépend, notamment pour prévenir des fraudes et des vols d’identité. Les données biométriques contenues dans l’e-ID ne peuvent donc être demandées que si une loi le prévoit ou que la fiabilité de la transaction l’exige. On peut également en déduire que le stockage ultérieur des données biométriques par un vérificateur n’est autorisé que s’il existe une base légale ou une nécessité matérielle.
Si un vérificateur ne respecte pas ces principes, vous pouvez le signaler au service compétent. Celui-ci peut indiquer dans le registre de confiance qu’un vérificateur a manqué à son devoir ou même l’exclure du registre. Quand vous utiliserez votre e-ID, vous serez averti, par une mention dans votre portefeuille électronique, que vous avez affaire à un vérificateur qui pratique la suridentification.