Andorre restreint l'accès biométrique dans les entreprises et les salles de sport

L'utilisation de données biométriques telles que les empreintes digitales, la reconnaissance faciale ou les scans de l'iris pour accéder à des entreprises, salles de sport et autres lieux publics suscite de sérieuses inquiétudes en Andorre quant à leur légalité et aux risques pour les droits fondamentaux. L'Agence andorrane de protection des données (APDA) et des experts juridiques et technologiques s'accordent à dire que ces données sont qualifiées d'« particulièrement sensibles » et qu'elles ne respectent pas, dans la plupart des cas, les exigences de proportionnalité prévues par la réglementation en vigueur.

La loi andorrane, définie par la Loi qualifiée 21/2019 sur la protection des données personnelles (LQPD) et ses règlements d'application, n'interdit pas explicitement les biométries mais impose des limites strictes au traitement des données de catégories spéciales. L'APDA insiste sur le fait que ce traitement n'est autorisé que dans des circonstances limitées, étayées par des bases légales solides comme le consentement explicite de l'utilisateur ou un intérêt public essentiel. « Si l'accès peut être obtenu avec un système moins intrusif, la loi l'exige », a déclaré Víctor Rosselló, avocat spécialisé en protection des données.

Les règlements exigent souvent une évaluation d'impact sur la protection des données avant le déploiement de systèmes biométriques, en particulier pour les données sensibles ou une surveillance publique continue. Aucune amende n'a encore été prononcée en Andorre pour un usage abusif, mais l'APDA avertit que des plaintes pourraient déclencher des enquêtes et des sanctions. Le consentement doit être libre, spécifique, éclairé et sans ambiguïté ; s'il est invoqué, les entreprises doivent proposer une alternative réelle et moins intrusive.

Les biométries sont traitées au même titre que les données de santé en raison de leur sensibilité, a expliqué Rosselló, ajoutant que la commodité ne les justifie jamais par rapport à des options comme les cartes ou les codes. Leur usage dans les salles de sport ou les magasins heurte, selon lui, les principes fondamentaux de protection des données, y compris la minimisation. Núria Viladrich, directrice chez OCPS-Tarinas Compliance, a noté que, bien que non interdites, les biométries exigent un examen au cas par cas de leur finalité, nécessité et proportionnalité. Les alternatives doivent toujours être privilégiées, notamment pour le pointage au travail ou l'entrée en salle de sport, afin de garantir un consentement véritablement volontaire.

Le spécialiste technologique Sebastián González, de Dcode Informàtics, a fait écho à cela, affirmant que les biométries ne sont justifiables que dans des contextes de haute sécurité comme les infrastructures critiques, et non dans les magasins, l'hôtellerie ou les salles de sport où des méthodes moins intrusives existent. Le consentement des employés sur le lieu de travail n'est souvent pas pleinement libre, ce qui accroît l'exposition juridique.

Les experts et l'APDA soulignent également les risques de sécurité : contrairement aux mots de passe ou aux cartes, les données biométriques ne peuvent pas être modifiées en cas de violation. Des garanties strictes comme le chiffrement, les contrôles d'accès et la suppression rapide – par exemple lors de l'annulation d'un abonnement en salle de sport – sont légalement requises.