Les balises pour recourir à la biométrie

La biométrie permet de reconnaître ou de vérifier l'identité d'une personne en utilisant ses traits distinctifs. À titre d’exemple, la reconnaissance faciale utilisée pour déverrouiller certains téléphones cellulaires est une forme de biométrie.

Les caractéristiques ou mesures biométriques obtenues à partir de ces analyses sont considérées comme des renseignements personnels. Ainsi, quiconque souhaitant utiliser la biométrie se verra dans l’obligation de le divulguer à la Commission d’accès à l’information du Québec (ci-après : « CAI »), s’il :

• Vérifie ou authentifie l'identité en utilisant un procédé permettant de capturer des caractéristiques ou des mesures biométriques;
• Crée une base de données de caractéristiques ou de mesures biométriques

Le 4 septembre 2024, la CAI a rendu une décision concernant l’utilisation, par la société Les Imprimeries Transcontinental inc. (ci-après : « l’Entreprise »), d’un système de reconnaissance faciale.

En octobre 2020, conformément à la Loi concernant le cadre juridique des technologies de l’information, l’Entreprise a déclaré à la CAI la création d’une banque de caractéristiques ou de mesures biométriques. Le dispositif mis en place est un système d’authentification permettant l’accès à ses locaux. À l’époque de sa mise en place, il y avait également une prise de température corporelle. L’objectif était d’assurer la sécurité et limiter les risques de propagation du virus de la COVID-19.

Après la pandémie, l’Entreprise a informé la CAI que la prise de température n’était plus utilisée depuis octobre 2022 et que les données avaient été détruites. Seul le système de reconnaissance faciale est resté en utilisation pour contrôler les accès à ses locaux.

À la suite de son enquête, la CAI a conclu que l’Entreprise collectait des renseignements personnels sensibles par l’entremise de la reconnaissance faciale et que cette collecte ne respectait pas la Loi sur la protection des renseignements personnels dans le secteur privé.

De fait, cette loi prévoit que les renseignements qui concernent des personnes physiques et permettent de les identifier constituent des renseignements personnels. Pour soutenir la fonctionnalité de reconnaissance faciale, l’Entreprise a procédé à la collecte de mesures biométriques en obtenant le consentement de l’employé, en prenant une photo, puis en codifiant celle-ci en un code irréversible. La photo du visage d’une personne, ainsi que sa codification en une représentation mathématique, constituent des renseignements intimes et propres à chacun. Ainsi, la CAI rappelle que « par leur nature biométrique, ces renseignements personnels sont considérés de nature sensible ».

Bien qu’il soit possible pour une entreprise de recueillir, détenir, utiliser ou communiquer des renseignements personnels à l’occasion de l’exploitation de ses activités, la Loi sur la protection des renseignements personnels dans le secteur sur le privé stipule que seuls les renseignements personnels nécessaires à l’atteinte de ses objectifs peuvent être collectés.

En d’autres termes, une entreprise qui souhaite collecter et utiliser des renseignements personnels doit justifier la collecte et démontrer la nécessité de celle-ci. Pour ce faire, elle doit prouver le caractère légitime, important et réel de la collecte ainsi que la proportionnalité de l’atteinte à la vie privée par rapport aux objectifs poursuivis. Il s’agit-là d’un exercice auquel une entreprise ne peut échapper et ce, même en démontrant le consentement des employés visés.

Bien que l’objectif poursuivi par l’Entreprise, à savoir assurer la sécurité de ses installations et contrôler l’accès de ses locaux, soit légitime, son caractère important et réel n’a pas été établi.

Pour établir le caractère réel de l’objectif, l’Entreprise devait référer à des événements concrets, plutôt que d’invoquer des considérations hypothétiques. Mis à part la gestion des risques liés à la COVID-19, l’Entreprise n’a pas fourni de preuves d’événements ou de problèmes de sécurité spécifiques justifiant la collecte de renseignements personnels sensibles. Bien qu’elle invoquât vouloir se conformer aux exigences d’une certification qui régit la sécurité des chaînes d’approvisionnement du secteur privé face aux menaces terroristes, la CAI indique que l’utilisation de la reconnaissance faciale est seulement l’un des moyens possibles pour adhérer à cette certification et qu’il ne s’agit pas de la moins intrusive. L’argument de l’Entreprise selon lequel le caractère réel de son objectif est soutenu par les exigences prévues à cette certification n’a pas été retenu.

Enfin, la CAI rappelle que la collecte de renseignements doit être justifiée par des problématiques réelles et non hypothétiques. Elle souligne que les risques de partage ou de copie des cartes d’identification évoqués par l’Entreprise ne constituent pas une problématique réelle ni une justification suffisante.

Pour remplir le critère de l’importance, l’objectif poursuivi doit certes être suffisamment important mais ne doit pas constituer un objectif inhérent à la gestion d’une entreprise. En l’espèce, le contrôle des accès aux locaux est un objectif courant pour une entreprise et rien n’indique que les activités d’imprimerie de l’Entreprise nécessitent un niveau de sécurité supérieur justifiant l’utilisation de données biométriques.

Néanmoins, la CAI ajoute que même si l’objectif était jugé important, la collecte des renseignements personnels n’est pas proportionnelle à l’objectif poursuivi.

À cet égard, l’étude de cette proportionnalité doit démontrer que la collecte des renseignements personnels est rationnellement liée à l’objectif poursuivi, que l’atteinte à la vie privée est minimisée et que les avantages de cette collecte surpassent les préjudices pour les personnes concernées, ce qui ne fut pas le cas en l’espèce.

Les données biométriques collectées sont considérées comme sensibles et entraînent une attente élevée en matière de vie privée. Ces mêmes données sont essentielles au fonctionnement du système de reconnaissance faciale, ce qui conduit ainsi la CAI à conclure que leur collecte est rationnellement liée à l’objectif de contrôle des accès aux locaux de l’Entreprise. Toutefois, avant de collecter des renseignements personnels, il convient de minimiser l'atteinte à la vie privée en évaluant des moyens moins intrusifs pour atteindre l’objectif visé. La CAI estime que l'Entreprise n'a pas démontré que des moyens alternatifs ne pouvaient pas atteindre l’objectif poursuivi et que la reconnaissance faciale devait être privilégiée.

Enfin, la CAI détermine que la collecte des renseignements personnels par l'Entreprise, via un système de reconnaissance faciale, présente un préjudice élevé pour la vie privée, malgré le chiffrement des photos. Les renseignements biométriques collectés sont sensibles et immuables, ce qui les rend particulièrement vulnérables en cas d'incident de confidentialité.

La CAI estime ainsi que l'Entreprise n'a pas démontré que les avantages de la reconnaissance faciale surpassent l’atteinte à la vie privée.

Cette décision de la CAI met certainement en garde les employeurs face à l’usage de données biométriques sans pour autant l’interdire. Cela dit, plusieurs éléments doivent être considérés et soupesés.

Les membres de notre équipe sont disponibles pour vous soutenir dans l’évaluation des solutions qui s’offrent à vous et dans la légalité de leur mise en place. N’hésitez pas à nous contacter afin que nous puissions vous orienter dans cette démarche qui peut paraître complexe.