Le recours à la biométrie est en croissance tant dans le secteur privé que dans le secteur public. Dans son dernier rapport d’activité (2023-2024), la Commission d’accès à l’information (la « CAI ») indique avoir reçu 124 déclarations (dont 118 d’entreprises privées), ce qui constitue une augmentation de 59 % par rapport à l’année précédente. Bien que cette augmentation soit sûrement en partie attribuable au fait que la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi 25 ») a incorporé l’exigence de divulguer préalablement à la CAI l’utilisation de données biométriques (alors que l’obligation de divulgation était auparavant limitée à la création d’une banque de données biométriques), il ne fait aucun doute qu’il s’agit d’une tendance qui se poursuivra au cours des prochaines années.
Pour la première fois depuis l’entrée en vigueur de la Loi 25, la CAI a eu l’occasion de rendre une décision concernant l’utilisation d’un système de reconnaissance faciale par une entreprise du secteur de l’imprimerie. Cette décision de la CAI, rendue publique à la fin de l’année dernière, n’est que la dixième en la matière. Elle illustre à nouveau les standards élevés de la CAI eu égard à l’utilisation de systèmes biométriques.
Cadre législatif québécois applicable à la biométrie
L’utilisation de renseignements biométriques (images, empreintes, voix, forme de la main, etc.) est encadrée par un double dispositif législatif. D’une part, la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé ») (pour les entreprises) ou la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur l’accès ») (pour les organismes publics) s’applique dès lors qu’une organisation utilise des renseignements biométriques pour identifier, directement ou indirectement, une personne. D’autre part, la Loi concernant le cadre juridique des technologies de l’information (la « LCCJTI ») prévoit que toute organisation qui souhaite utiliser un système biométrique dans le but de vérifier ou de confirmer l’identité d’un individu ou de créer une banque de caractéristiques ou de mesures biométriques est également soumise aux exigences de la LCCJTI.
La Loi sur le privé et la Loi sur l’accès ne traitent pas spécifiquement de biométrie, sauf pour stipuler que les renseignements biométriques constituent des renseignements sensibles. Les autres obligations applicables aux renseignements personnels, telles l’obligation de ne recueillir que les renseignements nécessaires et de faire preuve de transparence, sont par ailleurs applicables au traitement des renseignements biométriques.
La LCCJTI impose des obligations spécifiques en matière de biométrie, notamment l’obtention du consentement exprès des individus concernés et une divulgation préalable à la CAI. Un formulaire de déclaration est d’ailleurs disponible sur le site de la CAI à cette fin. La LCCJTI prévoit également que la biométrie ne doit faire appel qu’au minimum de caractéristiques ou de mesures requis.
En vertu de ces lois, la CAI dispose de pouvoirs d’enquête et d’inspection. En ce qui concerne les banques biométriques, la LCCJTI prévoit que la CAI peut émettre des ordonnances concernant la confection, l’utilisation, la consultation, la communication et la conservation, y compris l’archivage ou la destruction, des données. En cas de non-conformité à la loi, la CAI peut également suspendre ou interdire la mise en service d’une telle banque ou en ordonner la destruction.
Décision récente de la CAI
En octobre 2020, une entreprise (l’« Entreprise ») a déclaré à la CAI la création d’une banque de caractéristiques biométriques dans le cadre de la mise en place d’un système de reconnaissance faciale pour contrôler les accès à ses locaux, dans l’objectif d’en assurer la sécurité et, accessoirement, respecter les exigences de la certification Customs-trade partnership against terrorism (le « CTPAT »). La CAI a pris l’initiative d’enquêter sur les pratiques de l’Entreprise et a ordonné à celle-ci de cesser de recueillir et d’utiliser les renseignements biométriques.
Pour déterminer la légalité de la création de la banque de caractéristiques biométriques et l’utilisation du système de reconnaissance faciale, la CAI s’est référée au test de nécessité, qui comporte deux étapes (le « Test de nécessité »). L’Entreprise doit ainsi démontrer :
- Le caractère légitime, important et réel de l’objectif qu’elle poursuit par cette collecte;
- La proportionnalité de l’atteinte à la vie privée que constitue cette collecte en lien avec les objectifs qu’elle poursuit.
Bien qu’en l’espèce l’Entreprise avait obtenu le consentement de ses employés pour l’utilisation de leurs renseignements biométriques, la CAI a rappelé qu’une entreprise ne peut déroger à ces exigences, et ce, même avec le consentement de la personne concernée.
1. Le caractère légitime, important et réel de l’objectif poursuivi
La CAI considère qu’il est légitime pour l’Entreprise de vouloir assurer la sécurité de ses installations et de prendre des mesures afin de contrôler les accès à ses locaux.
En ce qui concerne le caractère réel de l’objectif, la CAI estime que les renseignements fournis par l’Entreprise ne permettent pas de faire état d’événement, de problématique ou d’enjeux de sécurité particuliers. D’abord, la CAI considère que l’adhésion par l’Entreprise à la norme CTPAT ne prévoit pas d’obligation d’utiliser la reconnaissance faciale, bien que cette méthode soit suggérée, et que cette dernière prévoit des moyens moins intrusifs pour contrôler l’accès aux locaux. De plus, la CAI détermine que le risque de copies et de partages allégué par l’Entreprise en ce qui concerne l’utilisation de cartes d’identification comme autre moyen d’assurer le contrôle des accès à ses locaux est hypothétique et ne constitue pas une problématique réelle vécue par l’Entreprise.
Quant au caractère important de l’objectif, la CAI estime que le contrôle des accès aux locaux d’une entreprise répond à un objectif usuel et courant d’une entreprise. Bien que la CAI reconnaisse qu’il est possible que les activités d’une entreprise ou qu’une situation particulière justifie un niveau supérieur de sécurité que peut apporter l’utilisation de systèmes biométriques, elle considère que les activités menées par l’Entreprise dans le domaine de l’imprimerie ne semblent pas présenter de risques particuliers requérant un tel niveau de sécurité.
2. La proportionnalité de l’atteinte que constitue la collecte en lien avec l’objectif poursuivi
Pour évaluer le critère de la proportionnalité, la CAI considère que l’Entreprise a le fardeau d’établir que :
- La collecte effectuée est rationnellement liée à l’objectif poursuivi;
- L’atteinte à la vie privée que représente la collecte des renseignements personnels concernés est minimisée;
- La collecte de ces renseignements personnels est nettement plus utile à l’Entreprise que préjudiciable aux personnes concernées.
La CAI considère que la collecte de renseignements biométriques liée au fonctionnement du système de reconnaissance faciale est rationnellement liée à l’objectif de contrôler les accès aux locaux de l’Entreprise.
Cependant, l’Entreprise doit s’assurer de minimiser l’atteinte commise en évaluant la possibilité d’utiliser d’autres moyens moins intrusifs. La CAI réitère que le risque allégué par l’Entreprise concernant la copie ou le prêt des cartes d’identification personnelles est un risque hypothétique. Elle considère qu’aucune preuve n’a été fournie par l’Entreprise relativement au fait qu’une carte d’accès pouvait être copiée et est d’avis que les inconvénients liés à la gestion de la perte et au remplacement des cartes relèvent d’une pratique usuelle et courante. Elle conclut que d’autres moyens moins intrusifs sur le plan de la vie privée étaient à la disposition de l’Entreprise pour contrôler les accès aux locaux.
Enfin, la CAI conclut que l’Entreprise n’a pas été en mesure d’établir en quoi la collecte de renseignements personnels nécessaires au fonctionnement de ce système amenait des avantages supérieurs à l’atteinte que représente cette collecte.
Commentaire
Cette décision démontre une fois de plus les attentes très élevées de la CAI en matière d’utilisation de systèmes biométriques et son interprétation stricte du critère de nécessité dans ce contexte. La CAI réaffirme également l’importance de documenter la nécessité de collecte de renseignements biométriques, et ce, malgré l’obtention du consentement des personnes concernées et la mise en œuvre de mesures de sécurité.
Il est utile de souligner qu’à une exception près, les décisions de la CAI ont toujours conclu que l’utilisation de la biométrie ne satisfait pas aux critères du Test de nécessité. Ainsi, outre la décision qui fait l’objet du présent article, la collecte de renseignements biométriques n’a pas été jugée nécessaire pour les objectifs suivants :
- Gestion améliorée du traitement de la paie (Auberge Sacacomie)
- Vérification de l’identité des employés et gestion améliorée des heures de travail (Selenis Canada)
- Réduction de l’empreinte écologique de l’entreprise, amélioration de l’expérience client et réduction de la fraude (Les 3 Piliers Inc.).
- Utilisation à des fins commerciales (Clearview AI)
- Éviter une éclosion de COVID-19 dans l’entreprise et identifier rapidement les employés faisant de la fièvre (Héritages Ébénisterie)
Dans la seule décision où la CAI a statué que le critère de nécessité était respecté (Marché d’alimentation Marcanio et fils inc.), elle a conclu que l’utilisation de la biométrie pour contrôler les heures des employés satisfaisait aux deux étapes du Test de nécessité, parce que l’entreprise avait démontré des faits très précis :
- Le supérieur hiérarchique ne pouvait être présent pour couvrir toutes les plages horaires des employés sous sa supervision, compte tenu du nombre d’employés, des horaires variant de semaine en semaine et de leurs différentes aires de travail;
- Avant de mettre en place le système, l’entreprise a été victime de vol de temps (fraude) et a congédié des employés pour cette raison;
- Les employés qui n’avaient pas leur carte avec eux devaient requérir la présence d’un superviseur pour enregistrer leur temps dans l’horodateur, ce qui engendrait des pertes de temps tant pour les employés que pour l’entreprise.
- L’entreprise avait envisagé des mesures alternatives à la biométrie, mais celles-ci étaient trop coûteuses et difficiles à mettre en place, considérant l’environnement de travail;
- La mise en place du système biométrique des années auparavant avait permis d’éliminer le vol de temps et les pertes de temps.
La récente décision de la CAI s’inscrit dans la continuité des principes élaborés dans ses décisions précédentes et s’harmonise également avec sa position exprimée dans son guide d’accompagnement sur la biométrie (le « Guide »). Bien que ce Guide n’ait pas de force contraignante, celui-ci permet de mettre en lumière la position de la CAI sur cette question. Entre autres, la CAI insiste sur le fait que le recours à la biométrie doit viser à résoudre une situation problématique, et que l’organisation doit spécifier et documenter le problème rencontré dans la poursuite de son objectif. On peut déduire des décisions de la CAI qu’elle exige que cette démonstration du problème ou de la situation à résoudre s’appuie sur des éléments factuels concrets et probants.
Est-ce à dire que l’organisation doit faire la preuve qu’elle a déjà subi les inconvénients ou les risques que la biométrie cherche à résoudre? La CAI semble le suggérer dans la présente décision lorsqu’elle soulève l’absence de preuve sur la copie ou le prêt de cartes d’identité, et conclut donc qu’il s’agit d’un « risque hypothétique ».
À notre avis, pour satisfaire aux critères du Test de nécessité, il ne devrait pas être requis de démontrer que l’incident s’est déjà produit, mais plutôt que la biométrie cherche à résoudre un enjeu important et réel, même si celui-ci ne s’est pas encore manifesté. Prenons pour exemple une installation contenant des matériaux radioactifs. Pour démontrer la nécessité de contrôler l’accès au moyen d’une technologie de biométrie fiable, il serait déraisonnable d’exiger la démonstration qu’un bris de sécurité s’est déjà produit. De même, dans un domaine où le standard est d’utiliser un système biométrique pour authentifier ou identifier des employés ou des clients, la question est de savoir s’il faudrait exiger que le dommage qu’on cherche à prévenir par l’utilisation d’un système biométrique se soit matérialisé pour satisfaire au critère de nécessité. En effet, soulignons que les organisations ont l’obligation de mettre en place les mesures de sécurité raisonnables pour assurer la protection des renseignements personnels qu’elles détiennent et que, pour déterminer ce qui est raisonnable, les normes de l’industrie peuvent être pertinentes.
Enfin, bien que les régulateurs s’accordent sur les enjeux liés à la biométrie, leur approche semble comporter certaines nuances. Sur le critère de nécessité, le Commissaire à la protection de la vie privée (le « CPVP ») fédéral semble adopter une approche légèrement plus souple que la CAI à cet égard. En effet, le critère de nécessité trouve écho dans le Document d’orientation provisoire à l’intention des organisations sur le traitement des données biométriques, qui a fait l’objet récemment d’un processus de consultation. Dans celui-ci, le CPVP indique que l’organisation doit démontrer que « le programme ou l’initiative de biométrie [...] est nécessaire pour répondre à un besoin précis, légitime et défendable ». Le CVPV suggère de se demander s’il « existe un lien rationnel entre [les besoins de l’organisation] et l’objectif urgent et important de [l’]organisation » et de consigner le tout par écrit. Le CPVP estime que l’initiative ne devrait pas être mise en œuvre si l’organisation ne peut expliquer le « lien rationnel entre la collecte, l’utilisation ou la communication des données biométriques et un objectif opérationnel important ».
En somme, avant de faire la déclaration obligatoire à la CAI, il est recommandé aux organisations qui planifient avoir recours à la biométrie de :
- Porter une attention particulière à la justification de l’objectif poursuivi, en documentant les problématiques ou les enjeux concrets qu’on cherche à résoudre, le lien entre la collecte de renseignements biométriques et cet objectif, ainsi que la proportionnalité de la collecte à cet objectif. Il est également utile de documenter les moyens alternatifs envisagés et les raisons pour lesquels ceux-ci ne sont pas appropriés dans les circonstances, en se référant à des faits précis et non hypothétiques. À cet égard, il est utile de prendre en considération les positions de la CAI exprimées dans le Guide et les décisions mentionnés précédemment.
- Réaliser une évaluation des facteurs relatifs à la vie privée (une « EFVP ») pour démontrer l’analyse des risques et les moyens de mitigation mis en place, ainsi que la conformité aux obligations légales applicables aux renseignements biométriques, particulièrement sensibles. Une EFVP est d’ailleurs obligatoire depuis septembre 2023 pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
- Enfin, les organisations seraient avisées d’avoir un accompagnement juridique pour effectuer ces démarches, considérant la sensibilité des renseignements biométriques et l’approche rigoureuse et restrictive de la CAI.