La réforme québécoise des lois en matière de protection des renseignements personnels jette un nouvel éclairage sur les règles applicables à la biométrie. Tant les lois des secteurs public et privé sur la protection des renseignements personnels[1] que la Loi concernant le cadre juridique des technologies de l’information (la « LCCJTI »)[2] encadrent le recours à de tels outils. Cela dit, ces lois n’ont pas la même portée et doivent être comprises ensemble aux fins de la mise en conformité des organisations[3].
La LCCJTI ne s’applique qu’aux systèmes biométriques, tandis que les lois sur la protection des renseignements personnels[4] visent les caractéristiques et mesures biométriques en tant que renseignements personnels (sensibles), peu importe qu’ils soient utilisés dans le cadre d’un système biométrique ou non.
Dans le prochain bulletin de cette série, nous détaillerons les conséquences de cette qualification sur les obligations et sanctions applicables.
Qu’est-ce que la biométrie?
La biométrie est une technique d’identification et d’authentification qui s’appuie sur le traitement informatisé des caractéristiques physiques, comportementales ou biologiques d’une personne et qui permettent de l’identifier ou de prouver son identité[5]. On en compte trois catégories[6] :
- La biométrie physique ou morphologique analyse des caractéristiques morphologiques comme les empreintes digitales, le réseau veineux, la forme de la main[7], de l’iris et de la rétine de l’œil et du visage d’une personne[8].
- La biométrie comportementale analyse des caractéristiques comportementales comme le tracé d’une signature, la voix, les pulsations cardiaques, la démarche ou la posture d’une personne[9].
- La biométrie biologique analyse des traces ou échantillons biologiques d’une personne, comme l’ADN, le sang, la salive, l’urine, les odeurs, etc.[10]
Une caractéristique biométrique est unique à une personne et permet d’établir son identité.
Une mesure biométrique implique quant à elle le traitement technologique d’une caractéristique biométrique. En effet, « [l]es mesures biométriques concernent l’ensemble des caractéristiques distinctives d’une personne. Elles peuvent être lues par des systèmes informatiques et utilisées afin d’identifier une personne[11] »
À titre illustratif, la forme du visage correspond à une caractéristique biométrique morphologique, tandis que le résultat de son traitement pour en extraire des points nodaux constituerait plutôt la mesure ou donnée biométrique qui en découle[12].
Les caractéristiques et mesures biométriques sont, à différents niveaux[13] :
- Uniques : elles sont en grande partie uniques à chaque personne[14].
- Distinctives : elles sont suffisamment différentes chez deux personnes pour qu’elles puissent être différenciées[15].
- Permanentes[16] : elles sont suffisamment immuables pendant une période donnée.
- Universelles : chaque personne possède ou présente de telles caractéristiques.
- Perceptibles : elles peuvent être mesurées quantitativement.
Si les caractéristiques et mesures biométriques permettent d’identifier une personne de manière efficace et précise, leur utilisation est d’autant plus délicate[17] et strictement encadrée par la loi.
Toutes les données biométriques[18] n’ont pas le même degré de sensibilité ni ne portent également atteinte aux droits fondamentaux des personnes concernées. En général, la saisie d’empreintes digitales est plus invasive que la prise de points relatifs à la forme de la main[19]. De la même façon, les systèmes de reconnaissance faciale recueillent généralement de l’information plus sensible[20] que ceux de reconnaissance vocale[21].
L’ensemble des données biométriques sont des renseignements personnels sensibles soumis aux lois sur la protection des renseignements personnels, peu importe le contexte de leur utilisation[22].
Système biométrique
Un système biométrique comprend deux phases[23] :
- L’enrôlement consiste à enregistrer la représentation numérique des caractéristiques ou mesures biométriques dans une banque de données[24] ou sur tout autre support à partir desquels d’autres données biométriques sont ensuite individuellement comparées.
- Lors de la reconnaissance, la banque de données saisie à l’étape d’enrôlement est comparée à une seconde donnée afin de créer une association et ainsi identifier ou authentifier une personne. La phase de reconnaissance est par ailleurs automatisée à l’aide de la technologie (par exemple, l’intelligence artificielle)[25].
Un système biométrique pourrait être un système de reconnaissance d’empreintes digitales[26], de reconnaissance vocale[27] ou encore faciale[28], mais pourrait aussi être contenu ou lié à un objet technologique disposant d’autres fonctionnalités telle une caméra infrarouge[29], dès que celui-ci vise à identifier ou à authentifier une personne[30].
- L’identification (qui est cette personne?) correspond à l’examen de confrontation des faits pour établir l’identité d’une personne[31]. En présentiel, l’identification se fait généralement par la vérification de pièces d’identité officielles avec photo (par exemple, une carte d’assurance maladie, un permis de conduire ou passeport), bien que ces documents ne puissent en théorie être utilisés que dans des contextes limités[32].
- L’authentification (cette personne est-elle bien celle qu’elle prétend être?) correspond à la vérification de l’identité qu’une personne déclare. Ainsi, elle constitue l’étape suivant l’identification. Par exemple, dans un service fourni en ligne, une fonction d’authentification avec nom d’utilisateur et mot de passe permet à un organisme de s’assurer qu’elle communique avec le bon citoyen ou le bon représentant d’une organisation.
Dans l’univers technologique, une infinité de procédés permettent d’identifier ou d’authentifier une personne. Chaque procédé présente un degré de fiabilité, ou « niveau de confiance » variable au Québec[33]. La LCCJTI[34] encadre les procédés d’identification et d’authentification permis, autant dans l’univers physique que technologique. Revisitée en septembre 2022, la LCCJTI oblige, entres autres, à divulguer un système biométrique à la Commission d’accès à l’information avant de le mettre en service, que ce système repose sur une base de données centralisée ou non[35].
Ainsi, un système qui ne comprendrait pas les deux phases d’enrôlement et de reconnaissance ou qui ne viserait pas à identifier ou à authentifier une personne ne constituerait pas un système biométrique, et ne serait pas soumis aux exigences de la LCCJTI relatives à de tels systèmes[36].
Au contraire, si un système répond à ces critères, qu’il soit offert par un tiers ou créé à l’interne, la LCCJTI s’appliquera en plus des lois sur la protection des renseignements personnels.
[1] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1 (« Loi sur le privé »), la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1 (« Loi sur l’accès »); voir aussi Code civil du Québec, art. 35 à 41.
[2] RLRQ c C-1.1 (la « LCCJTI »).
[3] D’autres normes juridiques et administratives particulières pourraient également s’appliquer, dans des secteurs comme la santé, par exemple.
[4] Loi sur le privé et Loi sur l’accès, supra note 1.
[5] Commission d’accès à l’information du Québec, « Biométrie : principes à respecter et obligations légales des organisations. Guide d’accompagnement pour les organismes publics et les entreprises », 21 septembre 2022, en ligne : https://www.cai.gouv.qc.ca/documents/CAI_G_biometrie_principes-application.pdf. L’Office québécois de la langue française définit la biométrie comme étant une « [a]nalyse mathématique des caractéristiques uniques d'une personne, afin de déterminer ou de prouver son identité9», Office québécois de la langue française, biométrie, 2020, en ligne : http://gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=8370889.
[6] Dans certains documents, la biométrie biologique et la biométrie morphologique sont assimilées à la même catégorie, celle de la biométrie physiologique (ou physique). Voir Gouvernement du Canada, « Des données au bout des doigts : La biométrie et les défis qu’elle pose à la protection de la vie privée », février 2011, en ligne : https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/renseignements-sur-la-sante-renseignements-genetiques-et-autres-renseignements-sur-le-corps/gd_bio_201102/; Norme ISO 24745 : 2011 « Information technology — Security techniques — Biometric information protection », « 2.3. biometric characteristic », p. 8 ; Thales, « La biométrie au service de l’identification et l'authentification », 14 avril 2021, en ligne : https://www.thalesgroup.com/fr/europe/france/dis/gouvernement/inspiration/biometrie.
[7] Syndicat des travailleurs de Mométal (C.S.N.) et Mométal inc. (T.A., 2001-07-27), SOQUIJ AZ-01141263, D.T.E. 2001T-919, [2001] R.J.D.T. 1967.
[8] Julie M. Gauthier, Cadre juridique de l'utilisation de la biométrie au Québec : sécurité et vie privée, mémoire de maîtrise, Montréal, Faculté des études supérieures, Université de Montréal, 2014, p. 19-24.
[9] Ibid., p. 26-28.
[10] Cela dit, le caractère matériel de la caractéristique saisie fait qu’elle est moins facilement exploitable sous un format numérique, la rendant moins intéressante que les deux autres, sur le plan technologique. Commission d’accès à l’information du Québec, supra note 5, p. iv.
[11] LCCJTI annotée, « Biométrie, mesures biométriques » (format papier).
[12] Voir aussi le système de poinçon-main permettant d’extraire des mesures biométriques à partir de la caractéristique biométrique qu’est la forme de la main, dans Syndicat des travailleurs de Mométal (C.S.N.) et Mométal inc., SOQUIJ AZ-01141263, [2001] R.J.D.T. 1967; CAI, « Horodateurs et pointeuses biométriques – constats », 27 mars 2023, en ligne : https://www.cai.gouv.qc.ca/documents/CAI_A_horodateurs_biometriques_vf.pdf
[13] « Les empreintes digitales, l’iris et l’ADN figurent parmi les caractéristiques les plus distinctives, tandis que les traits du visage peuvent être partagés entre deux ou plusieurs personnes. Certains attributs physiques, comme les empreintes digitales et l’iris, ont aussi tendance à demeurer inchangées au fil des ans et à être difficiles à modifier. Cependant, d’autres caractéristiques biométriques, comme le visage, peuvent changer au fil des années et peuvent aussi être modifiées par le maquillage, les déguisements ou la chirurgie», dans Commissariat à la protection de la vie privée du Canada, « Des données au bout des doigts : La biométrie et les défis qu’elle pose à la protection de la vie privée », février 2011, en ligne : https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/renseignements-sur-la-sante-renseignements-genetiques-et-autres-renseignements-sur-le-corps/gd_bio_201102/.
[14] Enquête conjointe sur La Corporation Cadillac Fairview limitée (« Fairview »), par. 79 (repris dans Enquête à l'égard de Clearview AI Inc., 1023158-S (CAI), par. 41).
[15] Julie M. Gauthier, supra note 8, p. 29, citant quatre critères reconnus dans Anil K. Jain, Arun Ross et Salil Prabhakar, « An Introduction to Biometric Recognition », IEEE Transactions on Circuits and Systems for Video Technology, vol. 14, no 1, janvier 2004, p. 4; Fairview supra note 14, par. 79.
[16] Les trois premiers critères sont reconnus dans une décision de la CAI, Les 3 Piliers Inc., 1018507-S (CAI), par. 35, au sujet des empreintes digitales : « Le caractère unique, distinctif et permanent de ce renseignement peut entraîner un vol ou une fraude à l’identité et compromettre son utilisation pour la personne concernée. Contrairement à une carte ou un secret partagé, on ne remplace pas une empreinte digitale. »; voir aussi Fairview supra note 14, par. 79.
[17] Fairview supra note 14, par. 79; voir aussi la section « Biométrie » du rapport quinquennal de la CAI de 2016 « Rétablir l’Équilibre », 2016, p. 101 et suiv., en ligne :https://www.cai.gouv.qc.ca/documents/CAI_RQ_2016.pdf ».
[18] Les données biométriques regroupent toute l’information biométrique sous une forme informatisée, qu’elle soit chiffrée ou non.
[19] Julie M. Gauthier, supra note 8, p. 41; Syndicat des travailleurs de Mométal (C.S.N.) et Mométal inc., SOQUIJ AZ-01141263, [2001] R.J.D.T. 1967 : « L’instrument, on l’a vu, n’enregistre pas les empreintes digitales de la personne salariée. Elle ne fait que mémoriser, sous forme d’une formule binaire, certaines caractéristiques de la main (largeur, épaisseur, longueur). À mon avis, cette exigence de l’employeur ne viole pas le droit à l'intégrité (art. 1) et au respect à l'intégrité physique (art. 46) prévus à la charte québécoise. Selon moi, il y a une distinction significative entre être tenu de fournir un cheveu, un échantillon de salive ou de sang et même des empreintes digitales et le fait de devoir placer une main sur une platine pendant une très brève période de temps. » (nos soulignements).
[20] Enquête à l'égard de Clearview AI Inc., 1023158-S (CAI), par. 41 : « Cela dit, dans la catégorie des renseignements biométriques, il existe des degrés de sensibilité. Nous estimons que les renseignements biométriques faciaux sont particulièrement sensibles puisque la possession d’un modèle de reconnaissance faciale peut permettre d’identifier une personne par comparaison avec un vaste éventail d’images facilement disponibles sur Internet, comme le montre l’affaire en question, ou par surveillance clandestine. »
[21] Commissariat à la protection de la vie privée du Canada, « Une organisation utilise la biométrie à des fins d'authentification », Résumé de conclusions d'enquête en vertu de la LPRPDE no 2004-281, 2004 CanLII 52853.
[22] Loi sur le privé, supra note 1, art. 12 al. 3 par. 2.
[23] Commission d’accès à l’information, supra note 5, p. 6.
[24] LCCJTI, supra note 2, art. 3 al. 4, pour la définition de banque de données au sens de la LCCJTI.
[25] La norme ISO x définit le système biométrique comme visant la reconnaissance automatisée des individus, p. 9 (« biometric system »); La proposition de règlement européen sur l’intelligence artificielle fait d’ailleurs de nombreux liens entre la biométrie et les systèmes d’IA. Commission européenne, « Proposition de Règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union », 21 avril 2021, COM(2021) 206 final, en ligne : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52021PC0206&from=EN.
[26] Les 3 Piliers supra note 16, par. 32.
[27] Commissariat à la protection de la vie privée du Canada, Une organisation utilise la biométrie à des fins d'authentification, 2004 CanLII 52853.
[28] Enquête à l'égard de Clearview AI Inc., 1023158-S (CAI).
[29] Enquête à l'égard de Héritage Ébénisterie Architecturale inc., 1023688-S (CAI).
[30] Un système biométrique pourrait avoir d’autres objectifs que l’identification ou l’authentification. Dans la LCCJTI, les termes « vérification » et « confirmation » de l’identité semblent néanmoins être utilisés pour désigner l’identification et l’authentification (ou vérification) ailleurs au Québec, au Canada et dans le monde. Voir p. ex. : Commission nationale de l’informatique et des libertés (CNIL), « Reconnaissance faciale », en ligne : https://www.cnil.fr/fr/definition/reconnaissance-faciale (France).
[31]LCCJTI annotée, art. 40, en ligne : https://www.tresor.gouv.qc.ca/ressources-informationnelles/cadre-normatif-de-gestion-des-ressources-informationnelles/loi-concernant-le-cadre-juridique-des-technologies-de-linformation/loi-annotee-par-article/loi-annotee-par-article-article-40/.
[32] Commission d’accès à l’information, « Deux nouvelles fiches d’information sur les pièces d’identité », en ligne : https://www.cai.gouv.qc.ca/deux-nouvelles-fiches-dinformation-pieces-didentite. LCCJTI, art. 42, les pièces d’identité pourraient être utilisées sur support technologique également.
[33] Secrétariat du Conseil du trésor, Gouvernement en ligne, « Authentification des citoyens et des entreprises dans le cadre du gouvernement électronique », août 2004, p. 6, en ligne
[34] LCCJTI, supra note 2, art. 40 à 45.
[35] Ibid., art. 44-45; Les données pourraient plutôt être enregistrées sur un support physique dont la personne concernée a le contrôle, lors de la phase d’enrôlement. Pensons au iPhone, qui repose sur ce mécanisme, et non sur une base de données centralisée.
[36] Dans C.R. c. Loto-Québec, 2012 QCCAI 300, par. 111, la CAI devait déterminer si les art. 44 et 45 de la LCCJTI portant sur les systèmes biométriques étaient pertinents pour analyser une demande d’accès portant sur deux enregistrements audio d’une conversation téléphonique. La CAI conclut alors à la négative car, bien que les enregistrements puissent comporter des renseignements biométriques, ils n’étaient pas utilisés pour établir l’identité d’une personne.
