Le recours à la biométrie, qui englobe l’utilisation de caractéristiques physiques ou comportementales pour identifier une personne, gagne en popularité dans divers secteurs, notamment pour améliorer l’efficacité et la sécurité des processus des entreprises. Cependant, il soulève des enjeux importants en matière de protection des renseignements personnels et n’est que rarement permis.
Ce bulletin met en lumière les obligations qui découlent du recours à la biométrie de manière chronologique dans l’implantation d’un tel système, et les sanctions en cas de non-conformité.
Les caractéristiques biométriques – comme celles créées à partir de la forme d’une main, d’une photographie du visage, de l’empreinte digitale – sont des renseignements personnels en ce qu’elles permettent de distinguer une personne physique par rapport à une autre. En effet, elles constituent des identifiants uniques et immuables, et par leur nature, suscitent un haut degré d’attente raisonnable en matière de vie privée.
Vous vous demandez ce qu’est un système biométrique? Consultez notre bulletin Biométrie, caractéristiques, mesures, et systèmes biométriques: pourquoi faut-il les différencier?
Obligations
Avant de recueillir des renseignements biométriques
1. Évaluer la nécessité de recueillir les renseignements biométriques.
C’est souvent à cette étape que le bât blesse. Que ce soit pour sécuriser l’accès au lieu de travail, calculer les heures travaillées, prélever la température ou faciliter les achats, le recours à la biométrie est rarement nécessaire[1].
Pour justifier la nécessité de la collecte de renseignements biométriques, une organisation doit satisfaire à deux critères cumulatifs :
Le caractère légitime, important et réel de l’objectif de la collecte.
- L’objectif doit se rapporter à une problématique réelle et non seulement appréhendée. La Commission d’accès à l’information (la « CAI ») constate que, de manière générale, les organisations n’évaluent pas la situation ayant mené à la décision d’utiliser un système biométrique de manière rigoureuse; la problématique ayant mené à cette décision étant rarement documentée[2].
La proportionnalité de l’atteinte à la vie privée par rapport aux objectifs.
La collecte doit être un moyen proportionnel pour atteindre cet objectif. Concrètement, cela signifie que :
- le recours à un système biométrique doit être un moyen efficace d’atteindre l’objectif poursuivi;
- l’organisation doit prioriser les moyens moins intrusifs permettant d’atteindre l’objectif;
- les avantages de recourir à ces systèmes biométriques doivent surpasser l’atteinte aux droits des employés et les conséquences préjudiciables susceptibles de résulter de la mise en place de ces systèmes[3].
Des douze décisions répertoriées qui évaluent la nécessité de recourir à un système biométrique, seule une conclut que le système est nécessaire et donc licite[4]. Le test de nécessité soulève des difficultés d’application pratique. La nature sensible des données biométriques et la multiplicité de solutions moins attentatoires (par exemple, l’utilisation d’un NIP) expliquent ces difficultés, au moins en partie.
Documentez les événements et la problématique qui justifie le recours à la biométrie. Généralement, une organisation ne peut pas implanter un système « au cas où » ou simplement parce qu’il est plus commode.
2. Réaliser une évaluation des facteurs relatifs à la vie privée dès le début du projet, c’est-à-dire dès la collecte des données dans la phase d’enrôlement[5].
3. Divulguer le système biométrique à la CAI préalablement à sa mise en service. S’il repose sur une banque de données centralisée, la divulgation doit avoir lieu « avec diligence, dans les 60 jours avant sa mise en service[6] ».
Pour procéder, la CAI propose d’utiliser le Formulaire de déclaration d’une banque de caractéristiques ou de mesures biométriques.
4. Limiter la collecte : seuls les renseignements biométriques nécessaires pour identifier ou authentifier une personne doivent être saisis.
Par exemple, il ne faut pas recueillir les dix empreintes digitales d’une personne si seule l’empreinte de son index droit suffirait.
Lors de la collecte de renseignements biométriques
5. Obtenir le consentement exprès des personnes concernées. Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques[7].
- La CAI a rendu disponible un exemple de modèle de consentement en ligne.
- Prévoir une solution alternative en cas de refus[8].
Attention, l’obtention d’un consentement ne permet pas de passer outre l’analyse de nécessité (conseil no 1).
Suivant la collecte de renseignements biométriques
6. Respecter les finalités annoncées dans votre consentement (par exemple, l’enregistrement des heures de travail). Autrement, il vous faut obtenir un nouveau consentement exprès et réaliser une nouvelle analyse de nécessité.
- Toute forme de réutilisation de renseignements découverts à partir des renseignements biométriques saisis est strictement interdite. Par exemple, la reconnaissance faciale peut donner des indications quant à l’état émotionnel d’une personne au moment de la capture; il est strictement interdit d’en faire une quelconque utilisation[9].
7. Implanter des mesures de sécurité renforcées. En effet, puisque les renseignements biométriques sont des renseignements personnels sensibles, ils doivent faire l’objet d’une protection rehaussée[10].
- En matière biométrique, la CAI recommande, sauf exception, la conversion de l’image de la donnée biométrique brute en formule codée, de même que l’utilisation d’un support externe, individuel ou portable, pour conserver les caractéristiques ou les mesures biométriques codées, sous le contrôle de la personne concernée[11].
Évitez d’utiliser un système biométrique qui repose sur une banque de données centralisée. Même si les données biométriques sont chiffrées, il est préférable que l’organisation n’ait pas le contrôle de leur conservation.
Destruction
8. Détruire les données biométriques de façon sécurisée et irréversible, directement lorsque les finalités sont accomplies (par exemple, après le départ d’un employé). Les notes et renseignements accessoires concernant les données biométriques d’une personne (par exemple, les métadonnées) doivent également être détruites[12].
Sanctions
Selon la Loi concernant le cadre juridique des technologies de l’information, la CAI peut émettre des ordonnances concernant toute banque de données biométriques[13]. La CAI a déjà ordonné la destruction de données biométriques recueillies illégalement[14]. Ces pouvoirs ne semblent toutefois pas s’étendre aux systèmes biométriques reposant sur des données décentralisées.
Compte tenu de la nature sensible des renseignements biométriques, leur utilisation dans le cadre d’un système est soumise aux sanctions prévues aux lois sur la protection des renseignements personnels, dont la Loi sur le privé. Autant l’entreprise que ses dirigeants, administrateurs et représentants, peuvent faire l’objet de sanctions[15]. En plus des recours de droit commun, une entreprise s’expose aux conséquences suivantes[16] :
L’unique enquête publiée par la CAI depuis l’entrée en vigueur du nouveau régime de sanctions le 22 septembre 2023 a conclu au recours illicite à un système biométrique, sans toutefois imposer de sanctions[17]. Reste à voir si cette approche plus collaborative de la CAI fera long feu.
