Mise à jour des orientations du CPVP sur la biométrie : ce que les entreprises doivent savoir

Le 11 août dernier, le Commissariat à la protection de la vie privée du Canada (CPVP) a publié une mise à jour de son document d’orientation sur l’utilisation des renseignements biométriques. Les systèmes biométriques utilisent des caractéristiques humaines mesurables et uniques, telles que les empreintes digitales ou les habitudes de frappe, pour identifier ou authentifier des individus. Ces technologies sont intéressantes comme moyens d'authentification, car elles sont considérées comme sûres et réduisent la dépendance aux mots de passe. 

Les orientations du CPVP sont présentées dans deux documents : l’un destiné aux organisations du secteur privé assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), l’autre aux institutions fédérales assujetties à la Loi sur la protection des renseignements personnels. Les deux documents s’articulent autour de plusieurs principes de la LPRPDE relatifs aux pratiques équitables en matière de renseignements, avec un accent particulier sur la finalité du traitement de renseignements biométriques et sur le consentement des personnes dont les renseignements sont collectés et générés. Les orientations s’appuient également sur les décisions antérieures du CPVP concernant les renseignements biométriques pour étayer ces pratiques exemplaires.

Quelles sont les exigences énoncées dans les documents d’orientation?

Traiter les renseignements biométriques comme des renseignements personnels sensibles

Les renseignements biométriques doivent être traités comme des renseignements biométriques sensibles, en particulier si, selon le cas :

• combinés à d’autres données, ils permettent d’identifier une personne de manière unique;
• leur mauvaise utilisation pourrait causer un préjudice important à la personne auprès de laquelle ils ont été collectés;
• ils révèlent d’autres catégories de renseignements sensibles (par exemple, des données médicales provenant d’une application de mise en forme).

Dans les documents d’orientation, le CPVP indique que les renseignements biométriques peuvent être sensibles même s’ils sont utilisés ou conservés pour une brève période, par exemple dans le cas d’un système de reconnaissance faciale qui supprime ces renseignements dans un délai de quelques millisecondes, et que ces renseignements doivent être traités avec précaution.

S’assurer d’une utilisation proportionnelle aux avantages obtenus et d’une intrusion minimale 

Avant de collecter des renseignements biométriques, les organisations doivent s’assurer que leur traitement aura une finalité appropriée. Les orientations recommandent que le caractère approprié soit évalué sur la base de la légitimité du besoin, de l’efficacité, de la proportionnalité et de l’intrusion minimale. Il s’agit notamment de prendre en compte les normes du secteur et le paysage des menaces. 

Par exemple, le secteur des télécommunications est connu pour opérer dans un paysage de menaces à risque élevé, du fait que les prestataires de services sont fréquemment la cible de cyberattaques. Ces entreprises peuvent être utilisées comme des passerelles vers d’autres systèmes sensibles, tels que les plateformes de courriel et les services bancaires, ce qui signifie que toute violation est susceptible d’avoir des effets en cascade (par exemple usurpation d’identité, atteinte à la réputation et fraude financière résultant de la divulgation non autorisée ou de la perte de renseignements personnels sensibles). Compte tenu de ces risques élevés, l’utilisation de renseignements biométriques d’empreinte vocale pour vérifier l’identité des titulaires de comptes par téléphone est généralement considérée comme une mesure justifiée et proportionnée dans le secteur des télécommunications.

En comparaison, le CPVP considère que la collecte d’empreintes digitales pour authentifier les personnes dans le cadre de tests standardisés est disproportionnée, car les risques pour la vie privée l’emportent sur les avantages limités qui en découlent. La position du CPVP est que les empreintes digitales, comparativement à l’empreinte vocale, sont plus stigmatisées en raison de leur association avec les procédures pénales, ce qui les rend plus intrusives. En outre, cette pratique n’apporte qu’une valeur ajoutée minime, car il existe des solutions moins intrusives considérées comme efficaces pour lutter contre l’usurpation d’identité. Dans ce contexte, du point de vue du CPVP, l’atteinte à la vie privée causée par la collecte et la conservation des empreintes digitales n’est ni nécessaire ni proportionnelle.

Pour les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels, l’évaluation contextuelle est formalisée par la réalisation obligatoire d’une évaluation des facteurs relatifs à la vie privée (EFVP) pour toute collecte de renseignements biométriques. Bien que les organisations du secteur privé ne soient pas tenues de réaliser des EFVP en vertu de la LPRPDE, ces évaluations peuvent constituer un outil précieux pour les aider à évaluer le caractère approprié, la nécessité et la proportionnalité d’un système biométrique proposé.

Obtenir un consentement explicite et valable 

Avant d’utiliser un système biométrique, il faut obtenir un consentement explicite et valable auprès des personnes concernées. Pour qu’il y ait consentement valable, il doit être raisonnable de s’attendre à ce que les personnes comprennent les conséquences de la collecte de renseignements biométriques pour laquelle elles ont donné leur consentement, ce qui comprend la nature et la finalité des renseignements. Pour s’assurer de la validité du consentement obtenu, les organisations doivent se reporter aux Lignes directrices pour l’obtention d’un consentement valable du CPVP.

Aux fins de l’information des personnes, la déclaration de consentement préalable doit comprendre, sans s’y limiter, les éléments suivants :

• le type de renseignements biométriques collectés;
• la finalité de la collecte, de l’utilisation ou de la communication;
• les parties auxquelles les données seront communiquées;
• tout risque résiduel de préjudice.

Si l’utilisation de renseignements biométriques n’est pas une condition à la prestation de service, l’organisation doit proposer, dans la mesure du raisonnable, une solution de remplacement à la collecte de renseignements biométriques. En cas de changement futur dans le champ d’application de l’utilisation des renseignements biométriques, le consentement doit être renouvelé.

Autres principes de la LPRPDE

En outre, les orientations contiennent d’autres principes énoncés dans la LPRPDE et soulignent leur importance au moment d’adopter un système biométrique :

• Faire preuve de responsabilité : les organisations doivent désigner une personne ou un comité chargé de s’assurer de la conformité à la LPRPDE en ce qui a trait aux renseignements biométriques. Des politiques internes doivent être mises en œuvre pour assurer la conformité aux exigences de protection de la vie privée et pour doter les employés des ressources nécessaires pour gérer les renseignements biométriques dans l’exercice de leurs fonctions.
• Limitation de la collecte : les organisations doivent limiter la collecte de renseignements biométriques aux renseignements qui sont nécessaires aux fins proposées. En particulier, elles sont tenues de rechercher des méthodes de remplacement n’ayant pas recours à des renseignements biométriques.
• Limitation de l’utilisation, de la communication et de la conservation : les organisations ne doivent conserver les renseignements biométriques que pendant la période requise pour réaliser les fins visées, et s’abstenir d’extraire des renseignements secondaires sans un consentement explicite et valable.
• Exactitude : les systèmes biométriques doivent être mis à l’essai avant leur déploiement et faire l’objet d’une surveillance constante pour garantir leur bon fonctionnement.
• Mesures de sécurité : les organisations doivent mettre en place des mesures de protection proportionnelles à la sensibilité des renseignements biométriques collectés. Des mises à l’essai périodiques et un contrôle permanent de l’accès au système peuvent garantir la protection des renseignements.
• Transparence : les organisations doivent faire preuve de transparence à l’égard de leurs politiques de protection des renseignements personnels et rendre ces politiques accessibles à leur personnel et au grand public. 

Comment ces orientations se comparent-elles aux lois provinciales sur la protection des renseignements personnels?

Sur les trois provinces canadiennes où les lois sur la protection des renseignements personnels dans le secteur privé sont jugées substantiellement similaires aux lois fédérales sur la protection des renseignements personnels, le Québec est la seule à avoir promulgué des exigences légales qui visent spécifiquement les renseignements biométriques. 

En 2022, la Commission d’accès à l’information (CAI) a publié un document d’orientation expliquant comment ces règles doivent être interprétées. En vertu de ce cadre, tout projet impliquant des renseignements biométriques doit être manifestement nécessaire et proportionnel aux avantages obtenus. À cet égard, les organisations doivent réaliser une EFVP pour tout système ou service qui collecte ou utilise des renseignements biométriques. L’EFVP aide à déterminer si le projet répond à un intérêt légitime et sérieux, résout un problème réel, minimise les risques pour la protection des renseignements personnels et offre des avantages qui l’emportent sur les préjudices personnels potentiels.

Bien que les critères de la CAI ressemblent à ceux du CPVP, la loi est appliquée de façon nettement plus stricte au Québec. Au-delà de l’obtention du consentement explicite des personnes, les organisations doivent notifier à la CAI toute utilisation de renseignements biométriques pour identifier ou authentifier des personnes. Cette exigence s’applique, que les renseignements soient stockés dans une base de données ou supprimés immédiatement après l’authentification. 

Sur notification, la CAI peut examiner le projet et déterminer s’il est jugé conforme aux lois québécoises sur la protection des renseignements personnels. Par exemple, il existe un cas où une organisation a utilisé la reconnaissance faciale pour contrôler l’accès des employés au lieu de travail. L’organisation a déclaré que cette mesure avait pour objectif d’assurer la sécurité de ses employés et de ses locaux. Elle a aussi précisé qu’elle avait obtenu le consentement explicite de ses employés avant de déployer le projet. Cependant, la CAI a jugé que l’utilisation du système biométrique n’était ni nécessaire ni proportionnelle à l’objectif de l’organisation. Plus particulièrement, elle a estimé qu’en l’absence de rapports faisant état de problèmes de sécurité, la collecte de renseignements biométriques à des fins de sécurité n’était pas justifiée. La CAI a ordonné l’arrêt de l’utilisation du système.

Conclusion

La mise à jour du document d’orientation du CPVP donne aux organisations l’occasion de réévaluer la façon dont elles traitent les renseignements biométriques. Cela signifie qu’elles doivent prendre des mesures concrètes pour garantir leur conformité :

• Commencez par examiner les technologies biométriques actuellement utilisées dans votre organisation, y compris les systèmes d’authentification des employés et les outils de contact avec la clientèle.
• Adoptez un processus formel d’évaluation des nouveaux outils biométriques avant leur déploiement, en incluant des EFVP (si nécessaire) et des protocoles de consentement adaptés à chaque territoire concerné. 
• Portez une attention particulière aux opérations menées au Québec, où l’application de la loi est plus stricte et où des obligations de notification s’appliquent. 
• Enfin, veillez à ce que vos politiques de protection des renseignements personnels reflètent les normes juridiques en vigueur et suivent l’évolution des exigences réglementaires. 

Les auteur·rices tiennent à remercier Carolyn Moore, étudiante, pour son aide dans la préparation de la présente actualité juridique.