Opinions

Biométrie au Québec : réforme, risques et mitigation

Main image

Julie M. Gauthier

2022-05-09 11:15:00

Une spécialiste en protection de la vie privée et en droit des technologies fait le point sur les importants enjeux posés par la biométrie…

Me Julie Gauthier. Source: blg.com
Me Julie Gauthier. Source: blg.com
Le marché de la biométrie a fait d’importantes avancées ces dernières années, eu égard à l'utilisation répandue des appareils intelligents, des passeports électroniques et des cartes d'identité numériques. Bien que disposant d’atouts indéniables en matière de sécurité, la biométrie soulève néanmoins d'importants enjeux pour la vie privée, en raison notamment de la sensibilité inhérente aux données biométriques.

En 2001, le Québec a été la première juridiction au Canada à introduire la ''Loi concernant le cadre juridique des technologies de l'information'' (LCCJTI) en proposant des exigences spécifiques réglementant l'utilisation de données biométriques, le tout dans l’optique que celles-ci soient gérées avec un niveau de protection adéquat. Parmi celles-ci, les organisations sont tenues de déclarer à la Commission d’accès à l’information du Québec (CAI) l'utilisation de toute base de données contenant des caractéristiques ou des mesures biométriques (ou « données biométriques »).

En septembre dernier, la ''Loi modernisant les dispositions législatives en matière de protection des renseignements personnels ''(Loi 64), qui modifie la LCCJTI, a été adoptée et imposera deux nouvelles exigences relatives à la déclaration (ou la "divulgation") des systèmes biométriques utilisés à des fins d'identification ou d'authentification. Ainsi, en plus de l'obligation actuelle d'obtenir le consentement exprès des individus pour la collecte de leurs données biométriques, les organisations seront tenues de déclarer tout processus impliquant le traitement de données biométriques, que celles-ci soient stockées ou non dans une base de données. Dans le cas contraire, les organisations ne seront pas autorisées à utiliser les données biométriques aux fins mentionnées ci-dessus.

Mais avant d'aborder ce changement normatif, il nous apparait utile de rappeler certains concepts clés de la biométrie.

Concepts clés

La biométrie (qui signifie littéralement « mesure du corps humain », en grec) est une pratique qui permet l'analyse mathématique des caractéristiques biologiques, morphologiques ou comportementales d'une personne. Lorsque nous parlons de biométrie au sens de la LCCJTI, nous nous rapportons aux systèmes déployés pour identifier ou confirmer l'identité d’une personne en utilisant ses données biométriques, telles que les empreintes digitales, la structure de l'iris ou de la rétine, la géométrie de la main ou du visage, ou la voix. Il s'agit d'une nuance importante, puisque les données biométriques sont considérées comme des renseignements personnels sensibles et que ces derniers sont assujettis aux lois sur la protection des renseignements personnels applicables aux secteurs public et privé, et ce, quel que soit le but pour lequel elles sont employées.

L'identification et l'authentification sont les principales fonctions de la biométrie. Chacune de ces fonctions dispose de composantes techniques qui lui sont propres, générant ainsi des risques juridiques distincts. Alors que la notion d’« identification » signifie de trouver une identité dans une base de données pour déterminer qui est une certaine personne, la notion d’« authentification » consiste plutôt à vérifier ou à confirmer l'identité de cette personne. Par exemple, l'identification peut être utilisée pour autoriser ou refuser un accès (c'est-à-dire que la présence des données biométriques capturées a été confirmée dans la base de données), alors que l'authentification permet plutôt de vérifier ou de confirmer que l'individu est bien ''celui qu'il prétend être''. La fonction d'identification soulève généralement plus de risques techniques et juridiques puisqu'une base de données biométriques doit être instaurée, ce qui n'est pas nécessairement le cas pour la fonction d'authentification.

Examinons maintenant les amendements apportés aux articles 44 et 45 de la LCCJTI par la Loi 64.

Amendement à l’article 44, LCCJTI

Selon le libellé de la Loi 64, l'article 44 de la LCCJTI est modifié comme suit (changements en rouge ci-dessous):

Article 44. Nul ne peut exiger, sans l’avoir divulgué préalablement à la Commission d’accès à l’information et sans le consentement exprès de la personne, que la vérification ou la confirmation de son identité soit faite au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques. L’identité de la personne ne peut alors être établie qu’en faisant appel au minimum de caractéristiques ou de mesures permettant de la relier à l’action qu’elle pose et que parmi celles qui ne peuvent être saisies sans qu’elle en ait connaissance.

Tout autre renseignement concernant cette personne et qui pourrait être découvert à partir des caractéristiques ou mesures saisies ne peut servir à fonder une décision à son égard ni être utilisé à quelque autre fin que ce soit. Un tel renseignement ne peut être communiqué qu’à la personne concernée et seulement à sa demande.

Ces caractéristiques ou mesures ainsi que toute note les concernant doivent être détruites lorsque l’objet qui fonde la vérification ou la confirmation d’identité est accompli ou lorsque le motif qui la justifie n’existe plus.

En vertu du texte original de cet article, une organisation est tenue d'obtenir le consentement exprès (opt-in) afin de pouvoir identifier/authentifier une personne en utilisant ses données biométriques. Les organisations doivent ainsi suggérer une méthode alternative d'identification/authentification pour les individus qui ne fournissent pas leur consentement. En outre, les personnes doivent être suffisamment informées de la nature, des objectifs et des conséquences du traitement de leurs données biométriques (généralement au moyen d'un avis de confidentialité et d'un formulaire de consentement), et ce traitement doit répondre aux principes de raisonnabilité et de proportionnalité, que le consentement exprès ait été obtenu ou non. Les récents amendements n'ont pas modifié cette exigence.

Le premier changement de cet amendement prévoit qu'en plus du consentement exprès de la personne, la vérification ou la confirmation de son identité au moyen d’un procédé permettant de saisir ses caractéristiques ou mesures biométriques devra être préalablement déclarée à la CAI. En d'autres termes, la portée de l’obligation de déclaration s'étend désormais à toute utilisation de données biométriques pour identifier ou confirmer l'identité d'une personne, qu'une base de données soit implantée ou non. Cette nouvelle exigence est cohérente avec les recommandations de la CAI concernant la Loi 64 dans son document intitulé « Mémoire de la Commission d'accès à l'information présenté à la Commission des institutions dans le cadre des consultations particulières et auditions publiques ». Bien qu'aucune formalité n'ait été établie jusqu’ici par le législateur en relation avec cette nouvelle obligation (c'est-à-dire le formulaire à utiliser pour la déclaration, les délais, etc.), la CAI pourrait publier des lignes directrices d'ici l'entrée en vigueur de cet amendement.

Amendement à l’article 45, LCCJTI

Selon le libellé de la Loi 64, l'article 45 de la LCCJTI est modifié comme suit (changements en rouge ci-dessous):

Article 45. La création d’une banque de caractéristiques ou de mesures biométriques doit être divulguée à la Commission d’accès à l’information avec diligence, au plus tard 60 jours avant sa mise en service. La création d’une banque de caractéristiques ou de mesures biométriques doit être préalablement divulguée à la Commission d’accès à l’information. De même, doit être divulguée l’existence d’une telle banque qu’elle soit ou ne soit pas en service.

La Commission peut rendre toute ordonnance concernant de telles banques afin d’en déterminer la confection, l’utilisation, la consultation, la communication et la conservation y compris l’archivage ou la destruction des mesures ou caractéristiques prises pour établir l’identité d’une personne.

La Commission peut aussi suspendre ou interdire la mise en service d’une telle banque ou en ordonner la destruction, si celle-ci ne respecte pas ses ordonnances ou si elle porte autrement atteinte au respect de la vie privée.

Suivant la mise en vigueur de la Loi 64, la création d'une base de données biométriques devra être déclarée à la CAI au plus tard 60 jours avant son utilisation. En d'autres termes, les organisations devront annoncer leur intention d’implanter une base de données biométriques au moins deux mois avant la mise en service. Cette obligation devra par ailleurs respecter les formalités requises par la CAI (c'est-à-dire déclarer la base de données en utilisant le formulaire requis).

Il convient de mentionner que si certains pouvoirs spécifiques sont conférés à la CAI en vertu de cet article au regard des bases de données biométriques (tels que le pouvoir de formuler des ordonnances relatives à la gestion, à la mise en œuvre et à la destruction de ces bases de données), la CAI ne disposera pas des mêmes pouvoirs en ce qui concerne l’utilisation des systèmes biométriques qui ne conservent pas les données biométriques dans une base de données, selon les libellés des articles 44 et 45.

Risques et mitigation

L'évaluation du niveau de risque découlant du traitement des données biométriques devrait tenir compte des facteurs ci-dessous :

#si la technologie est intrusive en matière de vie privée ou d'intégrité physique;
#le but pour lequel la technologie est utilisée;
#s'il est possible d'utiliser un autre procédé pour atteindre les mêmes objectifs;
#comment les données biométriques sont-elles gérées, conservées et détruites (mesures de sécurité).

Le degré d'atteinte à la vie privée (ou à l’intégrité physique) d'une personne dépendra généralement de la donnée biométrique saisie, celle-ci étant inhérente au corps humain et pouvant révéler beaucoup plus de renseignements personnels que la donnée elle-même. Par exemple, la lecture de l'iris ou de la rétine sera généralement considérée comme plus intrusive que les systèmes de reconnaissance de la voix, en raison notamment des faisceaux lumineux ou rayons qui touchent et traversent l'œil. La rétine peut également révéler plusieurs types de conditions médicales telles que le sida, la syphilis, la leucémie, le lymphome et l'insuffisance cardiaque. Par ailleurs, d'autres risques connexes devraient également être pris en compte, tels que la circulation des données biométriques, la surveillance accrue (publique ou privée), le détournement d’usage et le vol d'identité. À ce sujet, l’ouvrage intitulé « Le droit de la biométrie au Québec : sécurité et vie privée » expose plus en détail les risques découlant de l’usage de la biométrie ainsi que ses conséquences pratiques.

Afin de mitiger les risques juridiques, les organisations devraient se munir de lignes directrices claires sur l'utilisation des systèmes/données biométriques, en prévoyant non seulement le cadre normatif de la LCCJTI, mais également les autres principes applicables réglementant la protection des renseignements personnels. Les organisations devraient également effectuer une évaluation des facteurs sur la vie privée (EFVP) avant de déployer tout système biométrique, ce qui permettra d'identifier les risques juridiques et les contrôles à instaurer afin d’atténuer ces risques. En ce sens, une EFVP est la feuille de route d'une organisation pour la mise en œuvre d'un programme de protection de la vie privée et permet de démontrer aux autorités réglementaires que l'organisation a fait ses devoirs.

Enfin, notons qu'une fois la mise en vigueur de la Loi 64, une EFVP deviendra exigible pour tout projet d'acquisition, de développement ou de refonte d'un système d'information ou de prestation de services électroniques impliquant le traitement de renseignements personnels dans les secteurs public et privé. À cet égard, le « Guide de conformité pour la réforme de la Loi sur la protection des renseignements personnels dans le secteur privé » fournit un aperçu pragmatique de la réforme apportée par la Loi 64 ainsi qu’une perspective sur les actions à prendre pour se conformer aux nouvelles exigences.


Sur l’auteure
Julie Gauthier est avocate-conseil chez Borden Ladner Gervais, spécialisée en protection de la vie privée et en droit des technologies depuis plus de 10 ans. Ce texte a d’abord été publié par BLG.

8723

3 commentaires

  1. Anonyme
    Anonyme
    il y a 2 ans
    Excellent article
    Merci d'avoir reproduit cet article; c'était très informatif et espérons que le fédéral s'inspire du Québec sur cette question!

  2. Anonyme
    Anonyme
    il y a 2 ans
    Me semble que le CEPSUM a dû faire une déclaration à la CAI...
    "les organisations sont tenues de déclarer à la Commission d’accès à l’information du Québec (CAI) l'utilisation de toute base de données contenant des caractéristiques ou des mesures biométriques (ou « données biométriques »)."


    Aujourd'hui, des mesures de centaines de milliers de mains doivent être rendues dans le "cloud", profondément enfouis dans de vieux backup, ou alors dans des vieux tape reclyclés en Inde.

  3. Rejean Caron
    Rejean Caron
    il y a un an
    demain il sera trrop tard
    Le Québec va servir de prétexte MAIS pire d'argument avec ou contre les autres provinces Ils testent tout ici et avec la mentalité de clocher du petit peuple (tel nommé par le père trou d eau ) Le KABAC se laissera anéantir tel que promis par les libéraux vers 18837 39 rapport durham Ordre reçu de la royauté que réalise très bien en traite le fils de l'autre Sous le joug de ce traite just in Promu le jeune leader canadien mondialiste Proclamé par son gourou k schwab Il test l'asservissement légal des kaba quoi ? Tout ca avec la complicité des merdias appartenant en majorité a ces mêmes mondialistes qui répandent leur propagande 24-24 7- 7 sur nous et la avec la biométrie ILS AURONT ENFIN L'INSTRUMENT A CONTÔLER LEUR TROUPEAU

Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires