Document d’orientation sur la biométrie du CPVP : ce que les entreprises canadiennes doivent savoir

Le 11 août 2025, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a publié ses documents d’orientation très attendus sur le traitement de la biométrie, à la fois pour les institutions fédérales et les entreprises du secteur privé. Ils sont publiés au moment où de plus en plus d’organisations se tournent vers les technologies biométriques, comme la reconnaissance faciale et la numérisation des empreintes digitales, notamment aux fins de vérification de l’identité.

Le présent bulletin porte sur le document d’orientation à l’intention des entreprises sur le traitement des renseignements biométriques (le « document d’orientation sur la biométrie »), qui s’applique aux organisations du secteur privé assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») du Canada.

Ce document a été publié à la suite de la consultation publique sur le Document d’orientation provisoire à l’intention des organisations sur le traitement des données biométriques publié en 2023. Le document d’orientation sur la biométrie a été mis à jour afin de clarifier la terminologie, de décrire la portée de ce qui constitue des renseignements biométriques sensibles et de préciser les exigences et les pratiques exemplaires fournies aux organisations du secteur privé.

Survol de la terminologie associée à la biométrie

Le document d’orientation sur la biométrie clarifie divers termes utilisés relativement aux données et renseignements biométriques. Voici un survol des principaux termes :

La biométrie fait référence à la quantification des caractéristiques humaines, comme les empreintes digitales, les images faciales, les balayages de l’iris ou les modèles de comportement tels que la dynamique de frappe, sous une forme mesurable.

Les technologies biométriques désignent les technologies qui permettent de saisir et d’analyser les caractéristiques biométriques d’une personne.

Dans son document d’orientation, le CPVP fait référence à deux principaux types de technologies biométriques, en particulier celles qui saisissent et analysent i) les données biométriques physiologiques concernant la forme ou la structure du corps d’une personne, ou ses caractéristiques biologiques qui demeurent généralement stables au fil du temps (motif de l’iris ou ADN, par exemple), et ii) les données biométriques comportementales concernant les caractéristiques distinctives des mouvements, des gestes ou des habiletés motrices d’une personne (mouvements oculaires ou dynamique de frappe, par exemple).

Les échantillons biométriques (aussi appelés « gabarits de comparaison » dans certains cas) désignent des données biométriques brutes et non traitées, comme une image du visage d’une personne, ses empreintes digitales, un enregistrement de sa voix ou un échantillon de son ADN. Les échantillons biométriques contiennent des renseignements personnels qui peuvent être traités et transformés en renseignements biométriques au moyen d’un système biométrique.

Les renseignements biométriques désignent les renseignements sur les caractéristiques biométriques provenant d’un échantillon biométrique (ces renseignements sont généralement considérés comme des renseignements personnels). Ils renvoient normalement au modèle et non à l’échantillon biométrique brut, bien que les deux puissent nécessiter une protection en raison de leur caractère sensible.

Les modèles biométriques désignent les représentations numériques créées lorsqu’un échantillon biométrique est saisi dans un système biométrique et analysé. Habituellement, les organisations utilisent des logiciels sophistiqués pour extraire, analyser et comparer des modèles biométriques.

Technologie de reconnaissance biométrique

Les technologies biométriques sont souvent utilisées à des fins de vérification ou de reconnaissance de l’identité. Une organisation est réputée « identifier » une personne lorsqu’elle utilise l’échantillon biométrique de ladite personne et le compare à plusieurs modèles biométriques pour évaluer si l’un d’eux correspond (ce qu’on appelle communément une correspondance « d’un à plusieurs »).

En revanche, une organisation est réputée « vérifier » ou « authentifier » l’identité d’une personne lorsqu’elle utilise l’échantillon biométrique de ladite personne et le compare à un seul modèle biométrique pour déterminer s’il correspond (ce qu’on appelle communément une correspondance « d’un à un »).

Le document d’orientation sur la biométrie encourage les organisations à privilégier les processus de vérification plutôt que d’identification, dans la mesure du possible, car cette dernière est plus intrusive. Le CPVP estime notamment que la LPRPDE s’applique à la collecte de renseignements biométriques même si ceux-ci sont supprimés après quelques millisecondes (lorsque les données biométriques d’une personne sont balayées et converties instantanément en informations démographiques anonymes).

Caractère sensible des renseignements biométriques

Le CPVP souligne que les renseignements biométriques qui permettent d’identifier précisément une personne sont des renseignements sensibles. C’est particulièrement le cas lorsque les renseignements biométriques d’une personne demeurent stables au fil du temps, sont intimement liés à elle et sont très difficiles à modifier.

En revanche, si les renseignements biométriques ne permettent pas d’identifier précisément une personne, ils peuvent être sensibles ou non, selon les circonstances. Les organisations doivent évaluer la nature des renseignements biométriques et les circonstances pour déterminer si ceux qui ne permettent pas d’identifier précisément une personne seraient considérés ou non comme des renseignements sensibles.

En règle générale, les organisations devraient traiter tous les renseignements biométriques comme des renseignements sensibles i) lorsqu’ils pourraient être facilement combinés à d’autres renseignements qui permettraient d’identifier précisément une personne, ii) lorsque leur mésusage pourrait présenter un risque élevé de préjudice pour les personnes concernées ou iii) lorsqu’ils permettraient la divulgation d’autres renseignements sensibles au sujet de la personne concernée.

Obligations notables en vertu de la LPRPDE

Le document d’orientation sur la biométrie traite de la façon dont les principes de la LPRPDE s’appliquent à la biométrie, soulignant plusieurs obligations :

Établissement de fins acceptables : Les organisations ne doivent collecter et utiliser des renseignements biométriques que lorsqu’une personne raisonnable le jugerait approprié, compte tenu de leur caractère sensible et du contexte. Conformément aux documents d’orientation antérieurs, le CPVP utilise un test en plusieurs parties pour évaluer les fins acceptables :

L’organisation a-t-elle un besoin légitime de traiter des renseignements biométriques? Le CPVP affirme que, de façon générale, la biométrie ne devrait pas être utilisée uniquement pour des raisons de commodité.

Le traitement de la biométrie serait-il efficace pour répondre à ce besoin? En particulier, le CPVP demande aux organisations de disposer d’un plan clair pour mesurer l’efficacité, en tenant compte de la validité scientifique et technique, des taux de précision et d’erreur ainsi que des risques de sécurité.

Le système pourrait-il être conçu ou déployé de façon moins intrusive à des coûts et à des avantages comparables?

Dans l’ensemble, l’utilisation des renseignements biométriques est-elle proportionnelle au niveau d’intrusion?

Consentement : Les organisations doivent obtenir un consentement valide avant de collecter ou d’utiliser des renseignements biométriques. Compte tenu du caractère sensible de ces renseignements, le consentement sera explicite dans presque tous les cas. Si l’utilisation de la biométrie est non essentielle ou non intégrée, des solutions de rechange doivent être fournies.

Minimisation des données : Les organisations doivent limiter la collecte, l’utilisation, la communication et la conservation des renseignements biométriques à ce qui est nécessaire aux fins énoncées. Par exemple, les organisations devraient s’efforcer d’utiliser le nombre minimal de caractéristiques biométriques (y compris la quantité de caractéristiques uniques et les combinaisons possibles) à leurs fins.

Le CPVP recommande également de distinguer les données biométriques des autres renseignements dans les plans de conservation des données, afin de s’assurer qu’elles sont supprimées dès qu’elles ne sont plus nécessaires.

Mesures de protection : Les organisations doivent appliquer des mesures de sécurité rigoureuses proportionnelles au caractère sensible des renseignements biométriques, y compris le chiffrement, les contrôles d’accès et le stockage sécurisé.

Lorsque les renseignements biométriques sont eux-mêmes utilisés comme mesure de protection, les organisations devraient demeurer à jour en ce qui concerne les vulnérabilités potentielles des différents systèmes biométriques (prise d’empreintes digitales, usurpation de la voix et hypertrucages pour tromper les systèmes de reconnaissance faciale, par exemple).

Exactitude : Les organisations doivent s’assurer que les données biométriques sont aussi exactes et à jour que nécessaire, et tester les systèmes pour en vérifier l’exactitude et la partialité. En particulier, elles doivent prendre des mesures pour minimiser les écarts entre les groupes sociodémographiques.

Responsabilité : Les organisations doivent maintenir des politiques de gouvernance, attribuer la responsabilité liée aux données et veiller à ce que les fournisseurs de services respectent des normes équivalentes. Le CPVP recommande l’intégration d’une révision humaine lorsque le système biométrique pourrait avoir une incidence sur la capacité des personnes à accéder aux produits et services.

Transparence : Les organisations doivent clairement informer les personnes concernées des renseignements biométriques collectés ainsi que leur fournir un relevé général de leur utilisation et une liste des personnes à qui ils peuvent être communiqués. Ces informations doivent figurer dans la politique de protection de la vie privée de l’entreprise, qui doit être facilement accessible.

Pratiques exemplaires notables

Le CPVP recommande fortement aux organisations d’effectuer des évaluations des facteurs relatifs à la protection de la vie privée avant de mettre en œuvre des systèmes biométriques, d’évaluer des solutions de rechange moins intrusives et de concevoir des solutions pour réduire au minimum la collecte et la conservation des données dès le départ.

Le CPVP encourage la protection de la vie privée dès la conception, y compris par l’utilisation de modèles annulables, de stockage sur appareil et de chiffrement, pour réduire les risques d’atteinte à la vie privée. Les organisations devraient maintenir la transparence, offrir des solutions de rechange lorsque cela est possible et surveiller les systèmes pour en assurer l’exactitude et la partialité ainsi qu’en éviter le mésusage. Des vérifications régulières, une réévaluation de la nécessité et des plans d’intervention clairs en cas d’atteinte à la sécurité des données biométriques sont également recommandés.

Qu’en est-il au Québec?

Les organisations qui exercent leurs activités au Québec doivent savoir que les lois québécoises sur la protection des renseignements personnels imposent des obligations supplémentaires et souvent plus strictes en ce qui concerne la collecte et le traitement des renseignements biométriques. Par exemple, les organisations québécoises qui mettent en place une base de données biométriques doivent aviser par écrit la Commission d’accès à l’information du Québec (« CAI ») au moins 60 jours avant sa mise en service.

Conclusion

Les organisations du secteur privé qui envisagent d’utiliser ou utilisent des technologies biométriques devraient faire preuve de diligence et s’assurer que leurs activités de collecte et de traitement des renseignements biométriques respectent à la fois les exigences juridiques et les mesures de sécurité recommandées par le CPVP. En intégrant la nécessité, la proportionnalité et la protection de la vie privée dès la conception dans le développement, le déploiement et l’utilisation des systèmes biométriques, les organisations peuvent tirer parti de ces outils efficacement tout en protégeant les droits des personnes concernées et en demeurant conformes à la LPRPDE.

À propos des auteurs

Amir Kashdaran du cabinet McMillan possède plus de 17 ans d’expérience et offre une gamme complète de services-conseils juridiques à des sociétés nationales et internationales, et ce, dans divers domaines, dont : technologies, propriété intellectuelle, vie privée et protection des données, ainsi que droit commercial.

Robbie Grant pratique le droit relatif à la protection de la vie privée et des données chez McMillan.