Systèmes de vérification de l’identité et de reconnaissance faciale

Quels sont les principaux points à retenir d’une décision récente de l’organisme de surveillance québécois de la protection des renseignements personnels?

Le 18 février 2025, la Commission d’accès à l’information du Québec (la « CAI »), l’organisme de surveillance de la protection des renseignements personnels du Québec, a rendu une décision importante en vertu de la Loi concernant le cadre juridique des technologies de l’information (la « LCCJTI »).

L’affaire concernait Metro Inc. (l’« Entreprise »), qui avait l’intention de mettre en service, à titre de projet pilote, une banque de caractéristiques et de mesures biométriques de personnes captées par caméras de surveillance (la « Banque de données biométriques ») pour soutenir l’implantation de systèmes de reconnaissance faciale dans certains de ses magasins. De façon générale, l’objectif de l’Entreprise était d’utiliser ces systèmes reliés à la Banque de données biométriques pour prévenir et détecter les vols à l’étalage et les fraudes dans les établissements désignés.

Dans le cadre de l’affaire, le commissaire a cherché à déterminer si l’utilisation de systèmes de reconnaissance faciale constituait une vérification ou une confirmation de l’identité d’une personne conformément à l’article 44 de la LCCJTI et si le traitement des renseignements biométriques des personnes concernées nécessitait leur consentement exprès.

1. Contexte factuel

Le 6 septembre 2024, conformément à l’article 45 de la LCCJTI, l’Entreprise a informé la CAI de son intention de mettre en place une Banque de données biométriques. Dans sa déclaration, l’Entreprise a indiqué que son initiative s’inscrivait dans le cadre d’un projet pilote visant à évaluer le déploiement d’un système de reconnaissance faciale dans certains de ses établissements afin de réduire ou de prévenir le vol à l’étalage et la fraude.

Plus précisément, le projet comportait les éléments suivants :

L’installation de caméras de surveillance aux entrées et aux sorties des établissements désignés pour capter des images des personnes qui entrent dans les locaux et qui en sortent.

La mise à l’essai de deux systèmes de reconnaissance faciale. Le premier système créerait une représentation numérique des caractéristiques faciales des personnes en analysant cinquante-six (56) caractéristiques et mesures distinctives (p. ex. la distance entre les yeux, la couleur des yeux, la forme du nez, etc.). Le deuxième système utiliserait un algorithme d’intelligence artificielle pour générer une signature mathématique des caractéristiques faciales des personnes à partir des images saisies par les caméras.

La conversion des images brutes captées par les caméras de surveillance en représentations numériques, qui seraient ensuite utilisées à des fins de comparaison avec les images de référence stockées dans la Banque de données biométriques. Autrement dit, les systèmes n’étaient pas censés comparer des images réelles, mais plutôt utiliser des représentations numériques générées au moyen d’algorithmes.

La génération d’images de référence dans la Banque de données biométriques à l’aide d’images de vidéosurveillance d’incidents confirmés de vol à l’étalage ou de fraude impliquant des adultes et pour lesquels une intervention policière a été demandée.

La sélection des images de référence à utiliser pour générer les représentations numériques dans la Banque de données biométriques suivrait les protocoles et procédures internes établis par l’Entreprise.

Ainsi, lorsqu’il établirait une correspondance entre la représentation biométrique d’une personne captée par vidéosurveillance et une image de référence de la Banque de données biométriques, le système avertirait le personnel de l’établissement afin qu’il évalue la situation et intervienne de façon appropriée.

2. Question juridique

La principale question juridique consistait à déterminer si le projet de reconnaissance faciale de l’Entreprise était assujetti à l’article 44 de la LCCJTI et si le traitement proposé des renseignements biométriques nécessitait le consentement exprès des personnes qui entrent dans les magasins. L’article 44 de la LCCJTI prévoit que l’identité d’une personne ne peut être vérifiée ou confirmée au moyen d’un procédé utilisant des caractéristiques ou des mesures biométriques, à moins que le procédé n’ait été préalablement communiqué à la CAI et que le consentement exprès des personnes concernées n’ait été obtenu.

L’Entreprise a soutenu que cet article ne s’appliquait pas, affirmant que le projet ne visait pas à vérifier ou à confirmer l’identité des personnes au sens de la LCCJTI. Elle estimait alors qu’il n’était pas nécessaire d’obtenir le consentement exprès des personnes dont les caractéristiques et les mesures biométriques étaient analysées. La CAI n’est pas de cet avis.

3. Exigences de l’article 44 de la LCCJTI

Pour mieux comprendre la décision de la CAI, il convient d’examiner les exigences énoncées à l’article 44 de la LCCJTI, qui prévoit ce qui suit : « Nul ne peut exiger, sans l’avoir divulgué préalablement à la Commission d’accès à l’information et sans le consentement exprès de la personne, que la vérification ou la confirmation de son identité soit faite au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques. » Dans son analyse, la CAI s’est concentrée sur deux éléments : i) la saisie de caractéristiques ou de mesures biométriques et ii) la vérification ou la confirmation de l’identité des personnes.

a. Saisie des caractéristiques et des mesures biométriques

La CAI a conclu que l’Entreprise avait l’intention d’utiliser des caractéristiques et des mesures biométriques d’une manière qui tombait sous le coup de l’article 44. Le projet consistait à recueillir et à convertir des images brutes d’incidents captés par vidéosurveillance en représentations numériques qui seraient ensuite stockées dans la Banque de données biométriques à des fins de comparaison. Ce procédé permettait à l’Entreprise de déterminer la correspondance entre les nouvelles représentations biométriques de personnes captées par vidéosurveillance et les représentations numériques stockées. La CAI a conclu que ces caractéristiques et mesures biométriques étaient soumises aux exigences de l’article 44.

b. Vérification ou confirmation de l’identité de personnes

L’autre question était de savoir si le projet visait à vérifier ou à confirmer l’identité de personnes. Sous le régime de la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi québécoise sur la vie privée »), les renseignements biométriques sont considérés comme sensibles par nature et font l’objet de mesures de protection accrues. L’article 44 de la LCCJTI prévoit des mesures de protection supplémentaires en établissant des règles explicites pour l’utilisation de données biométriques à des fins de vérification et de confirmation de l’identité.

La CAI a conclu que le projet de l’Entreprise visait à identifier les personnes ayant déjà été impliquées dans des incidents et dont les représentations biométriques avaient été stockées dans la Banque de données biométriques. En comparant les caractéristiques et les mesures biométriques des personnes qui entrent dans les établissements de l’Entreprise avec les représentations numériques dans la Banque de données biométriques, qui contient des renseignements sur des personnes connues pour avoir déjà été impliquées dans des incidents, l’Entreprise effectuait des « comparaisons d’un à plusieurs » dans le but de déterminer l’identité d’une personne en fonction d’une correspondance. Selon la CAI, cette pratique équivaut à la « vérification » de l’identité d’une personne au sens de l’article 44.

La CAI a également établi une distinction entre la vérification et la confirmation de l’identité, citant le Document d’orientation provisoire à l’intention des organisations sur le traitement des données biométriques du Commissariat à la protection de la vie privée du Canada :

La vérification de l’identité consiste à comparer les données d’une personne avec celles d’une base de données (comparaison d’un à plusieurs) pour rechercher son identité.

La confirmation de l’identité (authentification) consiste à faire correspondre l’échantillon d’un individu au gabarit précédemment stocké (comparaison d’un à un) afin de confirmer son identité.

c. Consentement exprès

Compte tenu de ce qui précède, la CAI a conclu que les deux systèmes de reconnaissance faciale envisagés par l’Entreprise mettaient en place un procédé utilisant les caractéristiques et les mesures biométriques d’une personne pour vérifier son identité au sens de l’article 44, et que le consentement exprès des personnes concernées était donc requis.

4. Interprétation large et libérale

La CAI insiste sur la nécessité de donner à l’article 44 une interprétation large et libérale, conforme au statut quasi constitutionnel du droit à la vie privée au Québec. Les lois qui portent sur la protection des renseignements personnels, y compris les dispositions pertinentes de la LCCJTI, doivent être interprétées de manière à promouvoir leur objet. Une interprétation étroite ou trop technique de l’article 44, selon la CAI, sape l’intention du législateur et expose les personnes à de graves risques d’atteinte à la vie privée.

5. Décision de la CAI

La CAI a finalement conclu que le projet de reconnaissance faciale de l’Entreprise tombait sous le coup de l’article 44 de la LCCJTI, puisqu’il visait l’utilisation de caractéristiques et de mesures biométriques pour vérifier l’identité de personnes. Par conséquent, le consentement exprès des personnes concernées est requis avant toute vérification biométrique de l’identité. Compte tenu de la sensibilité des données biométriques et des risques associés à leur utilisation, la CAI a réaffirmé que de tels systèmes de reconnaissance faciale nécessitaient un cadre réglementaire solide et que les organisations devraient respecter scrupuleusement les exigences de la LCCJTI. Le projet, tel qu’il a été proposé, contrevenait donc aux exigences de l’article 44 de la LCCJTI.

6. Points à retenir

La décision de la CAI envoie un message clair aux organisations, à savoir que le déploiement de systèmes biométriques, en particulier les technologies de reconnaissance faciale, doit être abordé avec prudence. Les lois québécoises sur la vie privée visent à protéger le public et à garantir les droits fondamentaux des personnes, y compris le droit à la vie privée, qui est inscrit dans la Charte des droits et libertés de la personne du Québec. Ainsi, les lois qui portent sur la protection des renseignements personnels ont un statut quasi constitutionnel et doivent être interprétées en conséquence.

Pour les organisations qui envisagent de déployer des technologies biométriques au Québec, voici quelques enseignements clés que nous pouvons tirer de l’analyse de cette affaire :

Il est nécessaire d’évaluer si la technologie implique un procédé permettant d’utiliser des caractéristiques ou des mesures biométriques pour vérifier ou confirmer l’identité d’une personne.

Dans l’affirmative, il faut informer la CAI du projet avant sa mise en œuvre (cela fait partie des exigences de la LCCJTI).

Si une base de données contenant des caractéristiques et des mesures biométriques a été créée, il faut en aviser la CAI le plus tôt possible et au plus tard soixante jours avant sa mise en service (il s’agit également d’une divulgation obligatoire).

Il faut obtenir le consentement exprès des personnes concernées. On ne peut invoquer le consentement implicite sur la base de l’utilisation ou de tout autre moyen indirect.

Il faut établir un cadre de gouvernance clair. La CAI exige la mise en place de protocoles internes rigoureux pour la collecte, la conservation, l’utilisation et la destruction des renseignements biométriques.

Il convient également de noter que tout nouveau projet visant l’acquisition, le développement ou la révision d’un système d’information ou d’un système de prestation de services électroniques comportant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels doit faire l’objet d’une évaluation des facteurs relatifs à la protection de la vie privée en vertu de la Loi québécoise sur la vie privée.

En conclusion, si votre organisation envisage d’utiliser des technologies biométriques au Québec, assurez-vous d’être bien informé de vos obligations légales. Il est également recommandé de consulter des spécialistes en protection des renseignements personnels le plus tôt possible pour vous assurer que la conception et la mise en œuvre de votre projet sont conformes aux dispositions de la LCCJTI (et de toutes les autres lois applicables en la matière).

À propos de l’auteur

Amir Kashdaran, associé chez McMillan, possède plus de 17 ans d’expérience et offre une gamme complète de services-conseils juridiques à des sociétés nationales et internationales, et ce, dans divers domaines, dont : technologies, propriété intellectuelle, vie privée et protection des données, ainsi que droit commercial.