Biométrie au Québec : réforme, risques et mitigation

Le marché de la biométrie a fait d’importantes avancées ces dernières années, eu égard à l'utilisation répandue des appareils intelligents, des passeports électroniques et des cartes d'identité numériques. Bien que disposant d’atouts indéniables en matière de sécurité, la biométrie soulève néanmoins d'importants enjeux pour la vie privée, en raison notamment de la sensibilité inhérente aux données biométriques.

En 2001, le Québec a été la première juridiction au Canada à introduire la ''Loi concernant le cadre juridique des technologies de l'information'' (LCCJTI) en proposant des exigences spécifiques réglementant l'utilisation de données biométriques, le tout dans l’optique que celles-ci soient gérées avec un niveau de protection adéquat. Parmi celles-ci, les organisations sont tenues de déclarer à la Commission d’accès à l’information du Québec (CAI) l'utilisation de toute base de données contenant des caractéristiques ou des mesures biométriques (ou « données biométriques »).

En septembre dernier, la ''Loi modernisant les dispositions législatives en matière de protection des renseignements personnels ''(Loi 64), qui modifie la LCCJTI, a été adoptée et imposera deux nouvelles exigences relatives à la déclaration (ou la "divulgation") des systèmes biométriques utilisés à des fins d'identification ou d'authentification. Ainsi, en plus de l'obligation actuelle d'obtenir le consentement exprès des individus pour la collecte de leurs données biométriques, les organisations seront tenues de déclarer tout processus impliquant le traitement de données biométriques, que celles-ci soient stockées ou non dans une base de données. Dans le cas contraire, les organisations ne seront pas autorisées à utiliser les données biométriques aux fins mentionnées ci-dessus.

Mais avant d'aborder ce changement normatif, il nous apparait utile de rappeler certains concepts clés de la biométrie.

Concepts clés

La biométrie (qui signifie littéralement « mesure du corps humain », en grec) est une pratique qui permet l'analyse mathématique des caractéristiques biologiques, morphologiques ou comportementales d'une personne. Lorsque nous parlons de biométrie au sens de la LCCJTI, nous nous rapportons aux systèmes déployés pour identifier ou confirmer l'identité d’une personne en utilisant ses données biométriques, telles que les empreintes digitales, la structure de l'iris ou de la rétine, la géométrie de la main ou du visage, ou la voix. Il s'agit d'une nuance importante, puisque les données biométriques sont considérées comme des renseignements personnels sensibles et que ces derniers sont assujettis aux lois sur la protection des renseignements personnels applicables aux secteurs public et privé, et ce, quel que soit le but pour lequel elles sont employées.

L'identification et l'authentification sont les principales fonctions de la biométrie. Chacune de ces fonctions dispose de composantes techniques qui lui sont propres, générant ainsi des risques juridiques distincts. Alors que la notion d’« identification » signifie de trouver une identité dans une base de données pour déterminer qui est une certaine personne, la notion d’« authentification » consiste plutôt à vérifier ou à confirmer l'identité de cette personne. Par exemple, l'identification peut être utilisée pour autoriser ou refuser un accès (c'est-à-dire que la présence des données biométriques capturées a été confirmée dans la base de données), alors que l'authentification permet plutôt de vérifier ou de confirmer que l'individu est bien ''celui qu'il prétend être''. La fonction d'identification soulève généralement plus de risques techniques et juridiques puisqu'une base de données biométriques doit être instaurée, ce qui n'est pas nécessairement le cas pour la fonction d'authentification.

Examinons maintenant les amendements apportés aux articles 44 et 45 de la LCCJTI par la Loi 64.

Amendement à l’article 44, LCCJTI

Selon le libellé de la Loi 64, l'article 44 de la LCCJTI est modifié comme suit (changements en rouge ci-dessous):

Article 44. Nul ne peut exiger, sans l’avoir divulgué préalablement à la Commission d’accès à l’information et sans le consentement exprès de la personne, que la vérification ou la confirmation de son identité soit faite au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques. L’identité de la personne ne peut alors être établie qu’en faisant appel au minimum de caractéristiques ou de mesures permettant de la relier à l’action qu’elle pose et que parmi celles qui ne peuvent être saisies sans qu’elle en ait connaissance.

Tout autre renseignement concernant cette personne et qui pourrait être découvert à partir des caractéristiques ou mesures saisies ne peut servir à fonder une décision à son égard ni être utilisé à quelque autre fin que ce soit. Un tel renseignement ne peut être communiqué qu’à la personne concernée et seulement à sa demande.

Ces caractéristiques ou mesures ainsi que toute note les concernant doivent être détruites lorsque l’objet qui fonde la vérification ou la confirmation d’identité est accompli ou lorsque le motif qui la justifie n’existe plus.

En vertu du texte original de cet article, une organisation est tenue d'obtenir le consentement exprès (opt-in) afin de pouvoir identifier/authentifier une personne en utilisant ses données biométriques. Les organisations doivent ainsi suggérer une méthode alternative d'identification/authentification pour les individus qui ne fournissent pas leur consentement. En outre, les personnes doivent être suffisamment informées de la nature, des objectifs et des conséquences du traitement de leurs données biométriques (généralement au moyen d'un avis de confidentialité et d'un formulaire de consentement), et ce traitement doit répondre aux principes de raisonnabilité et de proportionnalité, que le consentement exprès ait été obtenu ou non. Les récents amendements n'ont pas modifié cette exigence.

Le premier changement de cet amendement prévoit qu'en plus du consentement exprès de la personne, la vérification ou la confirmation de son identité au moyen d’un procédé permettant de saisir ses caractéristiques ou mesures biométriques devra être préalablement déclarée à la CAI. En d'autres termes, la portée de l’obligation de déclaration s'étend désormais à toute utilisation de données biométriques pour identifier ou confirmer l'identité d'une personne, qu'une base de données soit implantée ou non. Cette nouvelle exigence est cohérente avec les recommandations de la CAI concernant la Loi 64 dans son document intitulé « Mémoire de la Commission d'accès à l'information présenté à la Commission des institutions dans le cadre des consultations particulières et auditions publiques ». Bien qu'aucune formalité n'ait été établie jusqu’ici par le législateur en relation avec cette nouvelle obligation (c'est-à-dire le formulaire à utiliser pour la déclaration, les délais, etc.), la CAI pourrait publier des lignes directrices d'ici l'entrée en vigueur de cet amendement.

Amendement à l’article 45, LCCJTI

Selon le libellé de la Loi 64, l'article 45 de la LCCJTI est modifié comme suit (changements en rouge ci-dessous):

Article 45. La création d’une banque de caractéristiques ou de mesures biométriques doit être divulguée à la Commission d’accès à l’information avec diligence, au plus tard 60 jours avant sa mise en service. La création d’une banque de caractéristiques ou de mesures biométriques doit être préalablement divulguée à la Commission d’accès à l’information. De même, doit être divulguée l’existence d’une telle banque qu’elle soit ou ne soit pas en service.

La Commission peut rendre toute ordonnance concernant de telles banques afin d’en déterminer la confection, l’utilisation, la consultation, la communication et la conservation y compris l’archivage ou la destruction des mesures ou caractéristiques prises pour établir l’identité d’une personne.

La Commission peut aussi suspendre ou interdire la mise en service d’une telle banque ou en ordonner la destruction, si celle-ci ne respecte pas ses ordonnances ou si elle porte autrement atteinte au respect de la vie privée.

Suivant la mise en vigueur de la Loi 64, la création d'une base de données biométriques devra être déclarée à la CAI au plus tard 60 jours avant son utilisation. En d'autres termes, les organisations devront annoncer leur intention d’implanter une base de données biométriques au moins deux mois avant la mise en service. Cette obligation devra par ailleurs respecter les formalités requises par la CAI (c'est-à-dire déclarer la base de données en utilisant le formulaire requis).

Il convient de mentionner que si certains pouvoirs spécifiques sont conférés à la CAI en vertu de cet article au regard des bases de données biométriques (tels que le pouvoir de formuler des ordonnances relatives à la gestion, à la mise en œuvre et à la destruction de ces bases de données), la CAI ne disposera pas des mêmes pouvoirs en ce qui concerne l’utilisation des systèmes biométriques qui ne conservent pas les données biométriques dans une base de données, selon les libellés des articles 44 et 45.

Risques et mitigation

L'évaluation du niveau de risque découlant du traitement des données biométriques devrait tenir compte des facteurs ci-dessous :

#si la technologie est intrusive en matière de vie privée ou d'intégrité physique;
#le but pour lequel la technologie est utilisée;
#s'il est possible d'utiliser un autre procédé pour atteindre les mêmes objectifs;
#comment les données biométriques sont-elles gérées, conservées et détruites (mesures de sécurité).

Le degré d'atteinte à la vie privée (ou à l’intégrité physique) d'une personne dépendra généralement de la donnée biométrique saisie, celle-ci étant inhérente au corps humain et pouvant révéler beaucoup plus de renseignements personnels que la donnée elle-même. Par exemple, la lecture de l'iris ou de la rétine sera généralement considérée comme plus intrusive que les systèmes de reconnaissance de la voix, en raison notamment des faisceaux lumineux ou rayons qui touchent et traversent l'œil. La rétine peut également révéler plusieurs types de conditions médicales telles que le sida, la syphilis, la leucémie, le lymphome et l'insuffisance cardiaque. Par ailleurs, d'autres risques connexes devraient également être pris en compte, tels que la circulation des données biométriques, la surveillance accrue (publique ou privée), le détournement d’usage et le vol d'identité. À ce sujet, l’ouvrage intitulé « Le droit de la biométrie au Québec : sécurité et vie privée » expose plus en détail les risques découlant de l’usage de la biométrie ainsi que ses conséquences pratiques.

Afin de mitiger les risques juridiques, les organisations devraient se munir de lignes directrices claires sur l'utilisation des systèmes/données biométriques, en prévoyant non seulement le cadre normatif de la LCCJTI, mais également les autres principes applicables réglementant la protection des renseignements personnels. Les organisations devraient également effectuer une évaluation des facteurs sur la vie privée (EFVP) avant de déployer tout système biométrique, ce qui permettra d'identifier les risques juridiques et les contrôles à instaurer afin d’atténuer ces risques. En ce sens, une EFVP est la feuille de route d'une organisation pour la mise en œuvre d'un programme de protection de la vie privée et permet de démontrer aux autorités réglementaires que l'organisation a fait ses devoirs.

Enfin, notons qu'une fois la mise en vigueur de la Loi 64, une EFVP deviendra exigible pour tout projet d'acquisition, de développement ou de refonte d'un système d'information ou de prestation de services électroniques impliquant le traitement de renseignements personnels dans les secteurs public et privé. À cet égard, le « Guide de conformité pour la réforme de la Loi sur la protection des renseignements personnels dans le secteur privé » fournit un aperçu pragmatique de la réforme apportée par la Loi 64 ainsi qu’une perspective sur les actions à prendre pour se conformer aux nouvelles exigences.