La réforme québécoise du droit de la vie privée apporte un nouvel éclairage sur les règles applicables en matière de biométrie. Lois sur la protection de la vie privée dans les secteurs public et privé[1] et cela Loi établissant le cadre juridique des technologies de l’information («ALFIT« )[2] fournit un cadre pour l’utilisation de ces outils. Cependant, ces lois n’ont pas la même portée et doivent être interprétées ensemble à des fins de conformité organisationnelle.[3]
ALFIT s’applique uniquement à système biométriquetandis que les lois sur la confidentialité[4] cible caractéristiques et mesures biométriques comme informations personnelles (sensibles), que ces informations soient ou non utilisées dans un système biométrique.
Le prochain bulletin de cette série fournira plus de détails concernant les conséquences de cette catégorisation sur les obligations et sanctions applicables.
La biométrie est une technique d’identification et d’authentification qui s’appuie sur un traitement informatique des caractéristiques physiques, comportementales ou biologiques d’une personne et permet d’identifier cette personne ou de prouver son identité.[5] Il existe trois catégories :[6]
UN caractéristiques biométriques unique à une personne et permet d’établir son identité.
UN mesures biométriques implique le traitement technologique d’une caractéristique biométrique : une mesure biométrique concerne l’ensemble des caractéristiques distinctives d’une personne ; ils peuvent être lus par des systèmes informatiques et utilisés pour identifier une personne.[11]
Par exemple, la forme du visage est liée aux caractéristiques biométriques morphologiques, tandis que ce qui est produit en la traitant pour en extraire les points nodaux, ce sont les mesures ou les données biométriques qu’elle produit.[12]
Si les caractéristiques et mesures biométriques permettent une identification efficace et précise des individus, leur utilisation est alors très sensible.[17] et strictement réglementé par la loi.
Toutes les données ne sont pas biométriques[18] ont le même niveau de sensibilité et ne violent pas de la même manière les droits fondamentaux des individus. En général, la prise d’empreintes digitales est plus invasive que la constatation de points liés à la forme de la main.[19] De même, les systèmes de reconnaissance faciale collectent généralement des informations plus sensibles[20] plutôt qu’un système de reconnaissance vocale.[21]
Toutes les données biométriques sont des informations personnelles sensibles soumises aux lois sur la confidentialité, quel que soit le contexte dans lequel elles sont utilisées.[22]
Les systèmes biométriques peuvent inclure les empreintes digitales,[26] voix[27] ou le visage[28]système de reconnaissance, mais peut également être contenu ou connecté à des objets technologiques dotés d’autres fonctionnalités, comme des caméras infrarouges,[29] lorsque l’objet est destiné à être utilisé pour identifier ou authentifier une personne.[30]
Un grand nombre de procédés technologiques peuvent être utilisés pour identifier ou authentifier une personne. Pour chaque processus, la fiabilité, ou « niveau de confiance », au Québec,[33] variera. ALFIT réglemente les processus d’identification et d’authentification physiques et technologiques autorisés. Tel que mis à jour en septembre 2022, ALFIT [34] exige, entre autres, que les systèmes biométriques soient divulgués à la Commission d’accès à l’information avant leur mise en œuvre, que le système repose ou non sur une base de données centralisée.[35]
Un système qui ne comprend pas de phase d’inscription et d’intégration, ou qui n’a pas pour vocation d’identifier ou d’authentifier un individu, n’est donc pas un système biométrique, et ne sera pas soumis aux exigences ALFIT relatives aux systèmes biométriques.[36]
Cependant, si un système répond à ces critères, ALFIT s’appliquera en plus des lois sur la confidentialité, que le système soit fourni par un tiers ou créé en interne.
[1] Agissant dans le respect de la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1 («Droit du secteur privé»), Agir pour respecter l’accès aux documents détenus par les organismes publics et la protection des renseignements personnels, RLRQ c. A-2.1 («Loi sur l’accès« ); Voir également Code civil du Québec, art. 35-41.
[2] RLRQ, c. K-1.1 («ALFIT»).
[3] D’autres normes juridiques et administratives spécifiques peuvent également s’appliquer dans le secteur de la santé, par exemple.
[4] Droit du secteur privé ; Loi sur l’accès, supra Remarques 1.
[6] Dans certains documents, la biométrie biologique et la biométrie morphologique sont considérées comme appartenant à un seul groupe : la biométrie physiologique (ou physique). Voir Gouvernement du Canada, « Les données à portée de main, la biométrie et le défi de la protection de la vie privée », février 2011, en ligne : https://www.priv.gc.ca/fr/privacy-topics/health-genetic-and-other-body-information/gd_bio_201102/; ISO 24745 : 2011 « Technologies de l’information — Techniques de sécurité — Protection des informations biométriques », « 2.3. caractéristiques biométriques »P. 8 ; Thales, « La biométrie au service de l’identification et l’authentification », 14 avril 2021, en ligne : https://www.thalesgroup.com/fr/europe/france/dis/gouvernement/inspiration/biometrie.
[7] Syndicat des travailleurs de Mométal (CSN) et Mométal inc. (TA, 27-07-2001), SOQUIJ AZ-01141263, DTE 2001T‑919, [2001] RJDT 1967.
[8] Julie M. Gauthier, Cadre juridique de l’utilisation de la biométrie au Québec : sécurité et vie privéeMémoire de maîtrise, Montréal, Faculté des études supérieures, Université de Montréal, 2014, pp. 19-24.
[10] Cependant, la nature physique des caractéristiques capturées le rend moins facile à utiliser au format numérique, ce qui le rend moins attractif technologiquement que les deux autres formats. Commission d’accès à l’information du Québec, supra Remarques 5P. iv.
[11] Annotation ALFIT, « Biométrie, mesures biométriques » (format papier).
[12] Voir également le système de course de la main pour extraire des mesures biométriques à partir des caractéristiques biométriques de la forme de la main, dans Syndicat des travailleurs de Mométal (CSN) et Mométal inc..,SOQUIJ AZ-01141263, [2001] RJDT 1967 ; Commission d’accès à l’information, « Horodateurs et pointeuses biométriques – constats », 27 mars 2023, en ligne : https://www.cai.gouv.qc.ca/documents/CAI_A_horodateurs_biometriques_vf.pdf(PDF).
[13] « Les empreintes digitales, les iris et l’ADN sont les caractéristiques les plus distinctives, tandis que les caractéristiques faciales peuvent être plus similaires chez différentes personnes. Certaines caractéristiques physiques, comme les empreintes digitales et les iris, ont également tendance à être stables dans le temps et difficiles à modifier. En revanche, d’autres caractéristiques biométriques, telles que les traits du visage, changent avec le temps et peuvent varier davantage en raison des produits cosmétiques, du déguisement ou de la chirurgie », dans Commissariat à la protection de la vie privée du Canada, « Les données biométriques à portée de main et les défis liés à la vie privée », février. 2011, en ligne : https://www.priv.gc.ca/fr/privacy-topics/health-genetic-and-other-body-information/gd_bio_201102/.
[15] Julie M. Gauthier, supra Remarques 8P. 29, citant quatre critères reconnus dans Anil K. Jain, Arun Ross et Salil Prabhakar, « Introduction to Biometric Recognition », Transactions IEEE sur les circuits et systèmes de technologie vidéo, volume. 14, non. 1, janvier 2004, p. 4 ; Fairview, précité Remarques 14, par. 79.
[16] Les trois premiers critères sont reconnus dans la décision de la CAI, Les 3 Piliers Inc., 1018507-S (CAI), par. 35, à propos des empreintes digitales : [translation] Le caractère unique, distinctif et permanent de ces informations peut entraîner une usurpation d’identité ou une fraude et mettre en danger l’utilisation des informations par la personne concernée. Contrairement aux cartes ou aux secrets partagés, les empreintes digitales ne peuvent pas être remplacées » ; regarde aussi Fairview, précité Remarques 14, par. 79.
[18] Les données biométriques comprennent toutes les informations biométriques sous un format informatisé, qu’elles soient cryptées ou non.
[19] Julie M. Gauthier, supra Remarques 8p. 41 ; Syndicat des travailleurs de Mométal (CSN) et Mométal inc..,SOQUIJ AZ-01141263, [2001] RJDT 1967 : [translation] « Comme nous pouvons le constater, l’instrument n’enregistre pas les empreintes digitales des employés. Il mémorise simplement, sous forme de formule binaire, certaines caractéristiques de la main (largeur, épaisseur, longueur). À mon avis, ces exigences de l’employeur ne portent pas atteinte au droit à la sécurité de la personne (art. 1) et au respect raisonnable de son bien-être physique (art. 46) énoncés dans la Charte québécoise. Je crois Il y a une différence importante entre devoir fournir un échantillon de cheveux, de salive ou de sang, ou même une empreinte digitale, et devoir garder la main sur une assiette pendant très peu de temps.» (c’est nous qui soulignons).
[20] Enquête sur Clearview AI Inc., 1023158-S (CAI), par. 41 : [translation] « Cependant, dans la catégorie des informations biométriques, il existe un certain niveau de sensibilité. Nous sommes d’avis que les informations biométriques faciales sont très sensibles. La possession d’un modèle de reconnaissance faciale pourrait permettre l’identification d’un individu par comparaison avec diverses images disponibles sur Internet, comme démontré dans le cas présent, ou par une surveillance secrète.
[21] Commissariat à la protection de la vie privée du Canada, « Organisations utilisant la biométrie à des fins d’authentification », Résumé de l’affaire LPRPDE n° 2004-281, 2004 CanLII 52853.
[22] Droit du secteur privé, supra Remarques 1S. 12 sous-marins. 3 al. 2.
[24] ALFIT, supra Remarques 2, Art. 3 al. 4, pour la définition a base de données au sens d’ALFIT.
[25] ISO x définit un système biométrique comme automatique reconnaissance individuelle, p. 9 (« système biométrique ») ; Les propositions de réglementation européenne sur l’intelligence artificielle établissent de nombreux liens entre la biométrie et les systèmes d’IA. Commission européenne, « Proposition de règlements du Parlement européen et du Conseil établissant des règles harmonisées sur l’intelligence artificielle (loi sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union », 21 avril 2021, COM(2021) 206 final, en ligne : https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52021PC0206.
[26] Les 3 Piliers supra Remarques 16para. 32.
[27] Commissariat à la protection de la vie privée du Canada, Les organisations utilisent la biométrie à des fins d’authentification, 2004 CanLII 52853.
[30] Les systèmes biométriques peuvent avoir des finalités autres que l’identification ou l’authentification. Mais dans ALFIT, les termes « vérification » et « confirmation » d’identité semblent être utilisés pour désigner l’identification et l’authentification (ou vérification) telles qu’utilisées ailleurs au Québec, au Canada et dans d’autres pays du monde. Voir par exemple : Commission nationale de l’informatique et des libertés (CNIL), « Reconnaissance faciale », en ligne : https://www.cnil.fr/fr/definition/reconnaissance-faciale (France).
[34]Ibid.; ALFIT, supra Remarques 2, art. 40-45.
[35] Ibid., art. 44-45. Ces données pourront être conservées sur des supports physiques sous le contrôle de la personne concernée, lors de la phase d’inscription. Par exemple, l’iPhone repose sur ce mécanisme et non sur une base de données centralisée.
[36] Dans le CR c. Loto-Québec, QCCAI 300 2012, par. 111, la CAI doit déterminer si les art. Les articles 44 et 45 ALFIT, qui concernent les systèmes biométriques, sont pertinents pour analyser les demandes d’accès à deux enregistrements audio de conversations téléphoniques. CAI a constaté que ce n’était pas le cas, car même si les dossiers peuvent contenir des informations biométriques, ils ne sont pas utilisés pour déterminer l’identité d’une personne.
« Érudit primé au bacon. Organisateur. Fanatique dévoué des médias sociaux. Passionné de café hardcore. »
