Vous envisagez un recours à la biométrie dans votre entreprise au Québec? Lisez d’abord ceci.

Les récentes avancées technologiques ont rendu l’utilisation de la biométrie de plus en plus attrayante pour les entreprises comme manière d’améliorer l’efficacité, la sécurité, et la convivialité de leurs opérations. L’utilisation de ces technologies, qui analysent les caractéristiques physiques, comportementales ou biologiques uniques d’une personne afin de déterminer ou de prouver son identité, doit toutefois se faire dans le respect des exigences applicables en matière de protection des données, de droits de la personne, et de droit de l’emploi. Cet exercice est particulièrement délicat dans la province de Québec, où la récente réforme des lois en matière de vie privée (Loi 25) a considérablement renforcé le cadre juridique applicable à la collecte, l’utilisation, et la communication des renseignements personnels.

Le cadre juridique applicable

La Loi concernant le cadre juridique des technologies de l'information (« Loi sur les technologies ») exige de toute entreprise établie au Québec qui compte créer une banque de caractéristiques ou mesures biométriques qu’elle en fasse la divulgation à la Commission d’accès à l’information (« CAI ») avec diligence, au plus tard dans les 60 jours avant sa mise en service.

À cette fin, la CAI a publié un formulaire, dans lequel l’entreprise doit déclarer un certain nombre de renseignements à la CAI en lien avec le système envisagé, y compris une description de la banque de données, ses caractéristiques techniques, les catégories de personnes dont les renseignements seront recueillis, le type de caractéristiques biométriques qui seront recueillies (par ex. empreintes digitales, reconnaissance faciale, forme de la rétine de l’œil, empreinte de la voix, salive), les fins poursuivies par cette collecte, les objectifs visés par l’implantation du système, les éléments factuels qui démontrent la nécessité de la création de la banque de données, et une description de l’évaluation des facteurs relatifs à la vie privée effectuée par l’entreprise en lien avec l’implantation du système.

Si elle est d’avis que l’adoption du système n’est pas conforme avec les lois applicables, la CAI a le pouvoir, en vertu de la Loi sur les technologies, de suspendre, interdire la mise en service, ou d’ordonner la destruction de la banque de données en question. La CAI a également le pouvoir d’émettre des ordonnances quant à l’implantation, l’utilisation, la consultation, la divulgation et la rétention de telles banques de données, ainsi que par rapport à la manière dont les mesures ou caractéristiques enregistrées aux fins de vérification de l’identité doivent être archivées ou détruites.

Considérations pour les employeurs

Nous remarquons que, dans bon nombre des cas auxquels nous sommes confrontés, ce sont les employeurs qui cherchent à intégrer des systèmes biométriques à des fins d’enregistrement des heures travaillées, de suivi de la performance des employés, ou de sécurité au travail, par exemple par l’installation de caméras (dashcams) dotées de fonctions technologiques avancées sur le tableau de bord de véhicules automobiles de l’entreprise.

Bien que les employeurs soient souvent animés d’intentions louables lorsqu’ils envisagent l’adoption de tels systèmes, il est important pour toute entreprise dans cette position de garder en tête ses obligations en vertu des lois applicables au Québec en matière de vie privée, y compris la Loi sur les technologies et la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le privé »). Les entreprises doivent entre autres être en mesure de faire la démonstration à la CAI de la nécessité de l’adoption d’un tel système, en considérant d’une part les objectifs sérieux et légitimes poursuivis par l’entreprise, et d’autre part les impacts sur la vie privée des personnes qui doivent s’y soumettre. Il s’agit d’un fardeau onéreux qui ne pourra être rempli en alléguant simplement que le système biométrique est utile ou commode pour l’entreprise.

La décision Transcontinental

La récente décision rendue par la CAI dans l’affaire Imprimeries Transcontinental inc. le 4 septembre 2024 (la « Décision Transcontinental ») vient mettre en lumière le fait qu’il n’est pas suffisant de simplement rapporter à la CAI la création d’une banque de données biométriques pour se conformer à la loi.

Dans le contexte de la pandémie de COVID-19, l’entreprise Transcontinental avait adopté un système d’authentification pour contrôler l’accès à ses locaux. Ce système comportait une fonctionnalité de reconnaissance faciale ainsi qu’une fonctionnalité de prise de température corporelle des individus qui souhaitent avoir accès aux locaux de l’entreprise. Bien que l’entreprise ait cessé d’utiliser la fonctionnalité de prise de température corporelle une fois le plus fort de la pandémie de COVID-19 passé, elle a malgré tout continué à utiliser la fonctionnalité de reconnaissance faciale, justifiant cette utilisation par l’importance de pouvoir contrôler l’accès à ses locaux. Après avoir rapporté la création d’une banque de données biométriques à la CAI le 2 octobre 2020, Transcontinental a reçu une lettre de la CAI le 20 juin 2024 (soit presque 4 ans après l’avis initial) l’informant qu’elle était possiblement en violation de la Loi sur le privé, et qu’une décision pourrait être rendue par la Commission à son endroit. La CAI donne à l’entreprise un délai de 60 jours pour présenter ses observations, à l’expiration duquel délai la Commission pourrait rendre une décision sur la base du dossier déjà constitué. Transcontinental n’a formulé aucune observation ni produit de documentation additionnelle pendant ce délai. La CAI a rendu une décision dans laquelle elle conclut que Transcontinental a agi en violation de la Loi sur le privé, et ordonne à celle-ci de cesser la collecte de renseignements biométriques, de cesser d’utiliser les fonctionnalités de reconnaissance faciale pour contrôler l’accès aux locaux de l’entreprise, et de détruire les mesures biométriques et les codes qui avaient été recueillis. Dans ses conclusions, la CAI souligne que, bien que l’objectif poursuivi par Transcontinental soit légitime, l’entreprise n’avait pas été en mesure de démontrer le caractère réel de la problématique qui sous-tend sa collecte de renseignements biométriques, ce qui aurait pu justifier l’atteinte potentielle à la vie privée inhérente à l’utilisation d’un tel système.

Leçons à tirer pour les entreprises

La Décision Transcontinental vient rappeler aux entreprises qui font affaires au Québec qu’elles doivent tenir compte d’un ensemble de facteurs importants lorsqu’elles envisagent la collecte de renseignements biométriques. Les éléments à retenir sont, selon nous, les suivants :

• Il est intéressant de noter que la décision publiée par la CAI omet de mentionner le nom du système biométrique utilisé pour la collecte de renseignements biométriques, de même que l’identité du fournisseur utilisé par Transcontinental. Cela vient rappeler que bien que les fournisseurs de solutions biométriques puissent offrir plusieurs fonctionnalités et mesures de sécurités dans leurs systèmes, la responsabilité ultime pour la conformité repose sur l’entreprise qui en fait usage. Il est donc important pour les entreprises d’évaluer la conformité d’un projet d’implantation de système biométrique en fonction des caractéristiques particulières de leur entreprise.
• Le fait que les personnes concernées aient consenti à la collecte, l’utilisation et la communication de leurs renseignements biométriques ne vient pas libérer l’entreprise de son obligation de démontrer, à la satisfaction de la CAI, que la collecte de renseignements biométriques est justifiée dans les circonstances. Même si l’entreprise obtient un consentement exprès, elle conserve malgré tout le fardeau d’établir la nécessité de la collecte, un fardeau qui, lorsqu’il s’agit de renseignements hautement sensibles tels les mesures biométriques, est lourd et difficile à remplir.
• Des problèmes hypothétiques ou un plus grand degré de convivialité ne peuvent servir de justification à la collecte de renseignements biométriques. Même si les raisons derrière la création d’une banque de données biométriques peuvent être valides d’un point de vue pratique et commercial, l’entreprise doit être en mesure de démontrer que la collecte de renseignements biométriques est nécessaire pour remédier à des problèmes réels qui se sont manifestés au sein de l’entreprise. Il faut toujours se demander s’il existe des méthodes moins intrusives permettant d’atteindre le même objectif, et être en mesure de démontrer pourquoi ces mesures moins intrusives ne permettraient pas d'atteindre le même résultat.
• Le contrôle de l’accès aux locaux ou aux systèmes est un problème auquel font face toutes les entreprises, et ne pourra pas toujours, en soi, suffire pour justifier l’utilisation de la biométrie. Si votre entreprise envisage l’utilisation de la biométrie à de telles fins, vous devrez être en mesure de démontrer en quoi les caractéristiques propres à votre entreprise et la nature des activités qui se déroulent dans les lieux d’accès restreint justifient l’imposition de contrôles stricts.
• Les termes employés par la CAI dans la correspondance qu’elle échange avec les entreprises déclarantes se limitent à indiquer qu’elle pourrait rendre des ordonnances en lien avec la déclaration sur la biométrie. Malgré cette formulation, il est clair que de telles communications en provenance de la CAI ne devraient pas demeurer sans réponse. Lors des derniers mois, la CAI a envoyé un message clair à l’effet qu’elle entendait intensifier ses efforts en matière d’application des lois. La nature généralement sensible des renseignements biométriques et l’obligation de divulguer en vertu de la Loi sur les technologies laisse présager que les entreprises qui ont recours à ces technologies risquent d’être surveillées de près par la Commission à l’avenir.
• Même si un laps de temps substantiel s’écoule entre la date de la déclaration soumise à la CAI et une réponse éventuelle de celle-ci, il ne faut pas interpréter une absence de réponse comme une acceptation ou une approbation par la CAI de l’implantation du système biométrique proposé par votre entreprise. Dans la correspondance et les publications qu’elle émet, la CAI rappelle constamment aux entreprises que le mécanisme de déclaration ne vise pas à approuver ou à certifier qu’un système ou une banque de données biométriques est conforme à la loi. Votre entreprise devrait constamment évaluer ses pratiques en matière de collecte de renseignements personnels ainsi que les objectifs de cette collecte. Cette évaluation devrait se faire sur une base continue et se fonder sur des facteurs internes et externes spécifiques à l’entreprise, afin de vous permettre de justifier vos pratiques devant la CAI lorsqu’elle viendra frapper à votre porte.
• Gardez toujours en tête le caractère hautement sensible des renseignements biométriques. Vous devez protéger, gérer, et disposer de ceux-ci en conséquence. Le fait d’attirer l’attention des autorités n’est qu’un type de risque parmi tant d’autres. Vous devriez également penser aux conséquences d’un éventuel accès non-autorisé à ces données advenant un incident de confidentialité. Un tel scénario pourrait, par exemple, engendrer un recours collectif de la part des personnes dont les données ont été affectées. Il est donc crucial de donner aux renseignements biométriques – de même qu’à tout renseignement personnel détenu par votre entreprise – le niveau de protection qui s’impose.
• Les entreprises devraient également garder en tête l’exigence d’effectuer une évaluation des facteurs relatifs à la vie privée avant tout projet d’acquisition, de développement ou de refonte de système impliquant le traitement de renseignements personnels qui figure dans la Loi sur le privé. En raison de la nature sensible des renseignements biométriques et des considérations pratiques et juridiques qu’implique l’utilisation de telles technologies dans une entreprise, cet exercice d’évaluation devrait être particulièrement exhaustif et bien documenté.

Si vous envisagez de faire usage de technologies qui impliquent la collecte de renseignements biométriques au sein de votre entreprise, nous vous invitons à communiquer avec les auteurs de cet article, qui seront en mesure de vous conseiller en fonction des facteurs spécifiques à votre entreprise pour assurer sa conformité avec les lois applicables en matière de vie privée.