La Commission de l’accès à l’information consacre l’interprétation large et libérale de la législation en matière de protection des renseignements personnels biométriques

Dans une décision récente de la Commission d’accès à l’information (la CAI), celle-ci interdit le projet de reconnaissance faciale projeté par Metro inc. (Metro) en concluant qu’il est illégal en vertu de la Loi concernant le cadre juridique des technologies de l’information (la LCCJTI).

Le principal débat concernait l’assujettissement du projet de reconnaissance faciale à l’article 44 de la LCCJTI.

Ce que vous devez savoir

• Metro planifiait un projet de reconnaissance faciale visant à identifier les personnes ayant déjà été impliquées dans des événements de vol à l’étalage ou de fraude dans ses établissements.
• La CAI a conclu que le projet de reconnaissance faciale envisagé requérait le consentement exprès des personnes dont l’image serait captée, et que l’omission d’obtenir ce consentement s’avérait une atteinte à la vie privée.

Contexte

Projet pilote de reconnaissance faciale

En septembre 2024, Metro a déclaré son intention à la CAI de constituer une banque de caractéristiques ou de mesures biométriques pour supporter l’implantation de systèmes de reconnaissance faciale dans certains de ses établissements, dans le but de contrer le vol à l’étalage et la fraude. Pour ce faire, la reconnaissance faciale serait réalisée à partir des images captées par les caméras de surveillance installées aux entrées et sorties de ses établissements, pour ensuite être comparées grâce à des algorithmes aux images contenues dans une banque d’images captées par les caméras de surveillance lors d’incidents de vols à l’étalage ou de fraude impliquant des personnes majeures ayant fait l’objet d’une intervention policière. Advenant une correspondance entre l’image captée par la caméra de surveillance et celle dans la banque, les responsables de l’établissement concerné seraient alertés.

L’enquête et préavis d’ordonnance

En octobre 2024, la Direction de la surveillance de la CAI (la Direction de la surveillance) a fait parvenir à Metro un avis d’enquête afin de l’informer que le projet de reconnaissance faciale projeté soulevait des préoccupations quant à l’application de la Loi sur le privé et de la LCCJTI. Dans son rapport préliminaire, l’enquêteur notait entre autres que Metro ne prévoyait pas obtenir le consentement explicite des personnes visées par la création de cette banque et par son processus de reconnaissance faciale.

En novembre 2024, la CAI a émis un préavis d’ordonnance avisant Metro que la première phase de l’enquête démontrait que son projet pouvait porter atteinte à la vie privée des personnes concernées en omettant de prévoir l’obtention du consentement exprès requis en vertu de l’article 44 de la LCCJTI.

Les observations de Metro

Metro alléguait que l’article 44 de la LCCJTI ne s’appliquait pas en l’instance, étant d’avis que le processus envisagé ne consistait pas à vérifier ou à confirmer l’identité d’une personne et qu’alors, le consentement exprès des personnes concernées n’était pas requis.

Metro invitait donc la CAI à adopter une interprétation stricte de la notion de vérification ou de confirmation de l’identité prévue à l’article 44 de la LCCJTI, alléguant que l’identification d’une personne grâce à ses caractéristiques ou mesures biométriques ne constituait pas une vérification ou une confirmation de son identité.

Elle avançait également que l’article 44 LCCJTI ne s’appliquait pas à son projet, puisque les trois éléments de l’article 44 LCCJTI (soit, la vérification ou la confirmation de l’identité, faite au moyen d’un procédé permettant la saisie des caractéristiques ou des mesures biométriques) ne se feraient pas simultanément au cours du processus de reconnaissance faciale envisagée.

Décision

Après avoir établi que Metro était assujettie à la Loi sur le privé « à l’égard des renseignements qu’elle collecte, conserve, utilise ou communique à des tiers », puisqu’elle exploite une entreprise au Québec, la CAI a confirmé que l’article 44 de la LCCJTI s’appliquait au projet de reconnaissance faciale de Metro et qu’ainsi, le consentement exprès des personnes concernées par le processus de reconnaissance faciale était requis.

Selon la CAI, la constitution d’une banque de caractéristiques et de mesures biométriques, ainsi que le fait d’exiger la vérification de l’identité au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques sans obtenir le consentement exprès des personnes concernées, tel qu’exigé par l’article 44 LCCJTI, est une atteinte à leur vie privée.

La saisie des caractéristiques ou des mesures biométriques

Après une analyse du processus proposé de captation des images et du convertissement de celles-ci en représentations numériques, la CAI a conclu que « les images captées par vidéosurveillance et déposées à la banque constitu[ai]ent des caractéristiques biométriques et les représentations numériques de ces images produites par chacun des systèmes projetés constitu[ai]ent des mesures biométriques, au sens de l’article 44 de la LCCJTI¹ ».

La vérification ou confirmation de l’identité d’une personne

La CAI rappelle que les lois portant sur la protection des renseignements personnels ont un statut quasi constitutionnel au Canada.

Les renseignements personnels de nature biométrique étant considérés comme des renseignements sensibles, le législateur a prévu l’obligation d’obtenir le consentement exprès des personnes lorsque « l’on exigeait que leur identité soit vérifiée ou confirmée à l’aide de ces renseignements² ».

Analysant et interprétant l’intention du législateur, la CAI en est venue à la conclusion que l’article 44 de la LCCJTI devait recevoir une interprétation large et libérale afin d’atteindre l’objectif essentiel de celle-ci, soit la protection des renseignements personnels de nature biométrique.

Conséquemment, puisque les renseignements biométriques des personnes entrant dans les établissements de Metro font partie de l’ensemble des éléments permettant de reconnaître une personne et de la distinguer d’une autre, le système de reconnaissance faciale permet une « vérification ou une confirmation de l’identité », tel que mentionné à l’article 44 LCCJTI.

De plus, la CAI est d’avis que les différentes étapes requises au processus de la reconnaissance faciale n’ont pas à se faire simultanément, contrairement aux arguments de Metro. C’est l’ensemble du processus qui doit être pris en considération, rappelant la portée large et libérale de l’interprétation à donner à l’article 44 LCCJTI.

La reconnaissance faciale exigée sans consentement préalable est une atteinte à la vie privée

Puisque l’identité des personnes est automatiquement vérifiée en entrant dans l’établissement concerné, simplement en y mettant pied, la CAI a statué que le « processus de reconnaissance faciale constitue dans les faits une exigence, car nul ne peut pénétrer dans l’établissement concerné sans que ses caractéristiques ou mesures biométriques soient collectées et comparées à celles contenues dans la banque de [Metro]³ ».

La CAI a aussi soulevé que Metro n’avait prévu aucune façon d’obtenir le consentement exprès des personnes concernées par le processus de reconnaissance faciale. Metro était d’avis qu’obtenir ce consentement s’avérait impossible.

La CAI a donc conclu que la constitution d’une banque de caractéristiques et de mesures biométriques, et le fait d’exiger la vérification de l’identité au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques, sans obtenir le consentement exprès exigé par la LCCJTI, s’avéraient une atteinte importante à la vie privée.

Considérations pratiques pour les entreprises

Alors que les entreprises se tournent de plus en plus aux processus usant de renseignements biométriques pour sécuriser leurs opérations, la décision de la CAI à l’égard des pratiques de Metro renforce la tendance suivant laquelle une interprétation large et libérale doit être donnée aux dispositions de la LCCJTI imposant des limites et exigences pour l’utilisation de renseignements biométriques.

Pour cette raison, les entreprises qui souhaitent utiliser des procédés impliquant la collecte et l’utilisation de renseignements biométriques devraient considérer adopter des mesures de mitigation des risques telles que :

• Dans le cadre de la planification de la mise en place du processus, anticiper les délais nécessaires pour produire les déclarations nécessaires auprès des autorités réglementaires, telles que la CAI au Québec.
• Documenter toute analyse réalisée quant aux enjeux relatifs à la vie privée, et spécifiquement toute donnée justifiant la mesure choisie ou justifiant l’absence de mesure alternative à l’utilisation d’un processus usant de renseignements biométriques. Ces données justificatives devraient clairement indiquer les motifs réels (et non hypothétiques ou anticipés) expliquant pourquoi une telle mesure est requise (par exemple, industrie sujette au traitement d’informations sensibles, méfaits fréquents, manque d’efficacité de mesures alternatives, etc.).
• Informer, par tout moyen envisageable, les individus concernés de l’utilisation d’un processus usant de renseignements biométriques (par exemple, affichage à l’entrée d’un commerce, notice sur le site Web de l’entreprise, etc.) et envisager toute méthode pour obtenir leur consentement explicite.
• Réviser les politiques de protection et de rétention des données afin de s’assurer que les données sont détruites une fois les fins accomplies, et qu’elles font l’objet de mesures de protection adaptées à leur degré de sensibilité dans les systèmes pertinents (par exemple, infrastructure et outils de protection et de surveillance des actifs, chiffrement des données, limitation des accès au personnel en ayant strictement besoin et autres).