La Commission d’accès à l’information du Québec (« CAI ») a récemment rendu une décision importante concernant les données biométriques et la création et l’enregistrement d’une banque de caractéristiques ou de mesures biométriques au Québec. La CAI a interdit l’utilisation d’une banque de caractéristiques ou de mesures biométriques proposée par Metro inc. (le « Détaillant ») dans le but d’identifier, au moyen de la reconnaissance faciale, des personnes qui ont déjà été impliquées dans des vols à l’étalage ou des fraudes dans certains de ses établissements, à partir d’images captées par des outils de vidéosurveillance.
Le Détaillant a notamment fait valoir qu’il ne cherchait pas à vérifier ou à confirmer l’identité exacte des personnes concernées, mais plutôt à contrer le vol à l’étalage et la fraude sur la base d’une « correspondance » entre les visages des personnes entrant dans l’établissement et les visages capturés lors d’incidents de vol à l’étalage et de fraude par les systèmes de vidéosurveillance. La CAI a néanmoins estimé que l’acte consistant à confirmer l’appartenance ou non d’individus à un groupe spécifique de personnes constituait une vérification d’identité au sens de la loi applicable.
CONTEXTE LÉGISLATIF
Au Québec, en vertu des articles 44 et 45 de la Loi concernant le cadre juridique des technologies de l’information (« LCCJTI »), une entreprise qui souhaite utiliser la biométrie doit le divulguer à la CAI si elle :
- Vérifie ou confirme l’identité d’une personne au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques; ou
- Crée un banque de caractéristiques ou de mesures biométriques.
L’article 44 de la LCCJTI prévoit également que l’identité d’une personne ne peut être vérifiée ou confirmée au moyen d’un procédé utilisant des caractéristiques ou des mesures biométriques à moins que le consentement exprès de la personne ait été obtenu.
Parallèlement à la LCCJTI, la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») précise que les renseignements biométriques sont des renseignements personnels sensibles.
FAITS
Le Détaillant souhaitait lancer un projet pilote visant à mettre en place une technologie de reconnaissance faciale dans certains de ses établissements. L’objectif déclaré de ce projet était de lutter contre le vol à l’étalage et la fraude dans certains de ses établissements.
Selon le Détaillant, la reconnaissance faciale serait basée sur des images capturées par des caméras de vidéosurveillance à l’entrée et à la sortie de certains établissements. Ces images seraient comparées par des algorithmes à des images de référence contenues dans la base de données de caractéristiques ou de mesures biométriques du Détaillant. En cas de concordance entre l’image capturée par les caméras de vidéosurveillance et la banque en question, une alerte serait envoyée à la direction du magasin.
Les images de référence contenues dans la base de données seraient collectées à partir d’images capturées par les caméras de vidéosurveillance du Détaillant lors de vols à l’étalage ou de fraudes impliquant des personnes majeures et ayant fait l’objet d’une intervention policière. Ces images de référence feraient partie de la base de données.
Le Détaillant avait l’intention de tester deux systèmes de reconnaissance faciale différents, tous deux fonctionnant essentiellement en prenant les images brutes capturées par les caméras de télévision en circuit fermé, en les convertissant en représentations numériques, qui seraient ensuite comparées aux représentations numériques des images de suspects provenant des séquences de télévision en circuit fermé des incidents. Le Détaillant a indiqué qu’il n’obtiendrait pas le consentement explicite des personnes concernées.
Conformément aux articles 44 et 45 de la LCCJTI, le Détaillant a informé la CAI de ses intentions. La CAI a évalué les observations du Détaillant et a émis un avis préliminaire d’ordonnance et, en fin de compte, sa décision.
La CAI a conclu que :
- Le procédé biométrique proposé saisit des caractéristiques ou des mesures biométriques et est assujetti à l’article 44 de la LCCJTI.
- Le procédé biométrique proposé consiste à vérifier ou à confirmer l’identité d’une personne, au sens de l’article 44 de la LCCJTI. La CAI estime qu’il suffit qu’il y ait des éléments qui permettent simplement de reconnaître et de distinguer une personne d’une autre pour l’identifier.
- Le processus proposé est obligatoire (en d’autres termes, il s’applique à chaque personne entrant dans l’établissement) et il n’y a pas d’alternative ou de possibilité de retirer son consentement.
- Un consentement explicite est requis dans les circonstances proposées, mais le Détaillant n’a pas l’intention d’obtenir un tel consentement.
- L’atteinte à la vie privée est disproportionnée compte tenu de la sensibilité des données biométriques. La CAI a noté que le processus proposé était basé sur des interventions policières pour vol à l’étalage et fraude plutôt que sur des jugements reconnaissant la culpabilité des personnes impliquées et constituait donc une violation du droit à la présomption d’innocence, ce qui signifie que le processus proposé ne pouvait pas soutenir l’exigence de légitimité du traitement de l’article 4 de la Loi sur le secteur privé.
ENJEUX IMPORTANTS POUR VOTRE ENTREPRISE
Cette décision est importante car elle reflète l’exigence de la CAI selon laquelle les entreprises peuvent difficilement justifier l’utilisation d’un processus ou de technologies utilisant des données biométriques, et l’applique dans un contexte de vente au détail. Les points à retenir sont les suivants :
- Interprétation large de la notion d’identification. Un procédé de reconnaissance faciale est soumis aux exigences de l’article 44 de la LCCJTI même si son seul but est de confirmer l’appartenance ou non des personnes dont les caractéristiques biométriques sont captées à un groupe spécifique de personnes. En effet, il n’est pas nécessaire de vérifier ou de confirmer l’identité exacte d’une personne dont les caractéristiques biométriques ou les mesures sont enregistrées pour vérifier l’identité d’une personne au sens de l’article 44 de la LCCJTI.
- Analyser le processus biométrique dans son ensemble. Selon le Détaillant, les différentes étapes du processus biométrique (détection des visages, capture d’images, extraction des caractéristiques, comparaison et stockage) signifiaient qu’à ces différentes étapes, aucune information biométrique n’était en cause et/ou qu’aucune identification ou vérification n’avait eu lieu. La CAI a rejeté cette interprétation. La CAI a évalué l’ensemble du processus de reconnaissance faciale proposé par le Détaillant afin de déterminer s’il était conforme à l’article 44 de la LCCJTI. Selon la CAI, une analyse compartimentée des phases du processus de reconnaissance faciale viderait les dispositions de la LCCJTI de leur sens. Ainsi, la simultanéité des étapes de validation ou de confirmation de l’identité dans le cadre du processus de reconnaissance faciale ne serait pas conforme à l’article 44 de la LCCJTI.
- Identité numérique. La CAI a souligné le contexte technologique au cœur de la LCCJTI et le fait que les caractéristiques et les mesures biométriques sont intrinsèquement numériques. Par conséquent, la CAI a conclu que le contexte numérique fait que le terme « identité » utilisé à l’article 44 de la LCCJTI va au-delà de l’identité légale, qui est liée à l’état civil d’une personne et qui est utilisée dans les procédures administratives ou formelles, et renvoie davantage à la notion d’identité numérique. Elle précise qu’à cette fin, l’identité numérique est constituée de divers attributs permettant de reconnaître et de distinguer une personne d’une autre, et que les caractéristiques et mesures biométriques d’une personne font partie de son identité numérique.
- Interprétation large et libérale des dispositions de la LCCJTI sur la biométrie. Les articles 44 et 45 de la LCCJTI doivent être interprétés de manière large et libérale.
- Générer des données biométriques équivaut à une nouvelle collecte plutôt qu’à une utilisation secondaire. Le Détaillant a fait valoir que l’article 12 de la Loi sur le secteur privé l’autorisait à utiliser les informations biométriques des personnes entrant dans ses établissements à des fins secondaires, sans leur consentement. Il estimait que les informations avaient déjà été collectées par les caméras de télévision en circuit fermé déjà en place pour des raisons de sécurité, et que l’utilisation proposée était un objectif connexe. La CAI a rejeté ce point de vue, estimant que la collecte d’images de vidéosurveillance et la collecte de mesures ou de caractéristiques biométriques constituent deux collectes distinctes d’informations à caractère personnel qui ne doivent pas être confondues.
- Exiger qu’un individu vérifie ou confirme son identité à l’aide de données biométriques. La CAI a conclu qu’une personne ne peut entrer dans l’un des établissements en question sans que son image ne soit enregistrée sur un système de vidéosurveillance et, par conséquent, sans que ses caractéristiques ou mesures biométriques ne soient captées et analysées. Ce faisant, le Détaillant exige que la vérification ou la confirmation de l’identité de ses clients soit effectuée au moyen d’un procédé qui capte des caractéristiques ou des mesures biométriques au sens de l’article 44 de la LCCJTI. La CAI est d’avis qu’en l’absence du consentement exprès de la personne concernée, une telle exigence est contraire à l’article 44 de la LCCJTI.
- Atteinte à la vie privée. La CAI a déclaré que la banque de données biométriques proposée par le Détaillant constitue une atteinte importante à la vie privée des personnes concernées, au sens de l’article 45 de la LCCJTI, puisque les renseignements personnels biométriques seraient recueillis sans leur consentement.
À la lumière de cette décision et des lignes directrices publiées par la CAI sur l’utilisation des données biométriques, les entreprises qui font affaires au Québec devraient faire preuve d’une grande prudence lorsqu’elles développent des outils, des pratiques ou des projets impliquant des données biométriques.
Pour obtenir de plus amples renseignements sur ce sujet, veuillez communiquer avec l’auteure, Alexandra Quigley, ou avec un membre du groupe Cybersécurité et protection de la vie privée et des renseignements personnels de Dentons.