Une entreprise ordonnée de cesser l’utilisation de la technologie de reconnaissance faciale pour le contrôle des accès à ses locaux

Le 4 septembre 2024, la Commission d’accès à l’information du Québec (« CAI ») a rendu une décision renforçant les exigences strictes qui régissent la collecte et le traitement des renseignements biométriques dans le secteur privé au Québec. Dans sa décision, la CAI ordonne à Imprimeries Transcontinental inc. (l’« Entreprise ») de cesser l’utilisation de la technologie de reconnaissance faciale pour le contrôle des accès à ses locaux et de détruire tout renseignement biométrique recueilli, puisque ses pratiques de collecte et de traitement contrevenaient aux exigences de la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP »).

Ce bulletin donne un aperçu des motifs de décision de la CAI.

I. Contexte général

À l’origine, la mise en œuvre d’un système de reconnaissance faciale et de vérification de la température visait à assurer la sécurité des employés pendant la pandémie de COVID-19 en contrôlant les accès aux locaux de l’Entreprise. Le système comportait deux fonctionnalités principales : la reconnaissance faciale et la prise de température corporelle.

Le 2 octobre 2020, l’Entreprise a avisé la CAI de son intention de créer une base de données contenant des renseignements biométriques. Bien que l’Entreprise ait décidé en octobre 2022 de ne plus recourir à la fonction de vérification de la température, elle a continué d’utiliser la reconnaissance faciale pour contrôler les accès à ses locaux.

Le 20 juin 2024, près de quatre ans après que l’Entreprise a informé la CAI de la création et de l’utilisation de sa base de données, la CAI a ouvert une enquête sur les pratiques de l’Entreprise en matière de collecte et de traitement des renseignements biométriques.

Elle a conclu que ces pratiques contrevenaient aux exigences de la LPRPSP.

II. Procédures de l’Entreprise en matière de collecte des renseignements biométriques

Au cours de l’enquête, l’Entreprise a indiqué à la CAI qu’elle suivait un processus relativement strict lors de l’utilisation de son système de reconnaissance faciale :

• Obtention du consentement de chaque employé à la collecte de ses renseignements biométriques.

• Prise d’une photo de chaque employé par un coordonnateur ou un formateur.

• Transmission des photos aux ressources humaines via un serveur sécurisé.

• Suppression des photos de l’appareil photo du coordonnateur ou du formateur.

• Validation des photos à l’aide des renseignements d’identification figurant au dossier des employés.

• Dépôt des photos dans le système de reconnaissance faciale.

• Suppression des photos du serveur de l’Entreprise.

• Conversion des photos en un code irréversible sur la base duquel la reconnaissance des employés est effectuée.

III. Analyse de la CAI

a. Fardeau de la preuve

Dans sa décision, la CAI rappelle qu’il incombe aux organisations de prouver que la collecte et l’utilisation de renseignements biométriques sont nécessaires à la réalisation de leurs objectifs. De plus, en vertu de la LPRPSP, les organisations doivent démontrer que leurs objectifs sont légitimes, réels et importants, et que l’atteinte à la vie privée des personnes concernées est proportionnelle à ceux-ci.

b. Objectifs de l’entreprise

Au départ, l’objectif de l’entreprise était d’assurer la sécurité de ses employés pendant la pandémie de COVID-19. Elle souhaitait également respecter les exigences du Customs Trade Partnership Against Terrorism (« CTPAT »), un programme américain qui contribue à améliorer la sécurité des chaînes d’approvisionnement. Pour obtenir la certification CTPAT, les organisations peuvent mettre en place un système d’identification biométrique pour contrôler les accès à leurs locaux, bien que cette mesure ne soit pas obligatoire. Au moment de l’enquête de la CAI, en 2024, la sécurité des employés contre la COVID-19 ne faisait plus partie des objectifs de l’Entreprise. Son principal objectif était maintenant de respecter les exigences de certification CTPAT en assurant la sécurité de ses locaux.

c. Critère de nécessité

i. L’objectif poursuivi était-il légitime?

La CAI a considéré que l’Entreprise était légitime de vouloir assurer la sécurité de ses installations et de prendre des mesures afin de contrôler les accès à ses locaux.

ii. L’objectif poursuivi était-il réel?

Pour que l’Entreprise puisse démontrer le caractère réel de l’objectif, elle devait prouver qu’elle visait à résoudre une problématique précise ou réelle qui justifiait la collecte de renseignements personnels, en particulier des renseignements biométriques. Cet objectif ne devait pas être à atteindre dans le futur ou hypothétique. La CAI a indiqué qu’elle ne pouvait recevoir l’argument selon lequel le respect des exigences de certification CTPAT représentait une problématique à résoudre. Par ailleurs, ces exigences n’imposaient aucune collecte de renseignements biométriques nécessaire à la sécurité des installations et prévoyaient des moyens moins intrusifs pour la réalisation de cet objectif.

Compte tenu de ce qui précède, la CAI a jugé que l’Entreprise n’a pas été en mesure de prouver que son objectif était soutenu par une problématique précise ou réelle justifiant la collecte de renseignements biométriques. Le souhait d’obtenir la certification CTPAT ne représentait pas une problématique à résoudre, mais un moyen de collaborer plus facilement avec le Service des douanes et de la protection des frontières des États-Unis.

d. Critère de proportionnalité

i. La collecte de renseignements biométriques était-elle proportionnelle à l’objectif poursuivi?

Selon la LPRPSP, la collecte de renseignements personnels doit être proportionnelle à l’objectif ou aux objectifs poursuivis. Globalement, les avantages tirés de leur collecte et de leur traitement doivent l’emporter sur l’atteinte à la vie privée des personnes concernées. C’est l’Entreprise qui avait le fardeau d’établir que la collecte effectuée était rationnellement liée à son objectif, que l’atteinte à la vie privée était minimisée et que la collecte de ces renseignements lui était nettement plus utile que préjudiciable aux personnes concernées.

ii. La collecte de renseignements personnels était-elle rationnellement liée à l’objectif poursuivi?

Selon les explications fournies par l’Entreprise, la collecte de renseignements biométriques était nécessaire au fonctionnement d’un système de reconnaissance faciale visant le contrôle des accès aux locaux. La CAI n’a pas remis en doute cette affirmation et a conclu que cette collecte était rationnellement liée à l’objectif de contrôler les accès aux locaux de l’Entreprise.

iii. L’Entreprise a-t-elle minimisé l’atteinte à la vie privée?

Avant de collecter des renseignements personnels, les organisations doivent s’assurer de minimiser l’atteinte potentielle à la vie privée des personnes concernées que représente la collecte et le traitement de ces renseignements. Pour ce faire, elles doivent évaluer la possibilité d’utiliser d’autres moyens moins intrusifs pour la réalisation de leurs objectifs. La CAI a déterminé que l’Entreprise pouvait mettre en œuvre de tels moyens afin de respecter les exigences de certification CTPAT.

Plus précisément, elle aurait pu remettre des badges d’identité à ses employés, des badges temporaires aux visiteurs et aux fournisseurs ou des clés ou codes d’accès. De plus, l’Entreprise n’a pas été en mesure d’établir en quoi ces moyens moins intrusifs ne permettaient pas la réalisation de son objectif et en quoi un système de reconnaissance faciale devait être le moyen à privilégier.

iv. La collecte de renseignements personnels était-elle nettement plus utile à l’Entreprise que préjudiciable aux personnes concernées?

En matière de respect de la vie privée, les attentes sont très élevées lorsque des renseignements biométriques sont recueillis et traités. Fondamentalement, ces renseignements constituent des identifiants uniques par leur nature permanente et distinctive, et en raison de leur caractère immuable, un incident de confidentialité ou une utilisation malveillante peuvent avoir de lourdes conséquences pour les personnes concernées. Contrairement à une carte ou un code d’accès, on ne peut remplacer ni modifier les renseignements biométriques d’une personne.

Selon la CAI, même si l’Entreprise a chiffré les photos des employés, ce processus n’atténue pas pour autant l’exposition au risque. Par ailleurs, le code irréversible généré lors du processus d’intégration d’un employé demeure un renseignement personnel, et l’Entreprise n’a présenté aucun élément de preuve démontrant que ce code a été également chiffré. La CAI a jugé que le chiffrement de la base de données biométriques constituait une mesure de sécurité propre à assurer la protection des renseignements personnels. Toutefois, une telle mesure ne minimise pas le niveau d’atteinte à la vie privée subie par les employés au moment où leurs renseignements biométriques ont été recueillis. Dans l’ensemble, selon la CAI, les avantages pour l’Entreprise ne justifiaient pas d’exposer les personnes concernées à un niveau de risque aussi élevé.

IV. Conclusions de la CAI

La CAI a conclu que l’Entreprise ne respectait pas les exigences de la LPRPSP et que la collecte et le traitement des renseignements biométriques étaient injustifiés. La CAI lui a donc ordonné de cesser l’utilisation de la technologie de reconnaissance faciale pour le contrôle des accès à ses locaux et de détruire, dans les quatre-vingt-dix (90) jours suivant la réception de la décision, tous les renseignements biométriques et les codes obtenus.

V. Points à retenir

La décision de la CAI constitue un rappel important : au Québec, la collecte et l’utilisation de renseignements biométriques sont soumises à des exigences strictes. Les organisations doivent prendre le temps d’évaluer d’autres solutions moins intrusives avant d’entreprendre toute activité nécessitant la collecte et l’utilisation de tels renseignements.

Cette décision rappelle que les organisations doivent d’abord évaluer si les objectifs qu’elles poursuivent au moyen de la collecte de renseignements biométriques sont légitimes, réels et importants; si les renseignements recueillis sont rationnellement liés à ces objectifs; si l’atteinte à la vie privée est minimisée et si la collecte leur est nettement plus utile que préjudiciable aux personnes concernées. Il incombe aux organisations de trouver un équilibre entre la réalisation de leurs objectifs commerciaux et la protection adéquate des droits individuels à la vie privée.

À propos des auteurs

Amir Kashdaran, associé chez McMillan, offre une gamme complète de services-conseils juridiques à des sociétés nationales et internationales, et ce, dans divers domaines, dont : technologies, propriété intellectuelle, vie privée et protection des données, ainsi que droit commercial.