Qu’est-ce que la biométrie? 

Déverrouillez-vous votre téléphone ou votre ordinateur à l’aide d’une empreinte digitale ou par reconnaissance faciale? Ces types de technologies sont développés en ayant recours à la biométrie, qui signifie la « mesure du vivant ». D’ailleurs, le recours à la biométrie est de plus en plus populaire, tant dans le secteur public que privé. Le plus souvent, le but est de vérifier l’identité d’un individu, mais il est possible de l’utiliser pour d’autres raisons, par exemple à des fins d’études ou de statistiques.  

Comme les renseignements biométriques constituent des renseignements personnels sensibles, il est important de connaître les implications de leur divulgation. De plus, les entreprises qui recueillent, détiennent, utilisent ou communiquent de tels renseignements doivent respecter certaines obligations légales qui seront survolées dans cet article. 

Définition et catégories de biométrie 

Le dictionnaire de droit québécois et canadien1 définit la biométrie comme suit : « Technique d’analyse fondée sur la reconnaissance de certaines caractéristiques physiques propres à une personne afin d’en déterminer l’identité de façon irréfutable. » En utilisant la biométrie, il est donc possible d’identifier une personne en utilisant ses caractéristiques morphologiques, comportementales ou biologiques. 

Voici la distinction entre ces trois catégories de biométrie :  

  • Morphologique : Il s’agit des caractéristiques physiques comme la forme du visage, les empreintes digitales, la rétine, etc.  
  • Comportementale : Il s’agit des caractéristiques du comportement, comme la voix, la démarche, la signature, etc.  
  • Biologique : Il s’agit des caractéristiques biologiques, comme le sang, l’urine, l’ADN, etc.  

Renseignements personnels sensibles 

Les renseignements biométriques sont des renseignements personnels, puisqu’ils concernent une personne physique et permettent de l’identifier.  

Ils se qualifient également de renseignements personnels sensibles puisqu’ils constituent des caractéristiques qui sont très personnelles à chaque individu. Un haut degré d’attente raisonnable en matière de vie privée leur est donc associée. Un incident de confidentialité impliquant ce type de renseignements peut avoir de grandes conséquences. En effet, il est impossible de modifier sa forme de visage ou ses empreintes digitales, contrairement à un mot de passe2

Ces renseignements doivent donc être protégés de manière efficace, avec des mesures de sécurité qui sont proportionnelles à leur niveau de sensibilité.  

Lois applicables 

Au Québec, dès qu’une organisation décide de collecter des renseignements biométriques, elle doit respecter plusieurs obligations légales.  

Tout d’abord, la Loi concernant le cadre juridique des technologies de l’information3 (la « LCCJTI ») prévoit qu’il faut obtenir le consentement exprès d’une personne pour vérifier ou confirmer son identité par un procédé ayant recours à la biométrie. Une fois le consentement valable obtenu, seulement les caractéristiques ou les mesures biométriques nécessaires peuvent être utilisées pour établir son identité. Cela évite la collecte de plusieurs données biométriques distinctes d’une personne, alors qu’une seule aurait été suffisante dans les circonstances.  

Dans la situation où d’autres renseignements étaient découverts au sujet de la personne à partir des renseignements biométriques collectés, ces renseignements ne pourront pas être utilisés, ni pour prendre une décision à son égard, ni à quelque autre fin que ce soit. Ce renseignement pourra uniquement être communiqué à la personne concernée si elle en fait la demande.  

Lorsque l’objectif de la collecte de renseignements biométriques est atteint ou qu’il n’existe plus, les renseignements et les notes en découlant doivent être détruits. 

La LCCJTI prévoit également une obligation de divulguer la création d’une banque de caractéristiques ou de mesures biométriques à la Commission d’accès à l’information (la « CAI »). La divulgation devra être faite avant la création de la banque et elle est obligatoire, que la banque soit en service ou non. Pour ce faire, la CAI rend disponible un formulaire de déclaration sur son site web4 qui permet notamment d’y faire une description complète de la banque de caractéristiques ou de mesures biométriques et du système biométrique, de déterminer l’objectif de la collecte de ces renseignements et d’établir la manière dont le consentement des personnes concernées sera obtenu.  

La CAI a également des pouvoirs d’ordonnance en lien avec les banques de renseignements ou de mesures biométriques. Par exemple, la CAI pourrait ordonner la communication, la conservation, l’archivage ou la destruction de certaines mesures ou caractéristiques biométriques contenues dans une banque. En cas de non-respect d’une telle ordonnance ou si une banque porte atteinte au respect de la vie privée, la CAI pourra suspendre ou interdire sa mise en service ou en ordonner la destruction.  

Par la suite, comme les renseignements biométriques se qualifient de renseignements personnels sensibles, la Loi sur la protection des renseignements personnels dans le secteur privé5 et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels6 s’appliquent également. Les entreprises et organismes publics doivent notamment s’assurer de respecter les principes suivants :  

  • limiter la collecte aux renseignements qui sont nécessaires; 
  • informer la personne concernée des objectifs de la collecte et de l’utilisation qui sera faite des renseignements; 
  • s’assurer d’obtenir le consentement exprès de la personne concernée; et 
  • prendre les mesures de sécurité nécessaires pour assurer la protection des renseignements, en considérant leur sensibilité. 

L’affaire Clairview AI 

L’exemple de la société Clairview AI est très intéressant et permet d’illustrer les différents enjeux liés à la collecte de renseignements biométriques et l’importance de respecter les dispositions législatives applicables. Dans un rapport d’enquête publié le 3 février 20217, la CAI du Québec et les Commissariats de protection de la vie privée du Canada, de l’Alberta et de la Colombie-Britannique ont conclu à la violation des lois provinciales et fédérale sur la protection des renseignements personnels par Clairview AI.  

Dans cette affaire, la société Clairview AI a procédé à la collecte de milliards d’images de personnes à partir des médias sociaux, incluant des images de Canadiens et d’enfants, sans leur consentement exprès8. Elle a également vendu l’accès à cette base de données biométriques à des corps policiers, dont la Gendarmerie Royale du Canada, et à d’autres organisations pour des fins de recherches et d’enquêtes à l’aide de la technologie de reconnaissance faciale. De plus, malgré les conclusions de l’enquête, Clairview AI n’a pas reconnu que la collecte de renseignements biométriques nécessitait l’obtention du consentement des personnes concernées puisque les images étaient accessibles au public. Les commissaires sont également préoccupés par le fait que l’entreprise a fait passer ses intérêts commerciaux avant le droit à la vie privée.  

L’enquête a mené à une recommandation à l’effet que Clairview AI n’offre plus ses services de reconnaissance faciale au Canada, ce qui a été accepté par cette dernière. Les autres recommandations de mettre fin à la collecte d’images de Canadiens et de supprimer les données recueillies auprès de Canadiens ont été refusées par Clairview AI. Il est donc possible que d’autres mesures soient entreprises par les commissaires pour s’assurer du respect des lois canadiennes.  

Enfin, voici une citation très pertinente de Diane Poitras, présidente de la CAI du Québec au sujet de cette affaire :  

« La collecte massive de millions d’images faite par Clearview, sans le consentement et à l’insu des individus concernés, aux fins de commercialiser un service de reconnaissance faciale ne respecte pas la législation québécoise en matière de protection des renseignements personnels ou de biométrie. La position de Clearview, qui considère respecter les lois qui lui sont applicables, démontre la nécessité de mieux encadrer l’utilisation de cette technologie et d’accorder aux autorités de contrôle des outils dissuasifs supplémentaires, tels que ceux proposés par le projet de loi 64. »9 

Conclusion 

En résumé, la collecte de renseignements ou de mesures biométriques ne doit pas être faite à la légère. Comme il s’agit de renseignements personnels sensibles, plusieurs lois et obligations en découlant doivent être respectées. Il est également très important de s’assurer de protéger ces renseignements de manière adéquate et proportionnelle à leur niveau de sensibilité.  

Si vous détenez une banque de données biométriques ou si vous songez à le faire, n’hésitez pas à contacter nos experts chez MONDATA qui seront en mesure de vous conseiller et de vous supporter dans la mise en place ou l’amélioration des mesures de sécurité nécessaires.  


1 H. Reid, Montréal, Wilson & Lafleur, 2016.  
2 Commission d’accès à l’information du Québec, Biométrie : principes à respecter et obligations légales des organisations, Guipe d’accompagnement pour les organismes publics et les entreprises, juillet 2020, p. vi.  
3 RLRQ, c. C-1.1. 
4 Formulaire de déclaration d’une banque de mesures ou de caractéristiques biométriques (https://www.cai.gouv.qc.ca/documents/CAI_FO_banque_bio.pdf), révisé en juillet 2020, consulté le 13 mai 2021. 
5 RLRQ, c. P-39.1. 
6 RLRQ, c. A-2.1. 
7 Clearview AI – Rapport d’enquête | Commission d’accès à l’information du Québec (https://www.cai.gouv.qc.ca/clearview-ai-diffusion-rapport-denquete/), 3 février 2021, consulté le 13 mai 2021.  
8 Vie privée et biométrie : un bon ménage? | Actualités juridiques | Éducaloi (https://educaloi.qc.ca/actualites-juridiques/vie-privee-et-biometrie-un-bon-menage/), consulté le 14 mai 2021. 
9 Supra, note 7. 

Attention : Cette publication ne constitue pas un avis juridique. Il s’agit uniquement d’informations d’ordre général dans le but de vous tenir informés sur certains sujets. Nous vous invitons à consulter votre avocat pour toute question d’ordre juridique.