Une candidate au GMAT s'oppose à l'utilisation de la technologie de reconnaissance du réseau veineux de la paume de sa main

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2011-012

Le 27 octobre 2011


Une femme s’est opposée à ce qu’un appareil balaie la paume de sa main avant qu’elle puisse passer le Graduate Management Admission Test (GMAT) en 2009 et à ce que l’information soit communiquée a une organisation américaine.

Le Graduate Management Admission Council (GMAC) est l’organisation américaine qui est le propriétaire et l’administrateur de l’examen. Les renseignements personnels sont recueillis et utilisés au Canada aux fins de l’administration de l’examen par les employés canadiens de centres d’examens canadiens, où l’examen a été administré à plus de 8 000 reprises en 2008.

Le GMAC authentifie les candidats au moyen de la reconnaissance du réseaux veineux de la paume de la main, technologie qui trace le réseau veineux sous la peau de la main d’une personne et le conserve sous forme de gabarit crypté numérique (binaire) (une « clé numérique »). L’administrateur utilise cette technologie pour détecter la fraude et l’usurpation d’identité pendant les examens.

Le processus n’est pas réversible. Aucune donnée biométrique n’est conservée dans un fichier déchiffrable. Il serait extrêmement difficile de forger une identité fondée sur le réseau veineux parce que les veines sont à l’intérieur du corps et comportent de nombreuses caractéristiques détectables qui permettent de les différencier. L’administrateur de l’examen a soutenu qu’une authentification fondée sur une simple identification visuelle et sur la vérification des documents d’identité n’est pas entièrement fiable étant donné que les fraudeurs prendront tous les moyens pour ressembler physiquement à une personne et usurper son identité.

Chaque fois que les candidats à l’examen sortent de la salle d’examen ou y reviennent, le gabarit du réseau veineux sert à vérifier leur identité. De plus, ce gabarit est comparé à tous les autres gabarits recueillis par l’administrateur de l’examen en d’autres lieux ou lors d’examens antérieurs, même sous des noms différents.

Nos constatations

Le Commissariat a déterminé qu’une personne raisonnable trouverait justifié que le GMAC utilise la reconnaissance du réseau veineux pour identifier les candidats et assurer l’intégrité de l’examen. Nous avons également jugé acceptable que l’administrateur de l’examen recueille et utilise des photos numériques avec le gabarit du réseau veineux étant donné que, dans quelques cas relevés par le passé, la photo a protégé des candidats des répercussions d’une correspondance erronée de la reconnaissance de leur réseau veineux.

Le GMAC a donné́ deux raisons principales pour justifier la collecte des renseignements personnels des candidats, y compris de leurs données biométriques : 1) pour vérifier l’identité des candidats au GMAT et 2) pour faire en sorte que les résultats envoyés aux écoles reflètent de façon précise les capacités des étudiants.

Nous avons tiré nos conclusions après avoir examiné́ trois facteurs : le risque de fraude, la mesure dans laquelle la technologie utilisée par le GMAC pour la reconnaissance du réseau veineux respecte la vie privée, et les normes de sécurité applicables à la conservation et à l’utilisation des gabarits.

Fraude

Le GMAC a démontré que des tentatives de fraude et d’activités illégales avaient déjà eu lieu lors de l’administration de l’examen.

Il a soumis de la preuve démontrant qu’il existait des professionnels en matière d’examen qui passaient l’examen pour quelqu’un d’autre et a signalé qu’en 2003-2004, cinq individus de Montréal et de New York avaient passé l’examen à la place de 185 Américains. Les fraudeurs ont été traduits en justice et condamnés, et ils ont purgé une peine d’emprisonnement dans un établissement pénitentiaire fédéral aux États-Unis. L’une des personnes condamnées a déclaré publiquement avoir passé l’examen plus de 300 fois. Pour cette raison, un grand nombre des écoles qui utilisaient l’examen dans le cadre de leur processus d’admission ont demandé à l’administrateur d’adopter une approche beaucoup plus rigoureuse à l’égard de la sécurité.

L’administrateur de l’examen a affirmé que la technologie biométrique était efficace en tant que moyen de dissuasion. Par exemple, après l’instauration du programme de biométrie, l’entreprise a constaté une diminution considérable des tentatives de fraude. Et dans deux cas, quelques individus ont quitté précipitamment le centre d’examen — avant la reconnaissance du réseau veineux de la paume de leur main — quand on leur a demandé d’expliquer pourquoi leur nom et leur signature ne correspondaient pas à ceux recueillis pour le même nom lors d’une séance d’examen précédente.

Pour ce qui est de la prévention de l’usurpation d’identité, l’administrateur de l’examen a indiqué que les premières expériences de l’entreprise avec la technologie de reconnaissance du réseau veineux de la paume de la main ont permis de dépister un individu qui avait fait l’examen cinq fois sous cinq identités différentes. La technologie a également permis de repérer 23 personnes qui avaient recruté le même imposteur pour qu’il passe l’examen à leur place. Dans les deux cas, les imposteurs avaient utilisé de fausses pièces d’identité délivrée par un gouvernement.

Un professionnel en matière d’examen du Canada a essayé de s’inscrire à un centre d’examen en 2009 pour passer l’examen pour la quatrième fois, mais il a été pris sur le fait parce que l’empreinte de la paume de sa main ne correspondait pas à celle enregistrée lors de la séance précédente. Cette personne n’a jamais plus communiqué avec l’administrateur de l’examen.

Protection de la vie privée

À la lumière des expériences récentes de l’administrateur de l’examen avec les méthodes de vérification de l’identité et des diverses solutions de rechange adoptées au fil des ans, la reconnaissance du réseau veineux de la paume de la main ne semble pas trop envahissant pour la protection de la vie privée. L’administrateur de l’examen a commencé à chercher une solution de rechange à la dactyloscopie (empreintes digitales numérisées) en 2006, après que des étudiants, des organisations de protection des données et des employés des centres d’examen aient exprimé des réserves à l’égard de la prise des empreintes digitales.

Le Commissariat estime que toutes les mesures biométriques portent plus ou moins atteinte à la vie privée puisqu’elles supposent la collecte de caractéristiques physiques d’une personne. Cependant, ce ne sont pas tous les usages de la biométrie qui portent gravement atteinte à la vie privée. Nous estimons que la représentation binaire du balayage du réseau veineux de la paume de la main d’un candidat, à la lumière de l’utilisation que fait de la technologie l’administrateur de l’examen, n’est pas un renseignement personnel trop sensible.

Par exemple, nous constatons que les images captés par la reconnaissance du réseau veineux de la paume de la main sont immédiatement transformés en un gabarit binaire chiffré, que le code binaire est irréversible et qu’aucune image biométrique brute n’est conservée. De plus, l’information relative au code binaire conservée à partir de la reconnaissance ne peut pas être interprétée facilement par d’autres parties ni utilisée à d’autres fins, et le gabarit est conservé séparément de tous les autres renseignements personnels relatifs au candidat. La reconnaissance de la paume est également considérée comme une méthode biométrique qui ne laisse pas de trace, étant donné qu’il est impossible de laisser des images latentes sur des objets, y compris le système servant à la reconnaissance.

Normes de sécurité applicables au stockage des données et conservation

En ce qui concerne la communication, la conservation et le stockage des renseignements personnels, nous n’avons pas conclu que l’administrateur de l’examen contrevenait à ses obligations en vertu de la Loi.

Après avoir visité un centre d’examen, nous avons conclu que les données relatives à la biométrie, à l’identité et à l’examen sont chiffrées en vue de la communication et du stockage et que l’accès aux données est limité. L’algorithme de chiffrement qu’utilise le sous-traitant de l’administrateur de l’examen correspond à une norme reconnue en matière de chiffrement assortie de bons niveaux de sécurité pour les données sensibles. De plus, les données sont protégées par de nombreuses mesures de protection de haut niveau au centre de stockage des données. Les politiques relatives à la sécurité sont documentées, et des accords écrits entre l’administrateur de l’examen et son sous-traitant régissent les procédures de protection des données. Par conséquent, l’obligation de responsabilité prévue au principe 4.1.3 de la LPRPDE est respectée.

La plaignante a aussi dit s’inquiéter que ses renseignements personnels soient transmis, conservés et entreposés aux États-Unis. À cet égard, nous avons constaté que dans son bulletin d’information, l’administrateur de l’examen indique clairement que les renseignements personnels seront transmis aux États-Unis. Nous concluons donc que les mesures prises par l’administrateur de l’examen sont conformes au principe 4.8 (« transparence ») de la LPRPDE.

En 2009, le Commissariat a diffusé ses Lignes directrices sur le traitement transfrontalier des données personnelles, lesquelles énonçaient des conclusions clés découlant d’enquêtes menées au fil des ans. En se fondant sur ces conclusions, le Commissariat a adopté la position selon laquelle la LPRPDE n’interdit pas aux organisations au Canada de transférer des renseignements personnels à une organisation dans un pays étranger aux fins de traitement pour autant qu’un niveau de protection comparable soit garanti contractuellement ou par un autre moyen, afin d’assurer la responsabilité.

Nous avons également estimé raisonnable la période de cinq ans établie par l’administrateur de l’examen pour la conservation des données biométriques et les résultats de l’examen, et nous avons constaté l’existence d’un processus automatisé et ponctuel de nettoyage des données à l’issue de la période de cinq ans. Par conséquent, la nécessité de limiter l’utilisation, la communication et la conservation qui est décrite au principe 4.5 de la LPRPDE est respectée.

Consentement

Lorsque nous avons retracé les étapes nécessaires afin qu’un candidat puisse s’inscrire à l’examen, nous avons constaté que les candidats étaient suffisamment informés en ce qui concerne la collecte de leurs renseignements personnels et les fins de la collecte.

Quatre-vingt-quinze pour cent des inscriptions à l’examen sont faites en ligne, et les candidats doivent cocher une case indiquant qu’ils acceptent les conditions énoncées et la politique de confidentialité (des liens vers celles-ci sont bien fournis). Sur le site, les candidats sont invités à lire le bulletin d’information de l’administrateur de l’examen, document essentiel en ligne (que l’on peut aussi obtenir par la poste) qui expose les conditions en matière d’identification que le candidat doit remplir le jour de l’examen et leurs raisons d’être.

Le bulletin fait état des politiques et méthodes applicables à l’examen et de la politique de confidentialité, qui contient des renseignements supplémentaires. Il renseigne les candidats sur les types de renseignements personnels qui seront recueillis, conservés et transmis aux États-Unis, sur le chiffrement des données et sur les utilisations prévues des renseignements par l’administrateur de l’examen. Il prévient également les candidats que, le jour de l’examen et au moment de la signature du document sur les règles et du contrat, ils consentiront à la reconnaissance du réseau veineux de la paume de leur main afin de prévenir la fraude. De plus, sur son site Web, l’administrateur de l’examen affiche d’autres renseignements détaillés au sujet de l’utilisation de méthodes biométriques le jour de l’examen et fournit un lien vers une foire aux questions portant expressément sur la façon dont il utilisera la technique de reconnaissance du réseau veineux. Le site Web indique clairement que la reconnaissance du réseau veineux de la paume de la main par l’administrateur de l’examen est obligatoire pour tous les candidats.

Conclusion

Le commissariat a conclu que la plainte n’était pas fondée.

*Remarque : ce résumé de conclusion d’enquête a été précédemment publié sous une forme rendue anonyme dans le rapport annuel de 2011 concernant la Loi sur la protection des renseignements personnels du CPVP. À la suite de la réalisation d’une enquête connexe au sujet d’un autre examen d’admission au collège, la commissaire à la protection de la vie privée a décidé qu’il est d’intérêt public de rendre public le nom des deux organisations.

Documents connexes

Pour en savoir plus sur les enquêtes connexes concernant des examens d’admission au collège, nous vous invitons à consulter les documents suivants :

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :