Une entreprise de télécommunications a omis d’obtenir un consentement approprié pour l’inscription à un programme d’authentification faisant appel à l’empreinte vocale
Conclusions en vertu de la LPRPDE no 2022-003
Le 30 mars 2022
Plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)
Rapport de conclusions
Aperçu
La plaignante, une cliente de Rogers Communications Inc. (« Rogers »), a allégué que Rogers l’avait indûment inscrite à son programme d’authentification biométrique Empreinte vocale. La plaignante affirme que, lorsqu’un représentant du service à la clientèle (« RSC ») le lui a demandé, elle a refusé de donner son consentement, mais qu’elle a tout de même été inscrite au programme. La plaignante a subséquemment demandé à être exclue du programme, mais a par la suite découvert qu’elle avait été de nouveau inscrite à son insu ou sans son consentement. Elle a également remis en question le caractère acceptable du programme Empreinte vocale de Rogers.
Rogers a expliqué que le programme Empreinte vocale est une solution d’authentification et de lutte contre la fraude conçue pour protéger les comptes des clients. La solution Empreinte vocale établit des empreintes vocales algorithmiques en écoutant passivement les appelants en arrière-plan, un processus appelé « réglage ». Cette empreinte serait ensuite attribuée à un compte client, soi-disant avec le consentement explicite du client, un processus appelé « inscription ». Lors d’appels subséquents, une correspondance serait établie en arrière-plan avec l’empreinte vocale de l’appelant afin d’authentifier l’appelant.
Fins acceptables : Premièrement, le Commissariat a déterminé que Rogers recueillait et utilisait des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans le contexte de son programme Empreinte vocale. Nous sommes d’avis que le programme constituait une solution efficace pour répondre aux besoins légitimes de Rogers en ce qui concerne l’authentification et la sécurité des comptes dans le contexte de menace accrue dans lequel les fournisseurs de services de télécommunications évoluent. Le programme présentait des risques d’identification limités par rapport à d’autres solutions biométriques et intégrait un certain nombre de limitations et de mesures de sécurité et de contrôle destinées à atténuer les répercussions sur la vie privée. Par conséquent, nous avons conclu que cet élément de la plainte était non fondé.
Consentement et conservation : En ce qui concerne les circonstances précises de la présente plainte, Rogers a reconnu, après examen d’un appel enregistré, que la plaignante avait été indûment inscrite au programme à une occasion. Elle a admis qu’il était possible que la plaignante ait été inscrite par erreur dans le cadre de l’appel précédent, mais a indiqué qu’elle ne pouvait pas le confirmer, car l’enregistrement de cet appel avait été supprimé. Rogers a expliqué qu’il pouvait arriver que les RSC cliquent sur l’inscription par erreur ou sélectionnent la mauvaise option, sans avoir obtenu le consentement de l’appelant.
De façon plus générale, nous avons déterminé que Rogers n’avait pas obtenu de consentement valable pour l’inscription au programme Empreinte vocale. Nous sommes d’avis qu’un consentement explicite était requis avant le réglage ainsi qu’avant l’inscription, pour les raisons suivantes : i) les empreintes vocales constituent des renseignements biométriques sensibles; ii) une personne qui appelle Rogers ne s’attendrait pas raisonnablement à ce que sa voix soit enregistrée et utilisée pour créer une représentation biométrique de sa voix. Bien que la politique et les protocoles de Rogers indiquent que les RSC doivent obtenir le consentement explicite des clients avant de les inscrire au programme, l’entreprise : i) a amorcé le processus de « réglage », qui nécessitait de recueillir des données biométriques, sans avoir d’abord obtenu un consentement valable; et, à notre avis, ii) n’avait pas mis en œuvre les protocoles et la surveillance qui lui auraient permis de s’assurer qu’un consentement explicite était systématiquement obtenu avant l’inscription.
Nous avons en outre établi que Rogers n’offrait pas aux personnes qui souhaitaient se soustraire à la collecte et à l’utilisation de leur empreinte vocale un mécanisme clairement expliqué et facilement accessible leur permettant de le faire. Rogers avait mis en place un processus permettant aux personnes qui le souhaitaient de se désinscrire du programme Empreinte vocale, mais ce processus était uniquement mentionné dans un document intitulé « FAQ sur l’Empreinte vocale » sur le site Web de Rogers. Les personnes qui demandaient expressément à un RSC de les exclure du programme Empreinte vocale étaient désinscrites et informées que leur empreinte vocale serait conservée à des fins de sécurité.
Or, Rogers nous a finalement informé que les empreintes vocales conservées n’avaient jamais, en réalité, été utilisées à des fins de sécurité ou à une autre fin. En fait, Rogers les a simplement stockées dans sa base de données. Nous avons déterminé que, puisque Rogers n’avait aucune raison de conserver ces empreintes vocales après la désinscription des clients, elle aurait dû les supprimer à ce moment-là.
Enfin, le Commissariat a relevé certaines lacunes dans le matériel de formation et les protocoles utilisés par Rogers pour s’assurer que son personnel obtenait un consentement valable. Ces documents étaient de nature très générale et ne contenaient pas tous les renseignements essentiels. De plus, Rogers ne disposait pas d’un mécanisme de mise en œuvre suffisamment robuste; elle s’en remettait plutôt à des examens ponctuels des appels par ses superviseurs et n’exerçait aucun suivi pour assurer l’efficacité de cette surveillance.
En réponse à nos recommandations, Rogers a accepté d’apporter, d’ici le 30 septembre 2022, un certain nombre de modifications importantes à son programme Empreinte vocale, notamment les suivantes : i) obtenir le consentement explicite des clients avant d’amorcer le réglage; ii) informer plus clairement les clients qu’ils ont la possibilité de se désinscrire et supprimer leur empreinte vocale au moment de la désinscription; iii) supprimer les empreintes vocales des personnes qui ont antérieurement demandé à être exclues du programme Empreinte vocale; iv) apporter des changements importants à ses documents de procédure et de formation ainsi qu’à la surveillance connexe afin d’assurer la conformité; et v) demander aux clients déjà inscrits de confirmer leur consentement lorsqu’ils communiqueront à nouveau avec Rogers.
Compte tenu de ces engagements, nous estimons que les éléments de la plainte relatifs au consentement et à la conservation sont fondés et conditionnellement résolus.
Plainte
- Le Commissariat à la protection de la vie privée du Canada (le « Commissariat » ou le « CPVP ») a reçu une plainte à l’effet que Rogers Communications Inc. (« Rogers ») avait créé une empreinte biométrique de la voix de la plaignante au cours d’une conversation téléphonique, sans son consentement. La plaignante a également affirmé que Rogers ne lui avait pas permis de refuser que son empreinte vocale soit recueillie et utilisée, et qu’une demande de suppression de son empreinte vocale avait été ignorée. Enfin, la plaignante a exprimé des doutes quant à savoir si Rogers utilisait son empreinte vocale aux fins auxquelles elle prétendait l’utiliser, et a exprimé le désir de savoir si des tiers avaient accès à ce renseignement.
- À la lumière de la plainte, le Commissariat a mené une enquête sur les deux questions suivantes :
- Fins acceptables : L’empreinte vocale a-t-elle été recueillie et utilisée à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances?
- Consentement : Rogers a-t-elle obtenu un consentement valable pour la collecte de l’empreinte vocale de la plaignante; et Rogers obtient-elle un consentement valable pour la collecte des empreintes vocales en général? Rogers offrait-elle un mécanisme adéquat pour le retrait du consentement?
Dans le cadre de l’examen des pratiques de Rogers relatives au retrait du consentement, nous avons relevé une question supplémentaire concernant la conservation des empreintes vocales par Rogers, que nous abordons également dans le présent rapport.
Contexte
- Rogers est l’une des plus grandes entreprises de télécommunications sous réglementation fédérale au Canada. Elle fournit divers services à des millions de Canadiens, notamment des services d’accès à Internet, des services de télévision et de téléphonie et des services sans fil.
- En 2018, Rogers a mis en œuvre un programme de création d’empreintes vocales biométriques (le « programme Empreinte vocale ») pour authentifier les titulaires de compte. Rogers a expliqué que ce programme se veut un moyen d’accroître la sécurité des comptes, de lutter contre la fraude et d’améliorer l’efficacité des opérations liées aux interactions téléphoniques avec les clients. La politique de Rogers stipule que les clients doivent donner leur consentement explicite avant qu’elle puisse les inscrire au programme et que leur empreinte vocale soit associée à leur compte.
- La plaignante, qui était une cliente de Rogers, allègue qu’elle a été inscrite au programme Empreinte vocale lors d’une conversation téléphonique avec un RSC de Rogers (la « première conversation téléphonique »), sans son consentement. Elle affirme que, lorsque le RSC lui a demandé son consentement lors de cette conversation téléphonique, elle a refusé de le lui accorder. Lors d’une conversation téléphonique subséquente qui a eu lieu le mois suivant (la « deuxième conversation téléphonique »), la plaignante a découvert qu’elle avait été inscrite au programme Empreinte vocale malgré son refus. Elle a alors exprimé son désir d’être exclue du programme et demandé que son empreinte vocale soit supprimée.
- Plusieurs mois plus tard, après une « troisième conversation téléphonique », la plaignante a découvert qu’elle était toujours inscrite au programme Empreinte vocale. Elle allègue donc également que Rogers ne lui a pas permis de se retirer du programme et n’a pas supprimé ses renseignements à la suite de sa demande.
- Le Commissariat a déterminé que Rogers avait en fait supprimé l’empreinte vocale de la plaignante après la deuxième conversation téléphonique, conformément à sa demande, mais que la plaignante avait été réinscrite au programme lors de la troisième conversation téléphonique, là encore sans son consentement. À la suite de cette deuxième inscription, Rogers a de nouveau supprimé l’empreinte vocale de la plaignante et a exclu cette dernière du programme de manière définitive.
Aperçu de la solution d’empreinte vocale de Rogers
- Afin de comprendre l’usage que fait Rogers de la technologie d’empreinte vocale, le Commissariat a demandé et obtenu un certain nombre de documents et de présentations portant sur la solution d’empreinte vocale de Rogers et sur les protocoles qui y sont associés.
- Nous soulignons qu’en règle générale, l’authentification vocale repose sur l’utilisation de deux technologies, la voix active et la voix passive, qui ont chacune des avantages et des inconvénients et peuvent être mises en œuvre en tandem :
- Voix active : Cette solution exige que la personne prononce une phrase précise, appelée « phrase passe », que le logiciel analyse en vue de créer une empreinte vocale. Lorsqu’une solution fondée sur la voix active est utilisée, l’analyse biométrique et la création de l’empreinte vocale ont lieu lorsque la personne cible prononce la phrase passe, et demeurent liés à cette phrase précise. Ce type de solution permet de combiner la collecte et l’inscription en une seule étape. La personne doit généralement répéter la phrase passe plusieurs fois au cours du processus. Elle a donc relativement conscience que des renseignements personnels la concernant sont recueillis.
La phrase passe utilisée dans le cadre d’une solution fondée sur la voix active peut être soit générique soit personnalisée. Dans le premier cas, la phrase passe est une expression générique qui est utilisée pour toutes les personnes inscrites (p. ex. « Ma voix est mon mot de passe ») alors que dans le second cas, la phrase passe est établie par la personne et celle-ci est la seule à la connaître, ce qui crée une forme d’authentification à deux facteurs (une chose qui fait partie de la personne, sa voix; et une chose que la personne connaît, la phrase passe). - Voix passive : La solution de Rogers repose sur cette technologie. Ce type de logiciel de reconnaissance, qui est exécuté en arrière-plan lors d’un appel, crée un modèle algorithmique général correspondant à la voix et à l’élocution de la personne. Pour fonctionner, cette solution n’exige pas que la personne cible ait connaissance de son existence, de sorte qu’elle peut être mise en œuvre à son insu. La voix passive peut offrir certains avantages en matière de sécurité du fait qu’elle est exécutée en arrière-plan et évalue l’élocution naturelle pendant toute la durée d’une interaction avec un client, plutôt qu’au moyen d’une vérification unique en début d’appel.
- Voix active : Cette solution exige que la personne prononce une phrase précise, appelée « phrase passe », que le logiciel analyse en vue de créer une empreinte vocale. Lorsqu’une solution fondée sur la voix active est utilisée, l’analyse biométrique et la création de l’empreinte vocale ont lieu lorsque la personne cible prononce la phrase passe, et demeurent liés à cette phrase précise. Ce type de solution permet de combiner la collecte et l’inscription en une seule étape. La personne doit généralement répéter la phrase passe plusieurs fois au cours du processus. Elle a donc relativement conscience que des renseignements personnels la concernant sont recueillis.
- La solution d’empreinte vocale de Rogers repose sur l’établissement d’une représentation algorithmique correspondant à l’élocution du client. L’élément central de la solution est un logiciel tiers utilisé sous licence du nom de Nuance FreeSpeechNote de bas de page 1, qui est exécuté en arrière-plan pendant l’appel et effectue une analyse, appelée « réglage », qui vise à déterminer les caractéristiques physiques du tractus vocal de la personne (longueur, forme et taille) ainsi que des traits comportementaux tels que les accents, la prononciation, les intonations et le débit. À l’aide de ces renseignements, le logiciel crée une empreinte vocale destinée à servir d’identifiant unique correspondant aux caractéristiques de la voix de la personne. Cette empreinte vocale n’est pas un enregistrement, mais une représentation algorithmique numérique.
- Rogers a mis en œuvre le logiciel FreeSpeech au moyen d’une application logicielle, appelée « widget », intégrée à son système téléphonique de réponse vocale interactive (« RVI »). Ce widget offre aux RSC l’option d’inscrire les clients au programme Empreinte vocale et, lorsqu’un client est déjà inscrit, leur indique si la voix du client correspond ou non à une empreinte vocale existante. Il a également la capacité de signaler les tentatives de fraude, comme nous l’expliquerons plus en détail ci-dessous.
- Rogers explique que pour recueillir et utiliser des empreintes vocales, son système de gestion des appels enclenche le processus de « réglage » une fois que le client a franchi son système RVI (et répondu aux questions posées, notamment en ce qui concerne l’objet de son appel) et désigné un compte. Le client est ensuite transféré à un RSC, et, dès qu’il commence à parler au RSC, le système amorce le « réglage » et l’établissement d’une empreinte vocale. Une fois que cette empreinte vocale a été établie, le processus se poursuit de l’une des deux façons suivantes. Si une empreinte vocale est déjà associée au compte, l’empreinte vocale de l’appelant est comparée à l’empreinte au dossier. Le Commissariat souligne que les comparaisons biométriques peuvent prendre deux formes : un à un ou un à plusieurs. Lorsqu’une comparaison un à un est effectué, les données biométriques recueillies sont uniquement comparées avec les données biométriques au dossier, généralement à des fins de vérification, tandis que lorsqu’une comparaison un à plusieurs est effectuée, les données recueillies sont comparées avec un ensemble de données biométriques et peuvent, plus facilement, être utilisées à des fins d’identification. Rogers a confirmé que le mécanisme qui intervient lors des appels est une comparaison un à un et que ce mécanisme n’est pas utilisé à des fins d’identification générale.Note de bas de page 2 Rogers a toutefois précisé qu’il arrive que des comparaisons un à plusieurs soient effectuées à des fins de sécurité, comme nous l’expliquons au paragraphe 16.
- Si aucune empreinte vocale n’est déjà associée au compte, le système passe à l’étape de l’inscription. Le RSC a alors l’option, dans l’interface de gestion des appels de Rogers, de procéder à l’inscription du client après avoir authentifié ce dernier manuellement. Selon la politique et les documents de formation de Rogers, les RSC doivent expliquer au client ce qu’est le programme Empreinte vocale et obtenir son consentement explicite avant d’associer l’empreinte vocale au compte du client. Si le client donne son consentement, le RSC associe l’empreinte vocale au compte du client en cliquant sur un bouton.
- Si le client refuse, il y a deux possibilités. Si le client indique qu’il ne souhaite pas participer au programme Empreinte vocale pour le moment, il est de nouveau invité à y participer 30 jours plus tard; s’il indique qu’il ne souhaite pas participer au programme tout court, il reçoit une nouvelle invitation 90 jours plus tard. Si le client ne participe pas au programme, l’empreinte vocale établie lors du « réglage » est supprimée et aucune empreinte vocale n’est conservée. À l’inverse, si un client déjà inscrit au programme indique qu’il ne souhaite plus y participer, l’empreinte vocale est conservée dans le système de Rogers « à des fins de sécurité »; nous avons toutefois appris que les empreintes vocales n’ont jamais été utilisées à ces fins, comme nous l’expliquons au paragraphe 61.
- Une fois qu’une empreinte vocale a été associée au compte, le logiciel utilise cette empreinte pour tenter d’authentifier les appelants lors d’appels subséquents liés à ce compte. Lorsque le système établit une correspondance entre la voix d’un appelant et la base de données d’empreintes vocales, il applique un « intervalle de confiance » indiquant le degré de correspondance. Rogers a établi un intervalle de confiance personnalisé qui doit être atteint pour que le système considère qu’il y a correspondance avec l’empreinte vocaleNote de bas de page 3 et a indiqué n’avoir eu connaissance d’aucun cas où des utilisateurs illégitimes auraient indûment eu accès au compte d’un utilisateur inscrit au programme Empreinte vocale.
- Si une correspondance est établie avec l’empreinte vocale, le système authentifie l’utilisateur et renvoie une réponse positive au RSC pour lui indiquer qu’il peut poursuivre l’appel. Rogers a expliqué que, lorsqu’une réponse négative ou une « non-correspondance » est renvoyée, le système compare alors la voix avec les empreintes vocales contenues dans une « base de données sur les fraudes » distincte (comparaison un à plusieurs). Rogers a indiqué que la base de données sur les fraudes utilisée dans le contexte du programme Empreinte vocale, est constituée des empreintes vocales d’appelants qui, selon les vérifications effectuées par l’équipe des fraudes de Rogers, se sont frauduleusement inscrits au programme Empreinte vocale avec le compte d’une autre personne. Le Commissariat souligne que ce type de comparaison un à plusieurs est uniquement effectué dans ce contexte précis.
- Comme nous l’avons indiqué ci-dessus, il serait possible pour un utilisateur illégitime de contourner le programme Empreinte vocale s’il réussissait à franchir l’étape de l’authentification manuelle et à configurer sa propre voix comme étant l’empreinte vocale inscrite au dossier. Si une telle situation se produisait, l’utilisateur légitime devrait se soumettre à un processus d’authentification renforcé pour reprendre le contrôle de son compte.Note de bas de page 4
- Même si la plainte ne portait pas sur la question des mesures de sécurité et qu’aucune évaluation des mesures de sécurité n’a par conséquent été effectuée, nous soulignons que divers mécanismes de contrôle et de sécurité ont été mis en place afin de protéger les empreintes vocales dans le contexte du programme Empreinte vocale. Les empreintes vocales sont stockées dans un format chiffré et exclusif sur des serveurs canadiens contrôlés par Rogers. Rogers a confirmé qu’aucun tiers n’a accès aux empreintes vocales à quelque fin que ce soit. Rogers a précisé que seuls les membres de l’équipe d’administration de son programme Empreinte vocale ont accès à la base de données et que les empreintes vocales ne peuvent pas être utilisées en dehors du système de Rogers. Notre examen des documents du logiciel a confirmé que la solution FreeSpeech est déployée par les clients de Nuance, qu’elle n’est ni gérée de façon centralisée ni contrôlée par Nuance et que Nuance n’y a pas accès. De plus, notre examen a confirmé que les empreintes vocales sont identifiées à l’aide d’une clé de chiffrement propre à l’instance particulière du logiciel FreeSpeech qui est utilisée, afin d’empêcher leur utilisation dans le cadre d’autres programmes ou d’autres implémentations de FreeSpeech.
- Bien que nous recommandions généralement que les données biométriques soient stockées sur l’appareil de l’utilisateur dans la mesure du possible, nous reconnaissons que, dans ce contexte particulier, une mise en œuvre centralisée par l’intermédiaire de la base de données de Rogers est nécessaire, car les appelants interagissent avec une ligne d’assistance et non un appareil précis.
Analyse
Question 1 : Fins acceptables
- Conformément au paragraphe 5(3) de la LPRPDE : « [une] organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ».
- Comme l’indique le Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3) du CPVP (le « Document d’orientation »),Note de bas de page 5 pour déterminer si une personne raisonnable estimerait que les fins auxquelles une organisation recueille, utilise et communique des renseignements sont acceptables dans les circonstances, le Commissariat tient généralement compte, en plus du degré de sensibilité des renseignements en cause, des facteurs établis par les tribunauxNote de bas de page 6 qui sont énumérés ci-dessous :
- le besoin ou les intérêts commerciaux légitimes des fins visées par l’organisation;
- l’efficacité de la collecte, de l’utilisation et de la communication pour répondre au besoin de l’organisation;
- l’existence de moyens portant moins atteinte à la vie privée qui permettent d’atteindre les mêmes fins pour un coût et des avantages comparables;
- la proportionnalité de l’atteinte à la vie privée par rapport aux avantages.
Sensibilité
- Le Commissariat a déjà statuéNote de bas de page 7 que les renseignements biométriques doivent être considérés comme sensibles dans presque toutes les circonstances. Ils sont intrinsèquement liés à la personne, et ce, de façon permanente dans la majorité des cas. Ils sont distinctifs, peu susceptibles de varier au fil du temps, difficiles à modifier et, en grande partie, propres à la personne. Le Commissariat reconnaît toutefois que, bien que tous les renseignements biométriques soient généralement considérés comme sensibles, ils n’ont pas tous le même degré de sensibilité. À titre d’exemple, les renseignements génétiques et les empreintes faciales sont généralement considérés comme ayant un degré de sensibilité plus élevé.
- Dans le cas de Rogers, nous soulignons que les empreintes vocales sont des renseignements biométriques stockés dans un format algorithmique et qu’il s’agit de renseignements personnels naturellement sensibles. Afin de mieux évaluer le degré de sensibilité dans le contexte du programme Empreinte vocale de Rogers, nous avons axé notre analyse sur le risque de préjudice pour les personnes dans les circonstances. Nous soulignons que les solutions de création d’empreintes vocales fondées sur la voix passive permettent d’établir des correspondances indépendamment de ce que dit une personne ou des mots qu’elle prononce, et qu’elles offrent par conséquent la possibilité générale d’identifier les personnes en les écoutant parler. Nous avons toutefois déterminé que ce risque est considérablement atténué dans le présent contexte en raison d’un certain nombre de facteurs.
- Premièrement, Rogers applique principalement la solution dans le cadre d’un scénario d’authentification un à un, et la création d’une empreinte vocale n’est amorcée qu’après qu’un appelant ait désigné un compte. Comme nous l’avons expliqué ci-dessus, lorsqu’une vérification un à plusieurs est effectuée, c’est uniquement dans le but de comparer une voix avec les empreintes vocales contenues dans une « base de données sur les fraudes », afin de signaler une tentative de fraude éventuelle, et non à des fins d’identification. Bien que cela indique qu’il serait possible pour Rogers d’utiliser les empreintes vocales à des fins plus générales dans le cadre de son système, nous soulignons que Rogers a intégré à son système un certain nombre de restrictions destinées à écarter cette possibilité. Deuxièmement, la technologie de création d’empreintes vocales ne peut être utilisée que par l’intermédiaire du widget intégré au système RVI de Rogers et elle n’est activée que dans des conditions déterminées. Nous soulignons en outre que la solution FreeSpeech est spécifiquement axée sur les conversations de vive voix et n’est pas conçue pour établir des correspondances avec des voix enregistrées, ce qui limite son utilisation aux appels actifs. Nous précisons que, même si Rogers décidait d’effectuer des comparaisons un à plusieurs, alors que rien n’indique que ce soit son intention, le risque, dans la pratique, se limiterait à l’identification de clients à l’intérieur du système RVI de Rogers. Enfin, nous soulignons que les empreintes vocales dans ce contexte ne sont pas réversibles, qu’elles sont chiffrées et qu’elles sont propres à l’instance de FreeSpeech utilisée par Rogers, ce qui limite les possibilités qu’elles soient utilisées à mauvais escient par des tiers ou à des fins autres que celles prévues.
- Bien que nous ayons abordé, ci-dessus et plus haut dans le présent rapport, certains éléments liés aux mesures de sécurité, nous rappelons que le Commissariat n’a pas procédé à une évaluation complète des mesures de sécurité mises en place par Rogers. Compte tenu du risque toujours présent d’atteinte à la sécurité ainsi que de la sensibilité et de la valeur intrinsèques des renseignements biométriques, nous encourageons Rogers à veiller à ce que ses mesures de sécurité soient aussi rigoureuses que le commandent les circonstances. De plus, nous avons constaté, dans le cadre d’enquêtes antérieures sur des atteintes à la sécurité, qu’il ne suffit pas pour une organisation de disposer d’outils et de politiques; encore faut-il qu’elle les déploie de façon dynamique afin de s’assurer qu’ils sont mis en œuvre adéquatement et respectés, et qu’ils demeurent efficaces face à l’évolution des menaces.
Besoin/intérêt commercial légitime
- L’objectif de Rogers en ce qui a trait à la collecte d’empreintes vocales biométriques est d’améliorer les protocoles d’authentification et, par le fait même, de mieux protéger les comptes contre les malfaiteurs et de prévenir les fraudes. Rogers a indiqué qu’elle avait lancé le programme Empreinte vocale à titre de mécanisme optionnel permettant d’offrir un niveau supplémentaire de protection aux titulaires de comptes et de mieux lutter contre la fraude, étant donné la capacité des malfaiteurs à compromettre les renseignements biographiques utilisés pour la vérification. Dans le cas particulier de Rogers, compte tenu du contexte de menace accru (que nous examinons plus en détail au paragraphe 36), nous convenons que les fins auxquelles le programme Empreinte vocale est utilisé représentent un besoin et un intérêt commercial légitimes.
- La plaignante s’est dite préoccupée par le fait qu’on lui avait posé des questions de vérification malgré qu’elle était inscrite au programme Empreinte vocale, et a dit douter que les empreintes vocales soient réellement créées à des fins d’authentification.
- Nous avons déterminé que les questions de vérification auxquelles la plaignante fait référence lui ont été posées pendant la période comprise entre le moment où elle a été retirée du programme et le moment où elle a été réinscrite par erreur. De plus, Rogers a expliqué qu’il arrive que des questions de vérification soient posées aux clients même s’ils sont inscrits au programme Empreinte vocale et qu’il s’agit simplement d’un mécanisme d’authentification renforcé. Rien n’indique que Rogers utilisait le programme Empreinte vocale à des fins autres que les fins qu’elle a définies, soit l’authentification et la gestion des fraudes. En outre, Rogers a confirmé qu’aucun tiers n’avait accès aux empreintes vocales de ses clients à quelque fin que ce soit.
Efficacité
- Nous concluons que le programme, dans la mesure où il s’inscrit dans le cadre d’un protocole d’authentification robuste, permet vraisemblablement de réaliser efficacement les fins visées par Rogers. Comme l’indiquent les Lignes directrices en matière d’identification et d’authentification du CPVP,Note de bas de page 8 les renseignements biométriques, telles les empreintes vocales, peuvent constituer d’excellents identifiants en ce qu’ils fournissent un niveau de protection supplémentaire et distinct qui est propre à la personne. Dans la mesure où elles sont jumelées à un intervalle de confiance correctement configuré pour l’établissement de correspondances et à des mécanismes permettant de détecter l’usurpation de voix,Note de bas de page 9 on peut raisonnablement s’attendre à ce que les technologies d’empreinte vocale puissent servir d’authentifiant efficace et améliorer la sécurité globale et la prévention de la fraude dans le cadre d’un protocole d’authentification. Nous soulignons cependant que, à l’instar des autres technologies, les empreintes vocales ne sont pas infaillibles. Comme l’a démontré une affaire médiatisée survenue au Royaume-Uni, dans laquelle un journaliste est parvenu à tromper un système de reconnaissance vocale, l’efficacité d’une solution d’empreinte vocale repose sur une mise en œuvre et une configuration adéquates et sur la conduite d’examens périodiques.Note de bas de page 10
- Rogers a indiqué qu’à l’intervalle de confiance qu’elle a établi pour son programme, elle n’avait eu connaissance d’aucune situation où sa solution Empreinte vocale avait accordé un accès à des utilisateurs non autorisés. Rogers a indiqué que, selon ses données empiriques internes et celles des fournisseurs, la solution offrait un taux d’exactitude de 99 %. Bien que les éléments de preuve examinés par le Commissariat ne soient pas suffisants pour établir une cote d’exactitude de 99 %, nous convenons, après examen de l’information sur la technologie et le logiciel et des observations présentées par Rogers, que la solution était probablement efficace dans le présent contexte.
- Cela dit, l’efficacité de la solution Empreinte vocale reposera, à son tour, sur une authentification adéquate à l’étape de l’inscription qui permette de garantir que la voix associée au compte est la bonne. Nous n’avons pas pleinement évalué les autres mesures d’authentification de Rogers dans le cadre de la présente enquête, mais celles-ci ont été examinées lors de l’enquête que nous avons menée sur Fido Solutions Inc. (une filiale de Rogers) – dont il est question au paragraphe 54 du présent rapportNote de bas de page 11 – et font actuellement l’objet d’un examen dans le cadre d’une autre enquête en cours sur les pratiques de Rogers.
Moyens portant moins atteinte à la vie privée
- Le Commissariat a déterminé qu’il existait d’autres moyens qui auraient pu permettre à Rogers de réaliser les fins visées, mais que ceux-ci n’étaient pas comparables. Bien qu’il existe une variété d’autres méthodes d’authentification valables, comme les NIP ou les questions de sécurité, nous reconnaissons que seuls les renseignements biométriques offrent un niveau de protection qui est propre aux caractéristiques de la personne. Tel qu’il est indiqué dans les Lignes directrices en matière d’identification et d’authentification du CPVP,Note de bas de page 12 ces autres solutions reposent uniquement sur une chose que la personne « connaît », alors que les empreintes vocales représentent une chose qui « fait partie » de la personne. Dans le contexte de la présente affaire, les empreintes vocales constituaient l’identifiant biométrique utilisable, puisque Rogers authentifie des personnes durant des appels téléphoniques.
- Cela ne signifie pas qu’il est toujours approprié d’utiliser des identifiants biométriques à titre d’authentifiants. Comme nous l’expliquons ci-dessous, la proportionnalité est un élément clé à considérer lorsqu’il s’agit de faire ce genre de détermination.
Proportionnalité
- Le Commissariat s’est penché sur la question de savoir si l’atteinte à la vie privée associée au programme Empreinte vocale est proportionnelle aux avantages. Les empreintes vocales présentent certains risques du point de vue de la protection de la vie privée, car elles recueillent des données biométriques qui peuvent révéler des caractéristiques vocales ou permettre d’identifier des personnes. Toutefois, étant donné que Rogers utilise les empreintes vocales comme méthode d’authentification facultative, le potentiel d’identification est très limité. Compte tenu de la façon dont la solution Empreinte vocale est conçue et de l’utilisation que Rogers en fait, nous reconnaissons que les empreintes vocales ne sont pas utilisées à d’autres fins d’identification ou de surveillance qui portent davantage atteinte à la vie privée.
- Nous soulignons que le programme Empreinte vocale peut procurer un avantage aux clients, c’est-à-dire un niveau de protection supplémentaire pour leurs comptes de télécommunication. Comme nous l’expliquons plus en détail dans le paragraphe qui suit, les entreprises de télécommunications sont des cibles de choix pour les malfaiteurs, ce qui occasionne des risques importants à la fois pour les organisations et pour les clients. Comme l’indiquent les Lignes directrices en matière d’identification et d’authentification du CPVP, la rigueur des méthodes d’authentification doit être proportionnelle aux risques auxquels l’organisation et ses clients sont exposés. Nous sommes d’avis que les comptes de Rogers sont exposés à un niveau de risque élevé, qui concerne aussi bien les titulaires de compte que l’entreprise elle-même et qui commande l’application d’une norme élevée en matière d’authentification.
- Rogers offre des solutions globales à des millions de clients, y compris des services de téléphonie/mobilité, Internet/de courriel, de télévision et de sécurité à domicile. Les entreprises de télécommunications, comme Rogers, sont ciblées de façon agressive par les malfaiteurs qui multiplient les attaques, comme les « échanges frauduleux de cartes SIM »Note de bas de page 13 et les prises de contrôle de comptes, et constituent une passerelle susceptible de permettre d’autres atteintes en aval. Les comptes de téléphonie mobile sont souvent utilisés comme méthode d’authentification clé pour accéder à d’autres comptes, comme les comptes financiers, et les comptes de courriel peuvent être utilisés pour prendre le contrôle de plusieurs comptes associés au moyen des fonctions « Mot de passe oublié? ». Ces attaques peuvent causer divers préjudices graves aux consommateurs, dont le vol d’identité, l’atteinte à la réputation et la fraude financière.
- Ainsi, nous convenons que l’avantage que l’utilisation de la solution Empreinte vocale procure aux personnes et à Rogers, c’est-à-dire une protection accrue des comptes, est proportionnel au risque d’atteinte à la vie privée dans le présent contexte.
- Par conséquent, nous sommes d’avis, pour les raisons exposées ci-dessus, que la collecte d’empreintes vocales biométriques par Rogers est effectuée à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances de la présente affaire.
Question 2 : Consentement, retrait du consentement et conservation
Consentement
- Indépendamment de la conclusion à laquelle nous sommes parvenus en ce qui concerne la question 1, il n’en demeure pas moins que la collecte, l’utilisation ou la communication de renseignements personnels à des fins acceptables doit être effectuée conformément aux exigences de la LPRPDE en matière de consentement.
- Le principe 4.3 de l’annexe 1 de la LPRPDE prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.3 établit en outre que le consentement peut être soit explicite soit implicite.
- Les Lignes directrices pour l’obtention d’un consentement valableNote de bas de page 14 du CPVP indiquent que les organisations doivent généralement obtenir un consentement explicite de la personne dans les cas suivants : i) les renseignements recueillis, utilisés ou communiqués sont sensibles; ii) la collecte, l’utilisation ou la communication des renseignements ne répond pas aux attentes raisonnables de la personne; ou iii) la collecte, l’utilisation ou la communication des renseignements crée un risque résiduel important de préjudice grave.Note de bas de page 15
- Comme nous l’avons indiqué précédemment, le Commissariat a déjà statuéNote de bas de page 16 que les renseignements biométriques doivent être considérés comme sensibles dans presque toutes les circonstances. Ils sont intrinsèquement liés à la personne, et ce, de façon permanente dans la majorité des cas. Ils sont distinctifs, peu susceptibles de varier au fil du temps, difficiles à modifier et, en grande partie, propres à la personne. De plus, nous sommes d’avis que des consommateurs ne s’attendraient pas à ce que, lors d’une conversation téléphonique avec un RSC de Rogers portant sur leur compte ou sur des éléments techniques, leur voix soit enregistrée et convertie en données biométriques en vue d’être utilisée aux fins susmentionnées dans le présent rapport, sans qu’ils aient au préalable consenti à cette pratique spécifique. Par conséquent, nous sommes d’avis que Rogers doit obtenir le consentement explicite de ses clients avant de recueillir et d’utiliser leur empreinte vocale dans le contexte de son programme Empreinte vocale.
- Rogers a d’abord attiré notre attention sur une affaire antérieure (LPRPDE 2004-281), dans laquelle le Commissariat a jugé que les empreintes vocales utilisées à des fins d’authentification un à un dans le contexte d’une relation employeur-employé étaient peu sensibles et que leur utilisation était « sans conséquence »Note de bas de page 17 et a fait valoir qu’un consentement implicite était suffisant dans le contexte de son programme Empreinte vocale. Bien que Rogers se soit finalement rangée à notre opinion selon laquelle les empreintes vocales sont des renseignements personnels sensibles qui exigent un consentement explicite, et qu’elle ait abandonné cet argument, il nous apparaît utile d’examiner brièvement cette question.
- Le Commissariat évalue chaque affaire en fonction des faits et du contexte qui lui sont propres. Dans l’affaire susmentionnée (LPRPDE-2004-281), les personnes touchées étaient des employés. Cette affaire concernait une relation employeur-employé; elle est donc distincte de la présente affaire, qui met en jeu une relation client-fournisseur. Comme l’a souligné la Cour suprême du Canada dans R. c. Cole,Note de bas de page 18 « [les] réalités opérationnelles [du milieu de travail] peuvent réduire l’attente en matière de respect de la vie privée que des employés raisonnables pourraient autrement avoir à l’égard de leurs renseignements personnels ».Note de bas de page 19 Autrement dit, les attentes en ce qui concerne le respect de la vie privée peuvent être moins élevées en milieu de travail. Le Commissariat souligne en outre que les changements qui se sont opérés au sein de l’environnement technologique depuis 2004, comme l’interconnexion croissante des systèmes, l’omniprésence des atteintes à la sécurité et le risque que la biométrie soit utilisée à des fins abusives, ont radicalement modifié l’appréciation de la sensibilité dans le contexte de cette technologie. Par conséquent, nous sommes d’avis qu’il serait mal avisé d’établir des parallèles avec l’affaire susmentionnée dans le contexte de la présente affaire et compte tenu l’évolution des technologies.
- Nous soulignons que les politiques et les documents de formation de Rogers exigeaient que ses RSC obtiennent le consentement explicite des clients avant de les inscrire au programme et d’associer leur empreinte vocale à leur compte. Mais, Rogers ne demandait pas un consentement explicite à l’étape de l’établissement de l’empreinte vocale (réglage). Rogers a expliqué qu’un message automatisé informait les personnes qui appelaient sa ligne d’assistance que les enregistrements pouvaient être utilisés « à des fins d’assurance de la qualité et de formation, de sécurité et d’identification [caractère gras ajouté] ». Rogers considérait que la décision de la personne de poursuivre l’appel signifiait que celle-ci consentait à participer au processus de réglage.
- Le Commissariat estime que cette façon de faire n’est pas suffisante. Nous sommes d’avis que le « réglage » consiste à recueillir une empreinte vocale et qu’il s’agit en réalité d’un processus de collecte de renseignements personnels biométriques sensibles, que la personne soit finalement inscrite ou non au programme Empreinte vocale, de sorte que Rogers aurait dû obtenir un consentement explicite avant d’amorcer le processus de réglage. Il s’agit bel et bien d’un processus de collecte, même si au bout du compte, les renseignements recueillis sont éliminés parce que le client décide de ne pas participer au programme. Nous reconnaissons que le programme Empreinte vocale offre une protection contre la fraude. Toutefois, il ne constitue qu’un élément des mesures de protection et du régime anti-fraude de Rogers, et les clients ont la possibilité de ne pas y participer. Quoi qu’il en soit, les avantages potentiels du programme Empreinte vocale n’exonèrent pas Rogers de son obligation d’obtenir le consentement explicite des clients avant de recueillir et d’utiliser leurs renseignements biométriques sensibles.
- L’article 6.1 de la LPRPDE prévoit que le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’une personne visée par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles elle a consenti. En outre, le principe 4.3.2 stipule que les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
- Les lignes directrices pour l’obtention d’un consentement valableNote de bas de page 20 du CPVP précisent que les personnes doivent être informées de toutes les fins auxquelles les renseignements seront recueillis, utilisés ou communiqués. Ces fins doivent être énoncées dans un langage clair. En outre, lorsque le consentement n’est pas une condition à la prestation d’un service, les personnes doivent avoir le choix de consentir ou de ne pas consentir, et ce choix doit être expliqué clairement et être facilement accessible (possibilité de dire « oui » ou « non »).
- Que Rogers s’en remettre à un message préenregistré indiquant que les « enregistrements » peuvent être utilisés à des « fins d’identification » n’est pas, à notre avis, suffisant pour obtenir un consentement valable en ce qui concerne le « réglage ». On ne peut pas raisonnablement s’attendre à ce que les appelants comprennent que le terme « identification » signifie qu’une représentation biométrique de leur voix sera recueillie et utilisée à des fins d’authentification.
- En ce qui concerne la plainte déposée, Rogers a reconnu qu’elle a indûment conservé l’empreinte vocale de la plaignante et associé cette empreinte au compte de la plaignante sans le consentement de la plaignante à au moins une occasion, malgré le fait que sa politique exigeait des RSC qu’ils expliquent aux clients en quoi consistait le programme Empreinte vocale et obtiennent le consentement explicite de ces derniers avant de les y inscrire (après le réglage). Il ressort de notre examen de la troisième conversation téléphonique que le RSC n’a pas demandé le consentement de la plaignante ni même informé cette dernière de son inscription au programme Empreinte vocale. Rogers a reconnu que c’est effectivement ce qui s’est produit et a indiqué avoir abordé la question avec l’employé. Elle a toutefois laissé entendre qu’il pouvait s’agir d’une simple erreur de la part du RSC, qui avait pu cliquer accidentellement sur le bouton d’inscription au moment où il a transféré la plaignante à un autre service.
- Rogers n’a pas été en mesure de vérifier si son protocole avait été suivi correctement lors de la première conversation téléphonique, car l’enregistrement avait été supprimé conformément à son calendrier de conservation.
- Compte tenu de ce qui précède, c’est-à-dire l’omission par le RSC de demander ou d’obtenir le consentement de la plaignante lors de la troisième conversation téléphonique et l’incapacité de Rogers de démontrer que le consentement de la plaignante avait été obtenu lors de la première conversation téléphonique, nous avons jugé approprié d’examiner plus à fond les protocoles liés au programme Empreinte vocale de Rogers, ainsi que les mécanismes de surveillance et d’application connexes.
- Nous soulignons que Rogers compte sur les RSC pour obtenir le consentement verbal des clients. De plus, compte tenu de la façon dont le « widget » lié à l’empreinte vocale est conçu, il semble assez facile pour les RSC d’inscrire des appelants par erreur soit en négligeant de leur demander leur consentement, soit en parcourant trop rapidement – accidentellement ou autrement – les options concernant l’inscription des appelants présentées par le widget. En fait, Rogers a elle-même avancé le scénario de l’erreur accidentelle pour expliquer l’inscription erronée de la plaignante.
- Comme nous l’avons souligné dans nos conclusions concernant une affaire dans laquelle plusieurs RSC de Fido Solutions Inc., une filiale de Rogers, n’avaient pas respecté les protocoles d’authentification de l’entreprise, il est important que les organisations prennent des mesures pour s’assurer que leurs processus sont respectés, en particulier lorsque les employés sont soumis à des pressions liées à la rapidité de traitement ou à la satisfaction des clients qui peuvent les inciter à contourner les protocoles.Note de bas de page 21 Il ne suffit pas pour une organisation de simplement se doter d’outils et de processus; encore faut-il que ces outils et ces processus soient mis en œuvre correctement et soient utilisés ou respectés.
- En l’espèce, certains des documents de formation que nous avons examinés contenaient des renseignements erronés ou étaient incomplets, ce qui aurait pu mener à des lacunes systémiques au chapitre du respect, par les RSC, des protocoles relatifs au consentement applicables dans le cadre du programme Empreinte vocale de Rogers. À titre d’exemple, les scripts qui ont été fournis au Commissariat ne contenaient pas suffisamment de détails sur l’option de non-participation, expliquaient de façon vague le processus de réglage et contenaient des renseignements erronés en ce qui concerne les moments auxquels les RSC devaient communiquer à nouveau avec les personnes qui avaient choisi de ne pas participer. De plus, Rogers a expliqué que seuls des examens ponctuels étaient effectués pour vérifier que les RSC respectaient bien les protocoles relatifs au consentement applicables dans le cadre du programme Empreinte vocale, et qu’elle n’était pas en mesure de fournir de registres d’examen ni de statistiques concernant la surveillance ou le respect de ces protocoles. À notre avis, cela n’est pas suffisant pour garantir que les RSC obtiennent systématiquement un consentement valable relativement à la collecte et à l’utilisation de renseignements biométriques sensibles par Rogers.
- Pour les raisons exposées ci-dessus, nous concluons que Rogers n’avait pas obtenu un consentement valable avant de recueillir et d’utiliser des renseignements personnels dans le cadre de son programme Empreinte vocale, en contravention du principe 4.3 et de l’article 6.1 de la LPRPDE.
Retrait du consentement et conservation
- Bien que nous ayons conclu que la plaignante n’avait pas donné un consentement valable, nous avons tout de même entrepris, dans une optique plus générale, de déterminer si Rogers permettait aux clients de retirer leur consentement, compte tenu, entre autres choses, de l’expérience vécue par la plaignante dans la présente affaire.
- Conformément au principe 4.3.8 de la LPRPDE et aux Lignes directrices pour l’obtention d’un consentement valableNote de bas de page 22 du CPVP, une personne peut retirer son consentement en tout temps. Une personne peut revenir sur son choix de consentir ou de ne pas consentir et devrait avoir à sa disposition toute l’information pertinente lorsqu’elle prend la décision de maintenir ou de retirer son consentement.
- Rogers a mis au point une procédure interne qui permet aux clients de retirer leur consentement et de demander que leur empreinte vocale soit dissociée de leur compte, ainsi qu’un processus distinct de suppression de leur empreinte vocale. Or, un examen des scripts et des documents de formation de Rogers a révélé que les processus de retrait du consentement et de suppression de l’empreinte vocale ne sont pas facilement accessibles ou expliqués clairement aux clients, que ce soit au moment du consentement ou dans le cadre d’une politique de confidentialité.
- Rogers indique dans une foire aux questions sur son site WebNote de bas de page 23 que les titulaires de compte inscrits peuvent se désinscrire du programme Empreinte vocale, mais elle n’indique pas qu’il existe un processus distinct pour la suppression de l’empreinte vocale. Si une personne demandait de façon proactive à ne plus participer au programme Empreinte vocale, le RSC l’excluait du programme et lui expliquait que son empreinte vocale serait conservée « à des fins de sécurité ». Le RSC n’informait pas la personne de façon proactive qu’il existait un processus distinct lui permettant de demander la suppression de son empreinte vocale.
- Rogers a indiqué qu’elle conservait les empreintes vocales des titulaires de comptes non inscrits ou désinscrits « à des fins de sécurité ». Or, vers la fin de notre enquête, Rogers a corrigé ses déclarations antérieures et a précisé que l’utilisation à cette fin n’avait jamais été mise en œuvre. Bien que ces empreintes vocales aient été conservées, elles n’ont jamais été utilisées à quelque fin que ce soit. Selon le principe 4.5.3 énoncé à l’annexe 1 de la LPRPDE, les renseignements personnels qui ne sont plus requis pour réaliser les fins déterminées doivent être détruits, effacés ou anonymisés. Rogers a contrevenu au principe 4.5.3, car elle n’avait aucune raison de conserver ces empreintes vocales; elle aurait dû supprimer les empreintes vocales des clients dès leur retrait du programme ou leur refus d’y participer.
- Même si un mécanisme adéquat de non-participation (ou de suppression) n’aurait pas rendu la conservation des empreintes vocales par Rogers conforme à la LPRPDE, nous avons entrepris de déterminer si la façon dont Rogers permettait aux titulaires de compte de supprimer leurs empreintes vocales aurait été conforme aux exigences de la LPRPDE si elle avait véritablement utilisé ces empreintes vocales à des fins de sécurité après un retrait du programme ou un refus d’y participer.
- Rogers a expliqué que ses RSC peuvent appliquer le processus permettant aux clients de retirer leur consentement et de demander que leur compte soit dissocié du programme Empreinte vocale, mais qu’ils ne peuvent supprimer aucune empreinte vocale. Si une personne demande de façon proactive que son empreinte vocale soit supprimée, elle est avisée que sa demande doit être envoyée au bureau de la protection des renseignements personnels de Rogers dans le cadre d’un processus distinct. Une fois la demande reçue, il faut compter d’un à deux jours avant que l’empreinte soit supprimée. Compte tenu de ces facteurs, nous avons déterminé que Rogers n’aurait pas pu être en conformité avec les exigences de la LPRPDE concernant le retrait du consentement liées à la suppression des empreintes vocales, même si elle avait utilisé ces dernières à des fins de sécurité.
- Rogers n’indique pas clairement, autrement que dans une « foire aux questions » en ligne – que les gens ne consultent pas nécessairement – que les titulaires de compte ont la possibilité d’être exclus du programme Empreinte vocale. Par conséquent, nous concluons que le mécanisme de retrait du consentement utilisé par Rogers n’était pas conforme au principe 4.3.8 de la LPRPDE.
Recommendations
- Le CPVP a formulé les recommandations suivantes en vue d’amener Rogers à se conformer à la LPRPDE :
- Mettre en œuvre des mesures permettant de toujours obtenir le consentement explicite des clients avant qu’une empreinte vocale ne soit créée (« réglage ») et associée à leur compte, en modifiant ses protocoles et procédures et en fournissant des renseignements plus complets en ce qui concerne la création et l’utilisation des empreintes vocales.
- Informer clairement les clients, dans le cadre de communications sur la protection de la vie privée et pendant le processus d’inscription, du fait qu’ils ont la possibilité de se retirer du programme après y avoir été inscrits et de demander que leur empreinte vocale soit supprimée.
- Supprimer les empreintes vocales des personnes qui ont déjà demandé à être exclues du programme Empreinte vocale.
- Mettre en oeuvre des mesures pour s’assurer que les nouvelles pratiques en matière de consentement sont appliquées correctement, y compris i) établir des procédures claires, conformes aux politiques de Rogers, pour les RSC ou les autres personnes qui appliqueront ces pratiques; ii) donner des formations afin de faire connaître ces pratiques au personnel concerné; et iii) veiller à ce que ces pratiques soient respectées en exerçant une surveillance et un suivi, et en prenant des mesures correctives au besoin. Nous encourageons également Rogers à envisager la prise de mesures technologiques afin d’assurer une application plus uniforme des choix des personnes (pour minimiser le risque d’erreur humaine).
- Pour tous les titulaires de compte réputés avoir antérieurement choisi de participer, appliquer la nouvelle approche en matière de consentement qui est recommandée en a) afin de confirmer leur consentement, au fur et à mesure qu’ils communiqueront de nouveau avec Rogers.
Réponse à nos recommandations
- Rogers a accepté de prendre un certain nombre de mesures afin de donner suite à nos recommandations concernant son programme Empreinte vocale.
- Rogers a accepté de revoir les protocoles liés à son programme Empreinte vocale afin de mieux expliquer ce qu’est le programme et obtenir un consentement explicite par l’intermédiaire de son système de RVI avant d’amorcer le réglage ou avant d’inscrire les clients. Rogers indique qu’à l’avenir, tous les clients auront le choix soit d’utiliser un NIP soit de s’inscrire au programme Empreinte vocale. Rogers a accepté de reconfirmer, au moyen du nouveau mécanisme, le consentement de toutes les personnes qui étaient déjà inscrites au programme.
- Rogers a accepté de supprimer les empreintes vocales des utilisateurs qui choisissent de ne pas participer au programme Empreinte vocale ainsi que les empreintes vocales des personnes qui ont déjà demandé à être exclues du programme, mais dont les empreintes vocales ont été conservées.
- Rogers a accepté de mettre en œuvre les mesures suivantes pour s’assurer que les RSC respectent les exigences relatives au consentement applicables au programme Empreinte vocale :
- Offrir périodiquement une formation d’appoint sur les protocoles d’inscription et de suppression en vigueur. Cette formation permettra également de sensibiliser les employés aux éléments suivants : i) le défaut d’obtenir le consentement du client avant l’inscription a des conséquences importantes; ii) l’organisation exerce une surveillance et prend des mesures pour s’assurer que les protocoles d’inscription appropriés sont respectés et iii) le non-respect des protocoles ne sera pas sans conséquence pour les employés;
- Offrir aux gestionnaires et au personnel une formation d’appoint sur les conséquences qui peuvent découler du non-respect de ces protocoles par un employé (p. ex. encadrement, mesures disciplinaires progressives pouvant aller jusqu’au congédiement);
- Instaurer une rétroaction proactive en ce qui concerne le non-respect des protocoles d’authentification, utiliser les outils internes de gestion des plaintes des clients et de lutte contre la fraude pour améliorer la surveillance qui est actuellement exercée afin de s’assurer que les employés respectent tous les protocoles d’inscription, et tenir des dossiers sur les résultats de cette surveillance pour mesurer la conformité.
- Enfin, Rogers s’est engagée à fournir au Commissariat :
- d’ici le 30 avril 2022, un plan détaillé pour la mise en œuvre des mesures susmentionnées;
- d’ici le 30 septembre 2022, des preuves documentaires établissant qu’elle a donné suite à tous les engagements qu’elle a pris pour se conformer à nos recommandations.
Conclusion
- En ce qui concerne la question des fins acceptables, nous concluons que la présente affaire est non fondée.
- En ce qui concerne la question du consentement, du retrait du consentement et de la conservation, compte tenu des engagements qu’a pris Rogers en vue de se conformer à la Loi, nous concluons que la présente affaire est fondée et conditionnellement résolue.
- Date de modification :