Fiche des enjeux, utilisation et impacts de la technologie de reconnaissance faciale

Comment fonctionne la technologie de reconnaissance faciale

Principaux messages

• La technologie de reconnaissance faciale (RF) utilise des techniques complexes de traitement de l’image pour détecter et analyser les caractéristiques biométriques du visage d’une personne aux fins d’identification ou d’authentification.
• L’utilisation de la RF entraîne la collecte et le traitement de renseignements personnels très sensibles.
• La RF est une technologie particulièrement puissante, car elle permet une identification ou une authentification rapides, à grande échelle et à coût relativement faible, à partir de sources d’images et de vidéos existantes.
• La facilité de déploiement de cette technologie et les graves répercussions qu’elle peut avoir sur la vie privée montrent la nécessité d’adopter une réglementation claire afin d’atténuer les préjudices pour les personnes et la société.

Contexte

• De façon générale, la RF fonctionne comme suit :
  • La RF prend comme données d’entrée une ou plusieurs images de personnes dont elle tente de découvrir ou de vérifier l’identité - cette image est appelée « image de référence ».
  • Le visage figurant dans l’image est converti en modèle biométrique ou « empreinte faciale ».
  • Le système compare ensuite cette empreinte avec une base de données existante d’images faciales qui ont déjà été converties elles aussi en empreintes faciales et il calcule la probabilité d’une correspondance.
• Lorsqu’elle est utilisée aux fins d’identification, la RF peut être configurée pour renvoyer une liste d’images étiquetées qui dépassent le seuil fixé en matière de similarité avec l’image de référence.

Préparé par : Direction de l’analyse de la technologie

Consulté par: Direction des politiques, de la recherche et des affaires parlementaires

---

Utilisation par le secteur public

Principaux messages

• Nous avons collaboré avec des ministères dans le cadre d’initiatives faisant appel à la RF pour les besoins de l’immigration et de la sécurité frontalière, de la sécurité nationale et de l’application de la loi.
• Voici quelques-unes de nos recommandations :
  • Conseiller aux institutions de vérifier si le recours à la RF est nécessaire, proportionnel et efficace dans le contexte.
  • En ce qui a trait à l’exactitude, nous avons formulé des commentaires concernant la possibilité de biais et de répercussions disproportionnées dans le cas de certaines personnes relativement aux bornes d’inspection primaire de l’Agence des services frontaliers du Canada (ASFC).
  • Nous avons présenté des recommandations à l’ASFC sur le programme NEXUS concernant la transparence et le consentement, notamment en veillant à ce que les voyageurs soient informés de toutes les communications de leurs renseignements personnels et du passage du balayage de l’iris à la reconnaissance faciale.
  • Nous recommandons aux institutions d’évaluer les risques d’atteinte à la vie privée et d’atténuer les préoccupations avant le lancement d’un programme de RF, étant donné la nature sensible des renseignements personnels biométriques.

Contexte

• Depuis 2010, la Direction des services-conseils au gouvernement a reçu cinq (5) évaluations des facteurs relatifs à la vie privée portant sur des initiatives qui faisaient explicitement appel à la technologie de RF et elle a mené neuf (9) consultations portant sur ce type de technologies. Nous avons également établi une relation avec le Bureau de la biométrie et de la gestion de l’identité de l’ASFC, qui jouera un rôle important dans l’utilisation de la technologie de RF par l’Agence (et éventuellement par le gouvernement) à l’avenir.
• Nous ne sommes au courant que des initiatives de RF qui nous ont été signalées par l’ASFC, la Gendarmerie royale du Canada, le ministère de la Défense nationale, le Service canadien du renseignement de sécurité, l’Administration canadienne de la sûreté du transport aérien et Immigration, Réfugiés et Citoyenneté Canada.

Préparé par : Direction des services-conseils au gouvernement

---

Utilisation de la reconnaissance faciale par le secteur privé

Principaux messages

• Contrairement à notre expérience avec les ministères fédéraux, les entreprises privées n'ont pas fait appel au Commissariat pour obtenir des conseils proactifs sur les initiatives concernant la RF.
• Nous avons eu deux enquêtes sur Cadillac Fairview et Clearview AI, dans lesquelles nous avons constaté que les deux entreprises ne se conformaient pas à la LPRPDE et avaient recueilli secrètement des données biométriques faciales de millions de Canadiens.
• Cela dit, nous sommes au courant de rapports selon lesquels le secteur privé utilise la RF à diverses fins, telles que le contrôle de la présence des employés, la facilitation des paiements, la lutte contre le vol à l'étalage et pour les identifications numériques.
• La capacité de la RF à identifier secrètement des personnes, à révéler des informations secondaires à leur sujet et à être potentiellement utilisées comme identifiant universel pour les suivre dans différents contextes, soulève d'importantes préoccupations en matière de confidentialité.

Contexte

• Nous n’avons pas reçu de notifications des atteintes impliquant la biométrie faciale, et nous n’avons pas non plus eu d’engagements consultatifs avec des entreprises.
• Dans un effort pour fournir des conseils de confidentialité sur cette question, nous élaborons actuellement des directives pour les secteurs public et privé sur la biométrie, qui comprend la RF.
• L'utilisation de la RF pour faciliter les paiements : le FaceID d'Apple traite les empreintes faciales biométriques sur l'appareil pour authentifier l’identité et ne divulgue pas ces informations à d’autres parties. Cela contraste avec certains commerçants qui cherchent à déployer leurs propres systèmes de RF pour le paiement, où les caméras en magasin effectuent l’authentification.

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

Considérations d'utilisation et de sécurité

Principaux messages

• La justification de l’emploi de la RF doit être convaincante. Cependant, la façon dont elle est utilisée et configurée ainsi que les protections en place ont également une grande importance.
• La RF peut être utilisée pour l’un des deux objectifs principaux suivants : identification ou l’authentification. L’authentification est généralement considérée comme moins envahissante pour la vie privée que l’identification.
• Lors de l’identification, la RF compare l'image soumise à toutes les autres images dans une base de données de visages préinscrits dans le but d'apprendre l'identité de l'individu.
• Lors de l’authentification, la RF compare l’image soumise à une seule image dans le système correspondant à la demande d’identité faite par l’individu, afin de vérifier l’identité de l’individu.
• L’identification est utilisée principalement dans des contextes d’enquête, tandis que l’authentification est devenue une mesure de plus en plus courante pour la sécurité et l’identification numérique.
• Il est important d’envisager des mesures de protection telles que le stockage et le traitement local, les enclaves sécurisées et le cryptage.

Contexte

• L’identification est également appelée l’appariement de « un à plusieurs » ou « 1:N », tandis que l’authentification est appelée l’appariement de « un à un » ou « 1:1 ».
• En raison de sa dépendance à une base de données de visages, l’identification est généralement mise en œuvre dans un modèle « centralisé », où une entité stocke et traite toutes les données. Cela augmente les risques en termes de sécurité des données et de limitation des finalités.
• En revanche, l’authentification est généralement mise en œuvre de manière « décentralisée », où chaque utilisateur stocke et traite les données localement, par exemple sur son téléphone. Bien qu’elles ne soient pas à l’abri des risques de sécurité et de réaffectation, les architectures décentralisées sont généralement considérées comme moins risquées que les modèles centralisés.

Préparé par : Direction de l’analyse de la technologie

---

Consentement relatif à l’utilisation de la reconnaissance faciale

Principaux messages

• L’utilisation de la RF nécessite la collecte et le traitement de renseignements biométriques très sensibles et, en vertu de la LPRPDE, exigerait généralement un consentement explicite.
• Mais pour que ce consentement soit valable, les organisations doivent être totalement transparentes et claires quant à la manière dont les renseignements biométriques sont recueillis, utilisés et communiqués.
• Dans l’économie de l’information complexe d’aujourd’hui, la protection de la vie privée ne peut pas reposer uniquement sur le consentement. Elle doit s’appuyer sur des fondements axés sur les droits, y compris des exigences de nécessité et de proportionnalité, et des zones interdites claires.

Contexte

• Témoignages auprès du Comité ETHI sur le consentement : M^me Khoo (Citizen Lab) a déclaré qu’un consentement clair et éclairé mérite une attention particulière dans le contexte des fournisseurs commerciaux. M^me Piovesan (INQ Law) a déclaré que la LPRPDE et les lois québécoises obligent les entreprises à demander le consentement, mais qu’il manque une compréhension claire des garanties et une loi ciblée sur la technologie de RF; le législateur doit être conscient des utilisations bénéfiques de la RF, mais ces utilisations doivent être limitées; et le consentement est important pour l’autonomie individuelle et pourrait être modelé sur le Règlement général sur la protection des données (RGPD) et le régime du Québec.
• Témoignage auprès du Comité ETHI sur les zones interdites : Les utilisations à risque élevé de la RF devraient être interdites à la frontière (M^me Molnar, Refugee Law Lab); sur le lieu de travail et dans l’espace public (M^me Watkins, Princeton); et pour la surveillance de masse (Tim McSorley, société civile).
• Bien que le RGPD interdise largement le traitement de catégories spéciales de données personnelles (y compris la biométrie), il reconnaît certains fondements pour justifier son traitement (p. ex., le consentement explicite de la personne concernée) (article 9).
• Les modifications apportées aux lois du Québec sur la protection de la vie privée dans les secteurs public et privé définissent les renseignements sensibles comme incluant généralement les données biométriques. La Loi concernant le cadre juridique des technologies de l’information du Québec ne permet pas aux entités publiques et privées d’utiliser des caractéristiques et des mesures biométriques pour confirmer ou vérifier l’identité d’une personne sans son consentement explicite (article 44).
• Afin d’aider l’IA à se développer dans des situations où il n’est peut-être pas possible d’obtenir un consentement valable, notre proposition sur l’IA recommande que la LPRPDE incorpore une exception au consentement lors de la collecte ou du traitement des renseignements personnels pour le bien public, avec la dépersonnalisation comme condition.

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

Canada - Lois existantes sur l’utilisation de la reconnaissance faciale

Principaux messages

• La RF au Canada est régie par un ensemble disparate de lois, dont la LPRPDE, la Loi sur la protection des renseignements personnels et la Charte canadienne des droits et libertés, ainsi que par des lois provinciales, comme le régime biométrique du Québec.
• Cette mosaïque de lois existantes crée une ambiguïté et des lacunes juridiques.
• Les lois qui existent utilisent généralement des principes directeurs. Cette approche est utile pour s’adapter à l’évolution de la technologie. Cependant, pour les technologies portant atteinte à la vie privée comme la RF, cela laisse une discrétion considérable dans la mise en œuvre et ne confère donc pas une certitude suffisante que les droits des individus seront respectés.
• L’absence de législation spécifique pourrait signifier des années d'approches fragmentées et confidentielles de l’utilisation de la RF jusqu'à ce que la jurisprudence se développe.
• L’absence d’une législation expressément applicable à l’utilisation de la RF par les corps policiers contraste avec des législations telles que la Loi sur l’identification par les empreintes génétiques et la Loi sur l’identification des criminels, qui régissent la Banque nationale de données génétiques, les empreintes digitales et les photos signalétiques.

Contexte

• Au Québec, la Loi concernant le cadre juridique des technologies de l’information régit l’utilisation de la biométrie. Les modifications récentes vont obliger les organisations à divulguer la création d’une base de données contenant des caractéristiques biométriques à la Commission d’accès à l’information de cette province dans les soixante (60) jours précédant sa mise en service.
• En vertu de l’article 8 de la Charte, accorde que lorsqu'une personne a une attente raisonnable en matière de vie privée, toute fouille policière doit être effectuée en vertu d'un mandat ou autorisée par une loi raisonnable. L’anonymat fait partie du droit à la vie privée (R. c. Spencer, 2014 CSC 43) et le fait de se trouver dans un lieu public n’entraîne pas une renonciation à l’attente de protection en matière de vie privée (R. c. Jarvis, 2019 CSC 10).
• La Loi sur l’identification par les empreintes génétiques et la Loi sur l’identification des criminels établissent des seuils pour la collecte des caractéristiques biométriques relevant de leur portée ainsi que des conditions pour la collecte (entre autres les renseignements personnels fournis sous la divulgation forcée et les mandats judiciaires). La Loi sur l’identification par les empreintes génétiques établit des règles particulières pour limiter les modes d’utilisation de la Banque nationale de données génétiques.

Préparé par : Direction des services juridiques

---

Lois autour du monde

Principaux messages

• Les approches visant la réglementation de la RF varient largement d’une juridiction à l’autre. Certains ont demandé un moratoire total ou partiel (comme dans certaines juridictions des États-Unis) ou ont adopté des lois provisoires jusqu’à ce que les risques liés à la RF soient mieux compris et puissent être suffisamment atténués (comme au Massachusetts).
• Certaines juridictions ont élaboré des lois spécifiques à l’utilisation de la RF dans le secteur public (p. ex. à l’état de Washington et à l’Utah).

Contexte

• En vertu du RGPD, les données biométriques (y compris les images faciales telles que définies à l’article 4) sont considérées comme une catégorie spéciale de données qui, en vertu de l’article 9, font l’objet d’interdictions de traitement, avec certaines exceptions. Une évaluation de l’incidence sur la protection des données est requise pour tout traitement susceptible de présenter un risque élevé, ce qui pourrait inclure le traitement des données biométriques.
• Ailleurs, les lois qui régissent la biométrie comportent généralement certaines obligations en matière de protection des renseignements personnels et des droits renforcés, comme l’obligation pour les organismes publics d’informer l’organisme de réglementation de la protection de la vie privée avant de mettre en place une base de données biométriques, comme au Québec, ou le droit de poursuivre une entreprise pour collecte de données biométriques sans consentement, comme dans l’Illinois.
• L’État de Washington et l’Utah réglementent l’utilisation de la RF par le gouvernement, y compris par les organismes d’application de la loi, en précisant les utilisations autorisées. Le Vermont et la Virginie ont promulgué des interdictions totales de l’utilisation de la RF par les services de police locaux jusqu’à ce que cette utilisation soit explicitement autorisée par la loi. Le Massachusetts a une loi provisoire qui réglemente l’utilisation de la RF par le gouvernement jusqu’à ce qu’il puisse étudier et mieux réglementer les risques liés à la RF. Des lois fédérales américaines ont également été proposées, qui auraient un impact sur l’utilisation de la RF :
  • La Fourth Amendment Is Not for Sale Act, introduite en avril 2021 et présentement avec le comité judiciaire, vise à empêcher les courtiers en données de vendre des renseignements personnels aux organismes d’application de la loi sans contrôle judiciaire. Le projet de loi interdirait également aux organismes publics d’utiliser des données obtenues illégalement.
  • La Algorithmic Accountability Act, introduite en février 2022 et renvoyée à un sous-comité, exigerait une nouvelle transparence et une nouvelle responsabilité pour les systèmes de décision automatisés. Le projet de loi exigerait que les organisations privées effectuent des évaluations pour le biais algorithmique, l’efficacité et d’autres facteurs.

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

La législation sur l’intelligence artificielle européenne

Principaux messages

• La législation sur l’intelligence artificielle européenne, mettra clairement hors la loi les applications nuisibles de l'IA qui sont incompatibles avec les droits de la personne. Elle interdirait l’identification biométrique à distance en temps réel dans les espaces publics par les organismes d’application de la loi (sous réserve d'exceptions). Elle inclut également une approche fondée sur le risque et désignerait toutes les autres formes d’identification biométrique à distance et de catégorisation (en temps réel et a posteriori) comme étant à « haut risque », soumises à des exigences strictes.
• Bien que nous ne pensions pas qu’on doit interdire complètement l’utilisation de la RF, nous pensons que des zones interdites spécifiques devraient être envisagées. Même en l'absence de zones interdites, nous pensons qu'une surveillance indépendante est nécessaire pour faire appliquer des règles telles que la nécessité et la proportionnalité afin de garantir l'utilisation acceptable de la RF.

Contexte

• Les exceptions à l'interdiction de l'identification biométrique à distance sont les suivantes : (1) pour la recherche de victimes, (2) la prévention du terrorisme ou d'une menace spécifique, substantielle et imminente pour la vie/sécurité, et (3) l'identification des suspects d'infractions pénales passibles d'une peine minimale de 3 ans.
• Parmi les autres interdictions proposées figurent : (1) l'IA qui déploie des « techniques subliminales » pour manipuler le comportement, et (2) l'utilisation par les autorités publiques pour le scoring social.
• Le Comité Européen de la Protection des Données et le Contrôleur européen de la protection des données sont favorables à des interdictions plus strictes, notamment : l’extension du champ d’application de l’interdiction au-delà du « temps réel » pour inclure le RF non vivant, l’interdiction de la catégorisation biométrique et de la détection des émotions.
• Toutes les autres formes d'identification biométrique à distance, y compris par des organisations commerciales, sont désignées comme étant à « haut risque » et sont soumises à un certain nombre d'exigences telles que : évaluations des risques et de la qualité, enregistrement et tenue de registres pour la traçabilité, surveillance humaine générale, données précises et représentatives pour la formation à l'IA, des évaluations de la conformité ex ante et la responsabilité démontrable.
• Bien qu'il y ait des points communs avec nos propositions sur l'IA (évaluations des risques, traçabilité, responsabilité démontrable et renforcement de l'application par le biais de sanctions), nos recommandations sur l'IA comprenaient également : un test d'équilibre pour évaluer l'objectif, la nécessité et la proportionnalité de la mesure et la prise en compte des intérêts et des droits fondamentaux de la personne ; le recours à la dépersonnalisation lorsque cela est possible ; des droits opposables à une explication significative et à la contestation.

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

Reconnaissance faciale – Moratoires

Principaux messages

• L’utilisation de la RF ne devrait probablement pas être totalement interdite, même s’il faudrait envisager des zones interdites dans le cas de certaines pratiques en particulier.
• Utilisée de manière responsable et dans des situations appropriées, la RF peut en effet présenter des avantages sur le plan de la sécurité et de la protection de la population.
• Il faut un cadre juridique solide relatif à technologie de la RF pour garantir une utilisation responsable et une surveillance efficace. La nécessité et la proportionnalité, ainsi que des mesures comme la transparence, la responsabilité et la surveillance indépendante, doivent être clairement définies dans la loi.
• À terme, il revient au Parlement de déterminer s’il y a lieu d’imposer un moratoire jusqu’à ce que toutes les modifications législatives aient été recommandées et adoptées.

Contexte

• En ce qui concerne l’utilisation de la RF par la police, nous avons recommandé que la loi impose des limites aux utilisations autorisées afin d’empêcher les déploiements qui pourraient avoir des effets indéfendables sur la vie privée et d’autres droits de la personne, notamment l’interdiction de toute utilisation qui peut entraîner une surveillance de masse.
• L’Union européenne a proposé une loi sur l’IA interdisant l’identification biométrique dans les espaces accessibles au public à des fins d’application de la loi, sans exception.
• De plus, d’autres pays ont proposé ou mis en œuvre des moratoires sur l’utilisation de la RF. En voici quelques exemples :
  • En décembre 2021, le Gouvernement italien a imposé un moratoire sur la RF dans les lieux publics qui n’autoriserait la police à utiliser la technologie que sous réserve d’une approbation au cas par cas par l’autorité italienne de protection des données.
  • Aux États-Unis, une loi a été proposée en juin 2021 dans le but d’empêcher l’utilisation par le gouvernement de la technologie biométrique, y compris les outils de reconnaissance faciale.
  • Plusieurs villes et États américains ont interdit l’utilisation de la RF par les organismes d’application de la loi, par exemple Boston, San Francisco, Oakland, Portland, la Virginie et le Vermont. Montréal a aussi adopté une motion imposant des restrictions à l’utilisation de la reconnaissance faciale par le Service de police de la Ville de Montréal.

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

Réforme de la LPRPDE : Nécessité d’un cadre fondé sur les droits

Principaux messages

• Notre enquête sur Clearview AI a mis en évidence les lacunes de la loi actuelle, dont bon nombre n’ont pas été corrigées par l’ancienne Loi de 2020 sur la mise en œuvre de la Charte du numérique (C-11).
• Ainsi, les limites de l’utilisation acceptable de la RF dépendent en partie des attentes que nous fixons aujourd’hui par rapport à la protection de la vie privée dans le futur.
• Nos lois doivent mieux régir l’utilisation de la RF et d’autres technologies et garantir que le droit à la vie privée des Canadiens prévaudra en cas de conflit entre des objectifs commerciaux et la protection de la vie privée.
• Nous avons recommandé qu’une LPRPDE réformée comprenne un cadre fondé sur les droits, ce qui nous aiderait à garantir que les nouvelles technologies comme la RF sont utilisées d’une manière qui respecte les droits.
• La législation sur la protection des renseignements personnels devrait interdire l’utilisation de renseignements personnels d’une manière qui est incompatible avec nos droits et nos valeurs.

Contexte

• Dans notre Rapport annuel de 2018-2019, nous avons recommandé qu’une LPRPDE révisée comprenne un préambule et une disposition de déclaration d’objet qui donneraient des indications sur les valeurs, les principes et les objectifs qui orientent l’interprétation et l’application de la loi.
• En réponse au projet de loi C-11, nous avons recommandé l’inclusion d’un préambule proposé, et des modifications aux articles 5 (disposition de déclaration d’objet), 12 (fins appropriées) et 13 (limitation de la collecte).
• Certains intervenants ont soutenu qu’il n’est pas possible d’adopter une approche fondée sur les droits selon la législation fédérale canadienne, en invoquant le fait que la protection des droits civils est une question qui, en vertu de la Constitution, relève de la compétence provinciale. Au contraire, le CPVP a reçu des conseils juridiques d’experts selon lesquels nos propositions n’augmentent pas le risque que les tribunaux jugent la loi inconstitutionnelle et, en fait, certaines des modifications que nous proposons rendraient la nouvelle loi fédérale encore plus viable d’un point de vue constitutionnel.

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

Réforme de la LPRPDE : Pouvoirs d’exécution

Principaux messages

• Il faut améliorer nos lois afin de réglementer plus efficacement les nouvelles technologies comme la reconnaissance faciale. Elles doivent prévoir des mécanismes d’application forts, notamment des ordonnances et des sanctions administratives pécuniaires (SAP), dans le but de fournir une mesure corrective rapide et efficace aux personnes lorsque leurs droits ne sont pas respectés.
• Notre enquête sur Clearview AI démontre la nécessité de tels pouvoirs, étant donné que Clearview AI a contesté nos conclusions et n’a suivi aucune de nos recommandations.
• Un pouvoir de rendre des ordonnances et d’imposer des amendes aurait un effet sur la dynamique de nos échanges avec les entreprises dans le cadre d’enquêtes. Les entreprises que l’on estime avoir contrevenu à la loi peuvent tout simplement faire fi de nos recommandations et s’arroger un sursis jusqu’à ce que les tribunaux en soient venus aux mêmes conclusions que le Commissariat.
• Les commissaires à la protection de la vie privée, tant à l’échelle provinciale qu’internationale, ayant l’habilités à rendre des ordonnances et à imposer des amendes, déclarent que ces outils d’application de la loi ont conduit à une coopération beaucoup plus importante de la part des entreprises.

Contexte

• Les témoins qui ont comparu devant le Comité ETHI (notamment l’Association canadienne des libertés civiles et la Coalition pour la surveillance internationale des libertés civiles) ont soulevé la nécessité pour le CPVP de bénéficier de pouvoirs d’application plus forts afin de traiter plus efficacement les risques que présente la RF.
• Les régimes de SAP dans d’autres administrations - comme le Royaume-Uni, l’Australie, Singapour, le Québec (projet de loi 64), l’Ontario (Loi sur la protection des renseignements personnels sur la santé) et la Californie - s’appliquent à un large éventail de violations et n’ont pas une portée limitée comme cela aurait été le cas sous l’ancien projet de loi C-11.
• Les lois sur la protection de la vie privée (comme celles de l’Alberta, de la Colombie-Britannique, du Québec, du Royaume-Uni ou de la Nouvelle-Zélande) accordent à leurs APD des pouvoirs d’ordonnance qui ne sont pas, par exemple, limités par un seuil « raisonnablement nécessaire pour assurer la conformité » (comme le prévoyait l’ancien projet de loi C-11).

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires et Direction des services juridiques

---

Réforme de la Loi sur la protection des renseignements personnels

Principaux messages

• Plusieurs propositions du ministère de la Justice portant sur la réforme de la Loi sur la protection des renseignements personnels apporteraient des améliorations à la loi afin d’aider la gestion de risques d’atteinte à la vie privée associées aux technologies émergentes comme la RF.
  • Par exemple, la proposition visant à définir la collecte et l’utilisation de renseignements personnels auxquels le public a accès et à les régir plus clairement en faisant en sorte que toutes les règles établies dans la loi s’appliquent à ces renseignements.
• Les obligations en matière de « protection de la vie privée dès la conception », d’EFVP et de surveillance (notamment les pouvoirs de vérification proactive) sont également des mesures nécessaires pour promouvoir et assurer la conformité du respect de la vie privée à l’égard des initiatives de RF.
• Nous avons formulé un certain nombre de recommandations au ministère de la Justice qui seront importantes pour assurer une réglementation efficace de la RF, y compris la détermination des éléments clés pour réglementer l’IA, le renforcement du seuil justifiant la collecte de données et l’amélioration de la définition proposée des renseignements personnels accessibles au public.

Contexte

• Intelligence artificielle : Nous recommandons l’élaboration d’une définition de « prise de décisions automatisée », l’octroi d’un droit à une explication valable et à une intervention humaine, l’établissement d’une norme quant à l’explication requise et l’imposition des obligations en matière de traçabilité.
• Seuil justifiant la collecte : Nous convenons que « raisonnablement requis » est une norme qui peut fonctionner si son but est d’ajouter de la clarté à la Loi tout en produisant des résultats similaires aux principes de nécessité et de proportionnalité. Nous avons recommandé des modifications au cadre d’évaluation de ce qui est raisonnablement requis (limitation des objectifs, prise en compte du coût et de la proportionnalité).
• Renseignements personnels « accessibles au public » : Nous recommandons que la définition soit améliorée afin de déclarer explicitement le fait que les renseignements personnels accessibles au public ne comprennent pas les renseignements à l’égard desquels une personne a des attentes raisonnables en matière de vie privée.
• En ce qui concerne l’utilisation de la RF par la police, nous avons souligné que la loi devrait continuer de s’appliquer lorsqu’elle offre une protection suffisante, mais que des changements sont nécessaires pour rendre certaines dispositions plus adaptées aux risques qui peuvent survenir. Ces modifications pourraient être apportées aux lois sur la protection de la vie privée ou à une loi distincte, étant donné les répercussions qui vont au-delà de la vie privée (comme l’égalité et la non-discrimination).

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

Propositions du CPVP concernant l'intelligence artificielle

Principaux messages

• Les systèmes de RF utilisent l’IA pour détecter, analyser et comparer les caractéristiques biométriques d’images faciales. La réglementation relative à l’IA peut atténuer certains risques de la RF.
• À notre avis, un cadre réglementaire approprié pour l’IA :
  • rendrait possible l’utilisation des renseignements personnels pour des intérêts publics et commerciaux légitimes, y compris pour la formation de l’IA, mais uniquement si la protection de la vie privée est inscrite dans le cadre approprié des droits de la personne;
  • établirait des dispositions distinctes pour la prise de décision automatisée qui garantissent la transparence et l’équité (l’explication et la contestation);
  • exigerait des entreprises qu’elles fassent preuve de responsabilité démontrable à la demande de l’autorité de réglementation, ultimement par l’entremise d’inspections proactives et d’autres mesures d’application de la loi.
• ISDE et le ministère de la Justice ont présenté des propositions comportant des exigences propres à l’IA dans les lois réformées sur la protection de la vie privée, avec lesquelles nous sommes d’accord en principe. Cela dit, nous avons formulé des recommandations détaillées dans les présentations concernant les deux initiatives de réforme.

Contexte

• Nos propositions de réforme de la LPRP : Définir la prise de décisions automatisée, prévoir les droits à une explication significative et à une intervention humaine, indiquer une norme spécifique pour les explications, créer des obligations de consignation et de traçabilité des renseignements personnels utilisés dans la prise de décisions automatisée. Nous sommes en faveur de la proposition du ministère de la Justice d’intégrer des inférences à titre de renseignements personnels.
• Nos propositions de réforme de la LPRPDE : Intégrer les inférences à titre de renseignements personnels, nouvelles exceptions en matière de consentement pour : 1) la recherche interne et les fins statistiques (était pris en compte dans l’ancien projet de loi C-11 (2020)), 2) les fins compatibles, 3) les intérêts commerciaux légitimes.
  • Mécanismes de protection : EFVP, équilibre entre la vérification et les droits fondamentaux de la personne, et dépersonnalisation (lorsque cela est possible pour l’exception relative aux intérêts légitimes).
• Définir des critères minimaux relatifs au droit à l’explication, intégrer un droit de contestation auprès d’un intervenant humain, mettre en œuvre la protection de la vie privée dès la conception (éventuellement au moyen d’évaluations des facteurs relatifs à la vie privée), la traçabilité algorithmique et la tenue de registres, ainsi que des sanctions et des ordonnances contraignantes.

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

Réglementation des utilisations de la reconnaissance dans les secteurs public et privé

Principaux messages

• Les recommandations du Commissariat relatives à la réforme de la LPRPDE et de la LPRP permettraient de tenir compte des risques à la vie privée que présente l’utilisation de la RF, notamment en rendant obligatoires les EFVP, en concevant en fonction de la protection des renseignements personnels, en précisant que les renseignements personnels accessibles au public peuvent toujours conserver un intérêt relatif à la vie privée, en définissant les renseignements sensibles pour y inclure la biométrie, et en renforçant les pouvoirs de surveillance (par des vérifications proactives, l’émission d’ordonnances et de SAP ).
• Nous avons également recommandé que les lois fédérales sur la protection des renseignements personnels comprennent un cadre fondé sur les droits qui, dans le contexte de l’utilisation de la RF par les entreprises, garantirait que les droits à la vie privée prévalent sur les intérêts commerciaux.
• Nos propositions en matière de réglementation de l’IA s’appliqueraient également à la RF dans la mesure où son utilisation exige une prise de décisions automatisée (p. ex., en rendant obligatoire la traçabilité, ainsi que des droits d’explication et de contestation).
• Notre travail sur l’utilisation de la RF par la police a révélé les limites d’une loi fondée sur des principes et neutre sur le plan technologique pour atténuer suffisamment les risques que présentent ces technologies potentiellement invasives. Dans ce contexte, nous avons exigé un nouveau cadre juridique qui fixe des limites appropriées à l’utilisation de la RF par la police. En dehors de ce contexte, les attributs et les risques particuliers de la RF peuvent nécessiter des réglementations ou des directives complémentaires, en plus de nos propositions de réforme existantes.
• Enfin, nous sommes ouverts à d’autres modèles de surveillance pour faire face aux risques liés à la RF, comme au Québec où le rôle de l’organisme de réglementation est mieux défini.

Contexte

• Nos propositions de réforme sont essentiellement harmonisées avec les témoignages entendus au Comité ETHI sur les règles nécessaires à la réglementation de l’utilisation de la RF par les secteurs public et privé : un fondement reposant sur les droits; des règles spécifiques à l’IA (examen humain, explicabilité, etc.; nécessité et proportionnalité; EFVP/EIA ; conception pour la protection de la vie privée; amélioration de la responsabilité/transparence des tiers; pouvoirs renforcés du CPVP (capacité d’émettre des ordonnances/amendes). Parmi les autres recommandations, il convient de mentionner l’interdiction des utilisations à risque élevé (espaces publics et surveillance de masse) et des règles particulières pour la biométrie (examen préalable, refus de la vérification faciale, exigences en matière de consentement).

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

Exactitude et biais

Principaux messages

• Les lois sur la protection des renseignements personnels exigent que les renseignements personnels recueillis et utilisés dans le cadre d’un projet de RF sont exacts et à jour. Les inexactitudes des systèmes de RF présentent des risques importants à l’égard du droit à la vie privée des personnes dans le cas où des décisions seraient prises sur la base de renseignements inexacts ou tendancieux.
• La qualité des algorithmes de RF actuels varie grandement. Bien que la précision globale se soit améliorée avec le temps, de nombreux algorithmes présentent encore des différences de taux d’erreur entre les groupes démographiques (p. ex., la race et le genre). Cela dit, certains des algorithmes les plus performants ont affiché des différences « imperceptibles » entre les groupes démographiques lors d’essais.
• Pour assurer le respect des obligations en matière d’exactitude, il faut prendre en compte le système de RF dans son ensemble – les données d’entraînement et l’algorithme de RF utilisés, la base de données d’images faciales à partir de laquelle on compare les images ainsi que la nature de la vérification manuelle.
• Si les données d’entraînement utilisées pour générer un algorithme de RF manquent de diversité, l’algorithme pourrait par défaut intégrer au code ce type de préjudice.

Contexte

• La technologie de RF s’est améliorée rapidement ces derniers temps. Des études ont révélé que la majorité des algorithmes des développeurs mis à l’essai en 2018 surpassaient l’algorithme le plus exact de 2013 et que l’algorithme le plus exact de 2020 est considérablement plus exact que tous ceux de 2018. Pourtant, les disparités entre les groupes démographiques demeurent un défi pour l'industrie.
• Des études ont montré qu’un manque de diversité dans les données d’entraînement est la principale cause des biais : les algorithmes élaborés en Chine donnent de meilleurs résultats avec les visages d’Asiatiques qu’avec ceux de personnes d’Europe de l’Est, ce qui va à l’encontre de la tendance générale.
• Les biais dans l’exactitude de la RF pourraient se traduire par l’obtention de taux plus élevés d’identification erronée en ce qui concerne les personnes de certains groupes racialisés, ce qui pourrait donner lieu à des arrestations et à des détentions injustes, ainsi qu’à une suspicion, une surveillance et une enquête indues des membres de ces groupes.
• La surreprésentation d’un groupe dans une base de données de visages peut produire une « boucle de rétroaction » où des recherches disproportionnées à l’encontre de ce groupe ont pour effet d’accroître la surveillance des membres du groupe, de leurs associés ou de leur communauté.

Préparé par : Direction de l’analyse de la technologie et Direction des politiques, de la recherche et des affaires parlementaires

---

Répercussions de la technologie de la reconnaissance faciale sur les droits démocratiques

Principaux messages

• L’utilisation de la reconnaissance faciale dans les espaces publics, y compris dans les espaces virtuels, soulève des préoccupations au sujet de la protection des droits et libertés démocratiques.
• La protection de la vie privée est essentielle à la dignité, à l’autonomie et à l’épanouissement personnel. Elle est une condition préalable à la participation libre et ouverte des citoyens à la démocratie.
• Pour que la démocratie s’épanouisse, les citoyens doivent pouvoir circuler dans les espaces publics et privés sans risquer que leurs activités ne soient systématiquement recensées, suivies et surveillées ou que leur identité ne soit révélée.
• Il est impératif que nos cadres relatifs à la protection de la vie privée soient réformés de manière à reconnaître et à protéger la vie privée à titre de droit de la personne.

Contexte

• Réponse des autorités de protection des données internationales : En 2020, le Commissariat a coparrainé une résolution internationale sur l’utilisation de la RF dans laquelle est exprimée une préoccupation quant au fait que l’utilisation généralisée de la reconnaissance faciale peut entraîner des effets discriminatoires et impacter la capacité à exercer certains autres droits fondamentaux.
• Préoccupations mondiales : Le Haut-Commissaire des Nations Unies aux droits de l’homme a affirmé que l’utilisation de la technologie de reconnaissance faciale dans le contexte de manifestations pacifiques devrait faire l’objet d’un moratoire jusqu’à ce que les États respectent certaines conditions, notamment la transparence, la surveillance et la diligence raisonnable en matière de droits de la personne avant son déploiement.
• Exemples récents : Un exemple récent de rapport est celui du groupe de la société civile Human Rights Watch. Dans de récents rapports, l’organisme s’est dit « très préoccupé » par les systèmes de RF dotés d’une technologie d’IA qui permet de balayer le visage des manifestants et de signaler aux autorités ceux qui figurent sur une liste de personnes recherchées.

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

Enquête sur l’utilisation par la Gendarmerie royale du Canada de la technologie de Clearview AI

Principaux messages

• Nous avons présenté les résultats de notre enquête au Parlement en juin 2021.
• Nous avons conclu que la GRC a contrevenu à la Loi sur la protection des renseignements personnels en recueillant des renseignements auprès de Clearview AI, puisqu’une institution ne peut recueillir des renseignements personnels auprès d’un tiers si ce dernier les a recueillis de façon illégale.
• Nous demeurons préoccupés par le fait que la GRC n’a pas souscrit à notre conclusion, selon laquelle nous estimons qu’elle avait contrevenu à la Loi sur la protection des renseignements personnels.
• Nous incitons le Parlement à modifier la Loi sur la protection des renseignements personnels afin de préciser que la GRC est tenue de s’assurer que les tiers auprès desquels elle recueille des renseignements personnels ont agi conformément à la loi.
• Nous surveillons les progrès réalisés par la GRC dans la mise en œuvre, d’ici juin 2022, des recommandations que nous avons formulées pour combler les lacunes graves et systémiques dans ses politiques et ses systèmes au chapitre du suivi, de l’examen et du contrôle des collectes de renseignements personnels par l’entremise de nouvelles technologies.

Contexte

• Le rapport d’enquête du Commissariat précise aussi que la common law fixe clairement des limites aux pouvoirs de la collecte de la GRC en tant que corps policier. Nous sommes d’avis que le recours par la GRC à la technologie de RF pour effectuer des recherches dans d’énormes dépôts de données sur des Canadiens nullement soupçonnés d’actes criminels constitue une importante atteinte à la vie privée et justifie clairement un examen attentif à la lumière des limites susmentionnées.
• Le Commissariat a formulé des recommandations visant à remédier à l’incapacité systémique de la GRC à évaluer les contraintes juridiques avant d’utiliser la technologie de Clearview, ainsi qu’à des lacunes graves au chapitre du suivi (la GRC a initialement indiqué par erreur au Commissariat qu’elle n’utilisait pas la technologie de Clearview) et du contrôle (la GRC n’a pas été en mesure de justifier les fins de la majorité de ses recherches au moyen de la technologie de Clearview).
• Même si la GRC fait des progrès dans la mise en œuvre de nos recommandations, nous craignons qu’elle n’ait pas consacré suffisamment de ressources pour respecter l’échéance du mois de juin 2022.

Préparé par : Secteur de la conformité

---

Enquête sur l’affaire Clearview AI

Principaux messages

• Nous avons publié notre rapport de conclusions d’enquête le 2 février 2021. Selon nos conclusions :
  1. Clearview n’avait pas obtenu le consentement pour la collecte, l’utilisation et la communication de millions d’images de Canadiens qu’elle avait obtenues en ratissant divers sites Web ou celles des profils biométriques qu’elle avait ainsi générés.
  2. Ses pratiques représentaient une surveillance de masse continue et visaient des fins inappropriées.
• Clearview a contesté nos conclusions et refusé de suivre la moindre de nos recommandations. La base de données de Clearview est passée de 3 milliards d’images à la date de publication de notre rapport à 20 milliards actuellement.
• En décembre 2021, les autorités provinciales de réglementation de la protection de la vie privée de l’Alberta, de la Colombie-Britannique et du Québec ont ordonné à Clearview de se conformer aux recommandations formulées dans notre rapport, qui sont propres à leur province. Clearview a contesté ces trois ordonnances devant les tribunaux provinciaux concernés.

Contexte

• Coopération avec des homologues provinciaux : Le Commissariat a mené cette enquête conjointement avec ses homologues de l’Alberta, de la Colombie-Britannique et du Québec.
• Consentement : Clearview n’a pas cherché à obtenir le consentement des intéressés pour l’utilisation de leurs renseignements personnels. Selon l’entreprise, le public avait accès aux sites Web qu’elle avait ratissés pour recueillir ces renseignements, si bien que ces renseignements eux-mêmes étaient « accessibles au public ». Nous avons conclu que le public n’avait pas accès à ces renseignements au sens donné à cette notion dans les règlements d’application de la loi.
• Fins visées : Clearview a recueilli, utilisé et communiqué des renseignements personnels sans aucune appréciation pour permettre à des organisations tierces abonnées à son service d’identifier des personnes en téléversant des photos en vue d’obtenir une correspondance.
• Résultats : Au cours de l’enquête, Clearview a accepté de se retirer du marché canadien. Cependant, Clearview a refusé de suivre les recommandations formulées dans notre rapport final, selon lesquelles elle devait : i) s’engager à ne pas revenir sur le marché canadien; ii) mettre fin à la collecte, à l’utilisation et à la communication d’images et de matrices biométriques des Canadiens; et iii) supprimer les images et les matrices biométriques en sa possession.

Préparé par : Secteur de la conformité

---

Ordonnances provinciales et contrôle judiciaire à l’encontre de Clearview AI

Principaux messages

• Nos homologues provinciaux (Colombie-Britannique, Alberta et Québec) ont rendu des ordonnances à l’encontre de Clearview AI à la suite d’une enquête conjointe avec le Commissariat.
• Conformément à ces ordonnances Clearview AI devait cesser d’offrir ses services, mettre fin à la collecte et à l’utilisation d’images, et supprimer tous les renseignements recueillis sans consentement.
• Ces ordonnances sont maintenant contestées devant les tribunaux provinciaux.
• Le Commissariat n’a pas le pouvoir de rendre des ordonnances et, à l’heure actuelle, il ne participe pas à ces litiges provinciaux.

Contexte

• Le Commissariat et ses homologues provinciaux de la Colombie-Britannique, de l’Alberta et du Québec ont publié, en février 2021, un rapport de conclusions d’enquête conjoint faisant état du fait que Clearview AI avait contrevenu aux lois canadiennes sur la protection des renseignements personnels applicables au secteur privé.
• Même si le Commissariat n’a pas actuellement le pouvoir de rendre des ordonnances, nos homologues provinciaux qui ont participé à cette enquête conjointe disposent d’un tel pouvoir.
• Des ordonnances contre Clearview AI ont été rendues par la Colombie-Britannique, l’Alberta et le Québec, selon lesquelles l’entreprise doit faire ce qui suit dans chacune des provinces concernées :
  1. cesser d’offrir ses services de reconnaissance faciale;
  2. mettre fin à la collecte, à l’utilisation et à la communication d’images de personnes;
  3. supprimer les images et les matrices faciales biométriques recueillies sans consentement.
• Clearview AI conteste ces ordonnances provinciales devant les tribunaux (au moyen d’un contrôle judiciaire) en invoquant, entre autres, que :
  1. les lois provinciales sur la protection des renseignements personnels ne s’appliquent pas à elle;
  2. les renseignements personnels en question étaient accessibles au public et ont été recueillis, utilisés et communiqués de manière raisonnable;
  3. certains articles des lois provinciales sur la protection de renseignements personnels dans le secteur privé contreviennent à l’alinéa 2b) de la Charte canadienne des droits et libertés;
  4. les ordonnances provinciales, telles qu’elles sont formulées, ne peuvent pas être respectées (c’est-à-dire qu’elles sont déraisonnables et inexécutables).

Préparé par : Direction des services juridiques

---

Enquête sur Cadillac Fairview

Principaux messages

• Notre enquête portant sur Cadillac Fairview a révélé que l’entreprise utilisait des caméras dissimulées dans des bornes d’orientation numériques dans 12 centres commerciaux pour recueillir des images des clients et qu’elle avait recours à une technologie de RF pour deviner leur âge et leur sexe.
• Les clients n’avaient aucune raison de s’attendre à ce que leurs renseignements biométriques sensibles soient recueillis et utilisés de cette façon et ils n’avaient pas consenti à cette collecte ni à cette utilisation.
• Bien que les images aient été supprimées, les renseignements biométriques de nature sensible de 5 millions de clients ont été envoyés à un fournisseur de services tiers et stockés dans une base de données centralisée sans fins perceptibles.
• Nous demeurons inquiets du fait que Cadillac Fairview a refusé notre demande de s’engager à obtenir le consentement explicite et valable des visiteurs si elle décide de redéployer la technologie à l’avenir.

Contexte

• Coopération avec des homologues provinciaux : Le Commissariat a mené cette enquête conjointement avec ses homologues de l’Alberta et de la Colombie-Britannique. L’enquête a donné lieu au partage d’information avec son homologue du Québec. Les conclusions ont été publiées en octobre 2020.
• Fins visées par la collecte : Cadillac Fairview a recueilli des renseignements personnels pour surveiller les tendances de la circulation pédestre et déterminer les caractéristiques démographiques des visiteurs des centres commerciaux (p. ex. âge et sexe). À son insu, le tiers fournisseur de services a créé et conservé une base de données renfermant environ 5 millions de représentations numériques de visages.
• Résultats : Cadillac Fairview a cessé d’utiliser cette technologie et a fait savoir qu’elle ne prévoyait pas pour l’instant de reprendre son utilisation. Nous craignons que Cadillac Fairview ne recommence tout simplement cette pratique, ou une pratique similaire, et que nous devions soit aller devant les tribunaux, soit lancer une nouvelle enquête sur la question.
• Réforme de la loi : Comme en témoigne le refus de Cadillac Fairview de s’engager à obtenir le consentement explicite et valable pour une utilisation ultérieure de cette technologie, nous avons besoin de pouvoirs d’application de la loi accrus, notamment le pouvoir de rendre des ordonnances et d’imposer des sanctions administratives pécuniaires pour mieux protéger la vie privée des Canadiens.

Préparé par : Secteur de la conformité

---

Document d’orientation sur la reconnaissance faciale

Principaux messages

• Le contexte législatif actuel entourant l’utilisation de la RF par les services de police est insuffisant. En l’absence d’un cadre juridique complet, une incertitude demeure quant aux situations dans lesquelles l’utilisation de la RF par les services de police est légale.
• Le Commissariat a collaboré avec ses homologues provinciaux et territoriaux pour publier un document d’orientation visant à définir les obligations des services de police en matière de protection de la vie privée relativement à la RF, afin de veiller à ce que toute utilisation de celle-ci soit conforme à la loi, de limiter les risques d’atteinte à la vie privée et de respecter le droit à la vie privée.
• Un document d’orientation préliminaire a été publié en juin 2021. Au même moment, nous avons organisé une consultation publique pour solliciter des observations sur ce document.
• Nous avons apporté un certain nombre de modifications au document d’orientation en réponse aux observations des intervenants et avons publié une version définitive aujourd’hui.

Contexte

• Nous avons reçu 29 mémoires de particuliers et d’organisations issus de tous les secteurs concernés : société civile, universités, services de police, milieu des affaires, milieu gouvernemental et milieu juridique. Tout au long de l’automne 2021, le Commissariat a rencontré des organismes d’application de la loi, des groupes de la société civile, des organisations représentant des communautés marginalisées et des groupes en quête d’équité, ainsi que des commissaires aux droits de la personne à l’échelle fédérale, provinciale et territoriale afin de recueillir leurs observations.
• Même si les intervenants ont pour la plupart trouvé le document pertinent, avantageux et opportun, ils nous ont demandé précisément :
  • de clarifier les recommandations concernant l’exactitude, la conservation et la participation de tiers aux projets de RF, et clarifier les explications des principes et concepts juridiques;
  • de fournir davantage de directives sur ce que doivent contenir les avis publics des services de police et sur le mode de publication de ces avis pour satisfaire aux obligations de transparence;
  • d’ajouter l’obligation pour les services de police d’élaborer une politique officielle pour encadrer l’utilisation de la RF, compte tenu des risques élevés que pose cette technologie;
  • de faire en sorte que le document d’orientation contienne des cas particuliers d’utilisation de la RF, pour permettre aux services de police de mieux comprendre diverses situations;
  • d’ajouter des exigences en matière d’approvisionnement et de mise à l’essai pour les projets et les systèmes de RF.
• Nous avons apporté un certain nombre de modifications au document d’orientation pour répondre à ces observations et nous avons l’intention de conseiller les services de police sur des cas particuliers d’utilisation à mesure que ceux-ci seront définis.

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

Consultation sur la reconnaissance faciale

Principaux messages

• En juin 2021, mes collègues des provinces et territoires et moi-même avons lancé une consultation publique afin de recueillir des observations sur notre document d’orientation préliminaire et sur le cadre juridique et de politique à établir pour régir l’utilisation de la RF par les services de police.
• Nous avons reçu 29 mémoires de la société civile, du monde universitaire, du milieu gouvernemental, des services de police, du milieu juridique, du milieu des affaires ainsi que particuliers. Nous avons également rencontré des services de police, des groupes de la société civile, des organisations représentant des communautés marginalisées et des commissaires aux droits de la personne.
• Nous avons donné suite aux observations formulées par les intervenants en apportant d’importantes modifications au document d’orientation, afin d’aborder des questions telles que l’exactitude, la conservation, l’approvisionnement et les essais.
• Nous demandons aussi l’établissement d’un nouveau cadre juridique qui fixerait des limites pour le recours à la RF par les services de police. Les intervenants ont été clairs : le document d’orientation ne permettra pas à lui seul de remédier aux difficultés découlant du recours à la RF par les services de police. Les intervenants s’accordent sur la nécessité d’agir : un cadre juridique s’impose pour régir le recours à la RF par les services de police.

Contexte

• Document d’orientation : Les intervenants ont recommandé des précisions concernant l’exactitude, la conservation, les tiers, la transparence, l’approvisionnement, les essais et les cas particuliers d’utilisation.
• Lois actuelles sur la protection des renseignements personnels : Les intervenants ont relevé des lacunes dans les lois sur la protection des renseignements personnels concernant la responsabilité des tiers, le manque de clarté quant à ce qui constitue des renseignements personnels accessibles au public, et les exceptions qui exemptent les organismes chargés de l’application de la loi de certaines obligations en matière d’exactitude et leur donnent une plus grande latitude pour la communication de renseignements à des organismes d’enquête précis.
• Cadre juridique à venir : Les intervenants ont recommandé une surveillance indépendante, la fixation de limites pour l’utilisation de la RF, l’établissement de zones interdites, la précision des cas qui nécessitent une autorisation préalable, la restriction du partage des données et l’obligation de procéder à des évaluations.

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---

Cadre juridique pour réglementer le recours à la reconnaissance faciale par les services de police

Principaux messages

• Contrairement à d’autres formes de données biométriques (p. ex. l’ADN, les empreintes digitales), l’utilisation de la RF par les services de police n’est pas assujettie à des règles législatives précises.
• Le manque de clarté et les lacunes en matière de protection de la vie privée laissent place à des atteintes à la vie privée et à d’autres droits.
• Dans l’ensemble, les intervenants s’accordent sur la nécessité d’établir un cadre juridique encadrant précisément le recours à la RF par les services de police.
• Selon nous, la loi devrait inclure : définition claire et explicite des fins auxquelles le recours à la RF par les services de police serait permis sous réserve de zones interdites; exigences strictes en matière de nécessité et de proportionnalité; surveillance externe indépendante; et renforcement du droit à la vie privée et des mesures de protection.

Contexte

• La Loi sur l’identification par les empreintes génétiques et la Loi sur l’identification des criminels régissent la manière dont les services de police peuvent recueillir, utiliser, communiquer et détruire des échantillons d’ADN, des empreintes digitales et des photos signalétiques.
• L’autorisation accordée aux services de police d’utiliser la RF dans un contexte d’enquête et de prévention devrait être réservée à des fins impératives (p. ex. en cas d’actes criminels graves). La surveillance de masse, la surveillance des manifestants pacifiques et la collecte sans aucune appréciation d’images pour les bases de données de comparaison ne devraient pas être autorisées (zones interdites).
• Dans l’Union européenne, où la Directive « police-justice » est en vigueur, les services de police ne peuvent traiter les données biométriques à des fins d’identification que lorsque cela est « en cas de nécessité » absolue.
• La surveillance devrait comprendre : un engagement proactif (p. ex. des évaluations des facteurs relatifs à la vie privée), une autorisation préalable au niveau du programme (ou un préavis de l’utilisation proposée) et des pouvoirs d’application de loi (vérifications, inspections proactives et pouvoirs de rendre des ordonnances).
• Des modifications sont nécessaires pour rendre certains principes plus clairs et plus précis quant aux risques pouvant découler de l’utilisation de la RF. Ces modifications concernent l’exactitude (il est nécessaire de se pencher sur l’exactitude de la procédure de mise en correspondance, et pas seulement sur les renseignements contenus dans les bases de données), la conservation (différentes périodes de conservation pour les différents composants des systèmes de RF, p. ex. les images de comparaison par rapport aux images qui se trouvent dans une base de données d’images faciales préalablement saisies) et la transparence (les précisions sur l’utilisation devraient être publiques).

Préparé par : Direction des politiques, de la recherche et des affaires parlementaires

---