Document d’orientation à l’intention des institutions fédérales sur le traitement des renseignements biométriques
Publié : 2025
Public cible : Institutions fédérales
Fondement juridique : Loi sur la protection des renseignements personnels
Diffusion : Commissariat à la protection de la vie privée du Canada
État d’avancement :
| Consultation publique | Analyse des commentaires | Adoption du document d’orientation |
Sur cette page
- Survol
- Technologie biométrique
- Renseignements biométriques
- Orientation
- Autorité légitime en ce qui concerne la collecte, l’utilisation et la communication
- Évaluer les impacts sur la vie privée
- Nécessité et proportionnalité
- Limitation de la collecte
- Limitation de l’utilisation, de la communication et de la conservation
- Mesures de sécurité
- Exactitude
- Responsabilité
- Transparence
- Notes de bas de page
Survol
Les gouvernements au Canada et dans le monde entier se tournent vers les technologies biométriques pour renforcer la sécurité et fournir des services. L’avenir prometteur de la biométrie soulève toutefois des préoccupations majeures en ce qui concerne la protection de la vie privée. Les renseignements biométriques sont intimement liés au corps d’une personne et, bien souvent, ils sont particuliers à chaque personne, peu susceptibles de varier de manière importante au fil du temps, et ont des caractéristiques intrinsèques qui sont difficiles à modifier.
Les renseignements biométriques peuvent servir à surveiller les gens. De plus, s’ils sont compromis, ils peuvent exposer les personnes touchées à la fraude et au vol d’identité. Ils peuvent également révéler des renseignements sensibles sur une personne, notamment des traits de personnalité, des renseignements sur la santé et d’autres caractéristiques comme la race, les handicaps, le sexe et les relations biologiques familiales. Les difficultés que pose l’exactitude de certaines technologies biométriques n’étant plus à démontrer, les cas où elles servent à prendre des décisions automatisées au sujet des personnes sont d’autant plus préoccupants.
Le présent document offre une orientation sur les obligations des institutions fédérales en matière de protection de la vie privée lorsqu’elles traitent des renseignements biométriques. Même si ce document porte sur certains des principaux éléments à prendre en considération, il revient aux institutions de comprendre et de respecter toutes les obligations qui leur incombent selon les lois, les règlements et les instruments de politique applicables.
Les autorités provinciales et territoriales de protection de la vie privée du Canada et le Commissariat à la protection de la vie privée du Canada ont publié conjointement un document d’orientation sur le recours à la reconnaissance faciale par les services de police afin de préciser les obligations légales de ces derniers en matière de protection de la vie privée. Les institutions fédérales qui souhaitent utiliser la biométrie pourront aussi trouver de l’information utile dans ce document.
Technologie biométrique
La « biométrie » désigne la quantification de caractéristiques humaines en termes mesurables. Les technologies biométriques sont utilisées à diverses fins, notamment la reconnaissance et la classification, qui sont décrites ci-dessous.
Il existe deux principaux types de technologies biométriques :
- La biométrie physiologique porte sur les caractéristiques morphologiques (forme ou structure du corps) ou biologiques d’une personne qui demeurent relativement inchangées au fil du temps. Il s’agit notamment des empreintes digitales, des motifs de l’iris, de la géométrie faciale et de l’ADN.
- La biométrique comportementale porte sur les caractéristiques qui distinguent les mouvements, les gestes et les capacités motrices d’une personne. Il s’agit notamment des habitudes de frappe au clavier, de la démarche, de la voix et des mouvements oculaires.
Ces caractéristiques biométriques peuvent être recueillies et analysées à l’aide d’un système biométrique. Les systèmes biométriques extraient des caractéristiques d’échantillons biométriques, qui sont des données contenant des représentations de caractéristiques biométriques dans un format non traité. Un échantillon biométrique peut notamment être une photographie du visage d’une personne, un enregistrement de sa voix ou un échantillon de son ADN. Les échantillons peuvent être ajoutés au système biométrique manuellement (par exemple, par le téléversement d’une image) ou automatiquement (par exemple, à l’aide d’un logiciel sur un ordinateur pour enregistrer les habitudes de frappe au clavier d’un utilisateur).
Une fois qu’un échantillon a été ajouté au système, les caractéristiques biométriques sont extraites par la conversion des données de l’échantillon dans un format qui peut être analysé dans un but précis. Ce processus comprend souvent la création d’un gabarit biométrique, qui est un format permettant de représenter des ensembles de caractéristiques biométriques extraites pour qu’ils puissent faire l’objet d’une analyse approfondie. L’extraction et l’analyse ou la comparaison des gabarits s’effectuent généralement à l’aide d’un logiciel spécialisé conçu à cette fin.
Reconnaissance biométrique
La reconnaissance est une utilisation courante de la technologie biométrique. Les systèmes biométriques utilisés aux fins de reconnaissance sont configurés de manière à comparer un gabarit d’un échantillon biométrique (souvent appelé « gabarit de comparaison ») avec au moins un gabarit extrait d’autres échantillons biométriques. Le système estime ensuite la probabilité qu’au moins deux gabarits correspondent à la même personne.
- Lorsque la technologie biométrique sert aux fins de vérification, le gabarit de comparaison est comparé avec un seul autre gabarit afin de déterminer s’ils sont rattachés à la même personne. C’est pourquoi le processus de vérification est parfois appelé comparaison « d’un à un ».
- Lorsque la technologie biométrique sert aux fins d’identification, le gabarit de comparaison est comparé avec plusieurs autres gabarits afin de déterminer s’il y a concordance avec l’un d’eux. C’est pourquoi le processus d’identification est parfois appelé comparaison « d’un à plusieurs ».
Les systèmes de reconnaissance impliquent généralement l’enregistrement des gabarits des personnes dans une base de données de référence afin de les comparer avec d’autres gabarits. Lorsque la technologie biométrique sert aux fins de vérification, la base de données de référence ne contient qu’un gabarit de référence. Lorsque la technologie sert aux fins d’identification, elle contient de nombreux gabarits. La base de données de référence utilisée lorsque la technologie sert aux fins d’identification contient souvent des renseignements supplémentaires permettant d’identifier une personne, notamment son nom.
Parmi les exemples d’utilisation de la technologie biométrique aux fins de reconnaissance, mentionnons l’utilisation d’une empreinte digitale pour accéder à un immeuble, l’utilisation de l’image faciale pour déverrouiller un téléphone et l’utilisation de l’ADN pour identifier une personne. Dans toutes ces situations, les gabarits de comparaison sont comparés avec un ou plusieurs gabarits de référence pour estimer la probabilité d’une correspondance. Si la probabilité est suffisamment élevée, la correspondance peut alors être considérée comme confirmée pour les besoins du système.
Classification biométrique
Un domaine émergent de la technologie biométrique porte sur l’estimation de certains attributs propres à une personne, par exemple son âge ou son sexe, en fonction de ses caractéristiques biométriques. C’est ce qu’on appelle communément la « classification biométrique ». Dans ce contexte, le système biométrique extrait des caractéristiques biométriques d’un échantillon et les analyse pour prédire la valeur d’un attribut donné.
Prédire le sexe, l’âge ou le degré de fatigue d’une personne à partir d’une image faciale, établir si un ensemble d’habitudes de frappe au clavier appartient à un humain ou à un robot ou examiner une séquence d’ADN pour détecter des problèmes de santé potentiels constituent des exemples de classification biométrique.
Bien que ces utilisations de la biométrie ne visent pas nécessairement à identifier des personnes, les caractéristiques biométriques en cause peuvent quand même permettre d’identifier précisément une personne.
Renseignements biométriques
Aux fins du présent document d’orientation, les renseignements biométriques sont des renseignements concernant des caractéristiques biométriques qui sont extraits d’un échantillon biométrique. En général, les renseignements biométriques sont des renseignements personnelsNote de bas de page 1.
Les échantillons biométriques contiennent des renseignements personnels pouvant être convertis en renseignements biométriques. Ces renseignements deviennent des renseignements « biométriques » seulement une fois qu’ils ont été traités à l’aide d’un système biométrique. Les photographies, les enregistrements vidéo et les observations comportementales ne sont pas nécessairement des renseignements biométriques en soi. Les renseignements concernant des caractéristiques humaines qui sont extraits de ces sources et quantifiés en termes mesurables sont des renseignements biométriques.
Caractère sensible
Les renseignements biométriques qui permettent d’identifier précisément une personne sont des renseignements sensibles, quel que soit le contexte dans lequel ils sont recueillis, utilisés ou communiqués. En effet, ces renseignements restent inchangés au fil du temps, sont difficiles à modifier et sont intimement liés à l’identité d’une personne.
Les renseignements biométriques qui ne permettent pas d’identifier précisément une personne peuvent être sensibles ou non, selon les circonstances. Par exemple, il est possible que certains renseignements biométriques permettent d’établir des caractéristiques générales qui sont communes à de nombreuses personnes, notamment la couleur des yeux, des indicateurs d’âge ou des traits comportementaux très généraux.
Si ces renseignements ne permettent pas d’identifier précisément une personne, ils ne sont pas automatiquement considérés comme sensibles seulement parce que ce sont des renseignements biométriques. Cependant, ces renseignements peuvent quand même être sensibles pour d’autres raisons. Par exemple, un moniteur d’activité physique peut recueillir certains renseignements biométriques qui ne permettent pas d’identifier précisément une personne, mais qui peuvent quand même être sensibles s’ils révèlent de l’information sur l’état de santé d’une personne.
En général, les institutions devraient traiter les renseignements biométriques comme des renseignements sensibles dans les cas suivants :
- ils sont, ou peuvent facilement être, combinés à d’autres renseignements qui permettraient d’identifier précisément une personne;
- une mauvaise utilisation de ces renseignements pourrait poser un risque élevé de préjudice pour les personnes;
- ils pourraient révéler d’autres catégories de renseignements qui sont considérés comme sensibles (des renseignements médicaux, par exemple).
Les renseignements biométriques peuvent aussi être sensibles dans d’autres situations. Bien qu’il soit destiné aux entreprises du secteur privé assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le bulletin d’interprétation du Commissariat portant sur les renseignements sensibles peut aider les institutions fédérales à comprendre des concepts clés de la sensibilité des renseignements.
Il est important de garder en tête que les renseignements biométriques peuvent être sensibles même s’ils ne sont utilisés ou conservés que pour une brève période. Par exemple, un système de reconnaissance faciale qui attribue une représentation numérique unique à un visage en particulier lorsqu’il analyse une image peut nécessiter la collecte de renseignements biométriques sensibles (la représentation numérique de caractéristiques faciales), même s’il supprime ces renseignements dans un délai de quelques millisecondes.
Orientation
Autorité légitime en ce qui concerne la collecte, l’utilisation et la communication
Lorsque vous prévoyez mettre sur pied une initiative de biométrie, l’une des premières étapes est de vérifier que votre institution a l’autorité légitime de recueillir, d’utiliser et de communiquer des renseignements biométriques.
Collecte : Au titre de la Loi sur la protection des renseignements personnels (LPRP), les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités. L’obtention du consentement d’un individu pour recueillir ses renseignements personnels ne remplace ni n’établit l’autorité légitime pour recueillir ces renseignements personnels. Selon le paragraphe 5(2), sauf certaines exceptions, une institution est aussi tenue d’informer l’individu auprès de qui elle recueille des renseignements personnels le concernant des fins auxquelles ils sont destinés.
Sous réserve de certaines exceptions, les institutions fédérales sont tenues de recueillir auprès de l’individu lui-même les renseignements personnels, chaque fois que c’est possibleNote de bas de page 2. Si elle peut recueillir un échantillon biométrique directement auprès d’un individu, une institution ne peut pas le recueillir indirectement auprès d’une autre source, par exemple Internet ou un média social, à moins d’avoir obtenu l’autorisation de l’individu de procéder ainsi ou qu’une exception s’applique.
Au titre du paragraphe 5(3), les exigences relatives à la collecte directe et à la communication à l’individu des fins de la collecte ne s’appliquent pas dans les cas où le respect de ces exigences pourrait donner lieu à la collecte de renseignements inexacts ou bien contrarier les fins ou compromettre l’usage auquel les renseignements sont destinés.
Utilisation et communication : Conformément à la LPRP, les institutions ne doivent ni utiliser ni communiquer les renseignements personnels d’un individu sans son consentement, à moins que l’une des exceptions prévues aux articles 7 et 8 s’applique. Par exemple, si une institution utilise ou communique des renseignements biométriques aux fins auxquelles ils ont été recueillis à l’origine ou pour un usage compatible avec ces fins, l’exigence de consentement est levée.
Si vous devez obtenir le consentement d’un individu pour utiliser ou communiquer ses renseignements personnels, il vous faut faire ce qui se trouve ci-dessous.
Expliquer des concepts clés : Veillez à ce que les individus soient correctement informés de la manière dont vous allez gérer leurs renseignements personnels. La Directive sur les pratiques relatives à la protection de la vie privée (paragraphe 4.2.23) du Secrétariat du Conseil du Trésor (SCT) exige que le processus de consentement comprenne des explications sur certains éléments clés qui peuvent avoir des conséquences sur la protection de la vie privée de l’individu, notamment :
- les fins auxquelles les renseignements seront utilisés ou communiqués;
- le type de renseignement biométrique en cause;
- toute utilisation ou communication non conforme aux fins pour lesquelles les renseignements biométriques ont été recueillis si la portée est élargie;
- toute conséquence pouvant résulter du refus de donner son consentement;
- toute solution de rechange à donner son consentement à l’utilisation ou à la communication de ses renseignements biométriques.
Veiller à ce que le consentement soit éclairé : Le Commissariat a établi des lignes directrices pour l’obtention d’un consentement valable. Bien qu’elles aient été élaborées à l’intention des organisations du secteur privé, elles peuvent tout de même aider les institutions fédérales à s’assurer qu’un consentement valide est obtenu.
Pour veiller à obtenir un consentement éclairé, les institutions devraient envisager d’intégrer le mécanisme d’obtention du consentement à leurs processus existants, par exemple l’inscription aux services ou l’ouverture d’un compte.
Des renseignements précis sur l’initiative de biométrie devraient être fournis au moment de demander le consentement, de façon conviviale et à une étape pertinente du processus de décision de la personne. Bien que les initiatives de biométrie devraient aussi être décrites dans la politique de confidentialité d’une institution, une telle description ne saurait généralement suffire à l’obtention d’un consentement éclairé.
Les institutions doivent utiliser une forme de consentement appropriée aux circonstances. Pour les initiatives de biométrie, le consentement explicite est toujours privilégié, ce qui signifie que les renseignements biométriques ne sont pas utilisés ou communiqués sans que la personne, de façon explicite, soit mise au courant et donne son accord.
Documenter le processus : Selon le paragraphe 4.2.24 de la Directive sur les pratiques de protection de la vie privée, les institutions doivent s’assurer que le consentement est obtenu par écrit ou qu’il est documenté de manière adéquate, et inclure des informations telles que la date et l’heure du consentement.
Fournir des solutions de rechange : Chaque fois que c’est possible, les individus devraient se voir offrir des solutions de rechange à la participation à un programme de biométrie. Offrir des solutions de rechange permet de répondre aux besoins des personnes qui hésitent à avoir recours à un système biométrique ainsi qu’à celles qui ne sont pas en mesure de recourir à de tels systèmes, par exemple en raison d’une incapacité.
Dans une enquête sur l’utilisation par l’Agence des services frontaliers du Canada (ASFC) d’une technologie de généalogie génétique pour essayer de déterminer la nationalité d’un individu visé par une mesure de renvoi, le Commissariat a conclu que l’ASFC avait enfreint l’article 5 de la LPRP en omettant d’obtenir l’autorisation valide de la personne pour procéder à la collecte indirecte de ses renseignements biométriques. Le Commissariat a établi que, comme l’ASFC n’a pas fourni à la personne des renseignements clés au sujet des modalités d’un tiers fournisseur de services de généalogie génétique, la personne n’était pas pleinement au courant de ses droits en tant que donneuse d’ADN lorsqu’elle a autorisé l’ASFC à recueillir ses renseignements génétiques auprès de ce fournisseur. Le Commissariat a donc conclu que l’autorisation qu’a donnée la personne à l’ASFC n’était pas valide.
Évaluer les impacts sur la vie privée
Pour veiller à ce que leur collecte de renseignements personnels soit conforme à la LPRP, les institutions peuvent mener une évaluation des facteurs relatifs à la vie privée (EFVP) avant de lancer une initiative. Une EFVP est un outil qui peut aider une institution à respecter les exigences prévues par la loi et à gérer ou à atténuer les répercussions sur la vie privée.
Si l’initiative de biométrie d’une institution nécessite la collecte, l’utilisation ou la communication de renseignements personnels dans le cadre d’un processus de décision qui touche directement une personne, l’institution doit mener une EFVP, conformément à la Norme sur l’évaluation des facteurs relatifs à la vie privée du SCT. Le Commissariat a publié un guide sur les EFVP à l’intention des institutions fédérales pour les aider à remplir cette exigence.
Il importe de garder à l’esprit que les programmes de biométrie peuvent avoir des effets différents selon les personnes ou les groupes. Les risques d’atteinte à la vie privée qui touchent des groupes donnés devraient être notés dans l’EFVP, tout comme les stratégies d’atténuation de ces risques.
Nécessité et proportionnalité
Si la collecte de renseignements personnels par une institution fédérale peut avoir des répercussions sur le droit à la vie privée, l’institution devrait s’assurer de la nécessité de ces répercussions et vérifier si elles sont proportionnelles aux avantages obtenus. La Directive sur les pratiques relatives à la protection de la vie privée (paragraphe 4.2.9) du SCT exige de limiter la collecte aux renseignements personnels qui sont manifestement nécessaires.
Le Commissariat invite les institutions à évaluer les initiatives pour lesquelles des renseignements biométriques sont recueillis en utilisant les quatre critères ci-dessous. Il a d’ailleurs considéré ces critères lors de la rédaction de rapports de conclusions à la suite d’enquêtes portant sur des institutions fédéralesNote de bas de page 3.
| 1) Nécessité |
L’institution devrait faire la preuve que son programme ou son initiative de biométrie est nécessaire à la réalisation d’un objectif précis, légitime et défendable. Elle devrait pouvoir expliquer clairement le lien logique entre l’utilisation de la biométrie et le programme ou l’initiative en question et consigner cette justification dans le cadre du processus d’EFVP. Dans son bulletin sur l’interprétation de la LPRPDE, le Commissariat a établi que certaines fins de la collecte, de l’utilisation et de la communication de renseignements personnels par les organisations du secteur privé sont inappropriées, peu importe l’objectif commercial. Il est probable que ces fins soient également inappropriées dans le secteur public. Elles comprennent les programmes de biométrie qui causent ou sont susceptibles de causer un préjudice grave ainsi que ceux qui entraînent du profilage ou une catégorisation donnant lieu à un traitement injuste, contraire à l’éthique ou discriminatoire. Les institutions ne doivent recueillir des renseignements biométriques qu’à des fins bien établies. Les renseignements personnels ne doivent pas être recueillis dans un but spéculatif ou prospectif à déterminer ultérieurement. |
|---|---|
| 2) Efficacité |
Les institutions devraient veiller à ce que l’initiative ou le programme de biométrie proposé permettent de réaliser efficacement les fins que vous avez établies. Elles devraient être convaincues que le programme de biométrie sera efficace et fiable dans son ensemble. Il devrait aussi y avoir un plan précis pour en mesurer l’efficacité. Le programme doit être conçu de façon à atteindre les fins visées par son déploiement. Tenez compte de la validité scientifique et technique de la méthode ou du processus, de l’exactitude de la technologie et du taux d’erreur ainsi que du risque que la technologie biométrique soit compromise ou contournée. |
| 3) Atteinte à la vie privée minimale |
Les institutions devraient évaluer s’il existe des moyens portant moins atteinte à la vie privée qui permettent de réaliser les fins visées sans impliquer la collecte, l’utilisation ou la communication de renseignements biométriques. Est-il prouvé que les autres moyens portant moins atteinte à la vie privée ne permettent pas d’atteindre le même objectif à un coût comparable et d’obtenir des avantages comparables? De façon générale, la biométrie ne devrait pas être utilisée uniquement pour des raisons de commodité pour l’organisation qui la déploie si d’autres solutions qui respectent davantage la vie privée peuvent être mises en œuvre. Pensez aux mesures qui peuvent être prises pour réduire le plus possible les intrusions dans la vie privée. Vous pouvez notamment envisager d’utiliser des renseignements biométriques moins sensibles ou de limiter le rôle de la biométrie dans le programme proposé. |
| 4) Proportionnalité |
Les institutions devraient aussi déterminer si les répercussions du programme ou de l’initiative de biométrie sont proportionnelles aux avantages obtenus. Les gains d’efficacité, les économies ou les avantages opérationnels sont-ils proportionnels au degré accru d’intrusion par rapport à une solution qui ne fait pas appel à une technologie biométrique? Les initiatives qui nécessitent la collecte, l’utilisation ou la communication de renseignements biométriques peuvent avoir une incidence importante sur la vie privée. Pour que cette incidence soit proportionnelle, les avantages d’un programme de biométrie doivent être d’autant plus élevés. Les institutions devraient veiller à ce que l’incidence de la conception du programme de biométrie soit aussi proportionnelle, c’est-à-dire que la portée du programme devrait être restreinte et bien définie, et non l’inverse. Un programme de biométrie conçu de façon à recourir à l’analyse de grandes quantités de renseignements biométriques est plus susceptible d’avoir une incidence disproportionnée sur la vie privée qu’un programme dans le cadre duquel la collecte et l’utilisation des renseignements biométriques sont ciblées et précises. |
Limitation de la collecte
Selon la Directive sur les pratiques relatives à la protection de la vie privée (paragraphe 4.2.9) du SCT, les institutions doivent limiter la collecte de renseignements personnels à ceux qui sont manifestement nécessaires à leurs programmes ou à leurs activités.
Vous devez
Utiliser le moins de caractéristiques biométriques possible : Cela comprend à la fois la quantité de caractéristiques uniques et la combinaison des caractéristiques. Par exemple, s’il est possible d’arriver aux fins visées en utilisant des points d’une seule empreinte digitale – en gardant en tête les considérations liées à l’exactitude qui sont décrites ci-dessous –, on ne devrait pas recueillir les empreintes de tous les doigts ni combiner l’empreinte avec d’autres renseignements biométriques biologiques ou comportementaux.
Vous devriez
Préférer la vérification à l’identification, dans la mesure du possible : La vérification repose sur une concordance d’un à un avec les renseignements biométriques d’une personne, ce qui peut limiter la quantité de renseignements nécessaires pour obtenir des résultats exacts et, par conséquent, la quantité de renseignements que l’institution doit recueillir. Avant d’utiliser un système d’identification, les institutions devraient déterminer si elles ne pourraient pas plutôt réaliser les fins visées au moyen d’un système de vérification.
Tenter de laisser le contrôle du gabarit biométrique à la personne : Il existe différents formats de gabarit biométrique, et le degré de contrôle qu’ils offrent à la personne varie. Les institutions devraient s’efforcer de laisser le contrôle des gabarits biométriques à la personne dans la mesure où il s’agit de la solution la plus sûre qui lui permet de réaliser les fins visées. Par exemple, un gabarit pourrait être conservé sur un appareil comme un téléphone mobile ou un jeton portable que la personne aurait en sa possession. La création de grandes bases de données centralisées de renseignements biométriques devrait être évitée si d’autres solutions sont viables. En cas d’atteinte, les bases de données centralisées s’exposent à des répercussions sur la vie privée d’une plus grande portée et d’une plus grande ampleur.
Limiter la capacité technique du système biométrique : À l’étape de la mise au point ou du choix d’un système biométrique, les institutions devraient privilégier des systèmes biométriques exempts de caractéristiques supplémentaires qui permettent la collecte de renseignements personnels dans une plus grande mesure que ce qui est nécessaire pour réaliser les fins visées.
Limitation de l’utilisation, de la communication et de la conservation
Au titre de l’article 7 de la LPRP, les renseignements biométriques ne doivent être utilisés qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins, sous réserve de certaines exceptions. Cette disposition s’applique autant aux renseignements biométriques contenus dans une base de données qu’aux échantillons biométriques recueillis auprès d’une personne.
Au titre de l’article 8 de la LPRP, une institution ne doit pas communiquer les renseignements biométriques d’une personne sans le consentement de celle-ci, sauf dans les circonstances énoncées au paragraphe 8(2).
Vous devez
Vous abstenir d’extraire des renseignements secondaires, à moins que la loi vous y autorise : Certains renseignements biométriques peuvent révéler des renseignements secondaires, par exemple concernant la santé, l’origine ethnique ou des relations biologiques. Les institutions ne doivent pas analyser les renseignements biométriques pour en extraire de tels renseignements supplémentaires, à moins que cela soit fait pour un usage compatible avec les fins auxquelles les renseignements ont été recueillis ou que cela soit autorisé au titre du paragraphe 8(2) de la LPRP.
Limiter la communication : Les renseignements biométriques ne peuvent être communiqués que si la personne concernée y consent ou si une exception s’applique au titre du paragraphe 8(2) de la LPRP. Cette exigence s’applique également à tout renseignement biométrique qui est communiqué de façon fortuite dans le contexte où des renseignements sont échangés par une institution.
Rapport de conclusions d’une enquête menée en vertu de la LPRP
Dans son enquête sur l’utilisation par l’ASFC d’une technologie de généalogie génétique, le Commissariat a conclu que l’ASFC avait enfreint l’article 8 de la LPRP en communiquant des renseignements génétiques sur une personne à d’autres utilisateurs d’un tiers fournisseur de services de généalogie génétique. Après que l’ASFC a communiqué les renseignements génétiques de la personne au tiers fournisseur, l’information sur l’origine ethnique possible de la personne a été rendue disponible à d’autres utilisateurs de la plateforme commerciale. Comme cette information a été communiquée aux autres utilisateurs de façon fortuite et sans fin précise, aucune exception à l’exigence de consentement ne s’appliquait au titre de l’alinéa 8(2)a).
Vous devriez
Limiter l’échange de renseignements : Les institutions devraient utiliser un système biométrique qui ne transmet pas de renseignements à des tiers, à moins qu’il y ait une raison opérationnelle précise de le faire qui soit autorisée par la loi. Les systèmes dont le fonctionnement nécessite de transmettre des renseignements biométriques à d’autres personnes devraient limiter la quantité de renseignements transmis et les parties auxquelles ils sont transmis à ceux qui sont nécessaires pour la réalisation des fins visées. Chaque fois qu’elles communiquent des renseignements, les institutions doivent veiller à avoir l’autorité légitime de le faire, quel que soit le contexte. Consultez la section Responsabilité du présent document d’orientation pour en savoir plus sur ce que doivent faire les institutions pour veiller à ce que les tiers auxquels des renseignements sont transmis ne les utilisent qu’aux fins visées.
Éviter la transmission entre systèmes : Les institutions devraient vérifier que le fournisseur du système biométrique ne transmet pas les données entre les versions du système, à moins que ce soit nécessaire pour réaliser les fins visées. Elles devraient également veiller à ce que les bases de données contenant des renseignements biométriques utilisées à des fins précises ne permettent pas d’accéder à d’autres renseignements personnels qui ne sont pas nécessaires pour la réalisation de ces fins, à moins qu’il existe une justification légale claire de le faire.
Limiter la conservation : Les renseignements biométriques ne devraient être conservés que pendant la période requise pour réaliser les fins visées et être traités conformément à toute obligation légale, après quoi ils devraient être détruits de façon permanente, quel que soit l’endroit où elles se trouvent, notamment les appareils, le stockage infonuagique et les sauvegardes. Cette condition s’applique aussi aux renseignements biométriques qui sont recueillis, utilisés ou conservés par un tiers agissant en votre nom.
En général, les institutions sont tenues de conserver les renseignements personnels pendant au moins deux ans après leur utilisation à des fins administratives afin d’offrir à la personne concernée une possibilité raisonnable d’accéder à ces renseignements, à moins que l’intéressé ne consente à ce qu’ils soient éliminés plus tôt. La durée de conservation est aussi régie par le calendrier de conservation des renseignements et les exigences en matière de gestion de l’information de valeur commerciale.
Distinguer les renseignements biométriques des autres renseignements personnels pour déterminer leur période de conservation : Les renseignements biométriques sont utilisés à des fins précises, et leur période de conservation devrait être différente de celle des autres renseignements personnels. La période de conservation des renseignements biométriques et celle des renseignements personnels auxquels ils sont liés (par exemple, un nom, une date de naissance ou un échantillon biométrique) devraient être différentes si les renseignements personnels sont nécessaires pendant plus, ou moins, longtemps que les renseignements biométriques.
Détruire les échantillons biométriques qui ne sont plus nécessaires : Une fois le gabarit biométrique créé, les données sources (par exemple, les photographies ou les vidéos) qui ont servi à sa création devraient être détruites si elles ne sont plus nécessaires aux fins de conformité opérationnelle ou légale. Dans certains cas, il peut être nécessaire de conserver des échantillons biométriques après la création du gabarit afin de pouvoir tester ou mettre à jour le système ou encore procéder à un examen manuel.
Supprimer les renseignements biométriques si on en fait la demande : Lorsque c’est possible de le faire du point de vue légal et opérationnel, si une personne retire son consentement à l’utilisation de ses renseignements biométriques, l’institution devrait supprimer tous les renseignements biométriques qu’elle a recueillis à son sujet, y compris tout renseignement personnel découlant de l’analyse de ces renseignements biométriques. Les institutions devraient également demander aux tierces parties auxquelles elles ont transmis les renseignements de les supprimer.
Mesures de sécurité
La prise de mesures de sécurité désigne la mise en place de mesures visant à protéger les renseignements personnels contre la perte, le vol ou tout accès, tout usage, toute communication, toute copie ou toute modification non autorisés. Comme il est précisé dans la Directive sur les pratiques relatives à la protection de la vie privée (paragraphe 4.2.31), les institutions fédérales doivent avoir des mesures de protection appropriées contre la communication ou l’usage non autorisé des renseignements personnels.
Les renseignements biométriques, comme tout autre type de renseignements personnels, ne sont pas à l’abri des atteintes à la vie privée (ci-après « atteintes »).
La technologie biométrique en soi peut également servir à protéger d’autres renseignements personnels. Lorsqu’elle est utilisée à cette fin, la biométrie est vulnérable aux attaques par mystification, où des données fausses sont présentées dans le but de tromper un système biométrique. L’apprentissage profond et la technologie des réseaux neuronaux peuvent être utilisés pour fabriquer de manière convaincante les renseignements biométriques d’une personne afin de déjouer les technologies d’identification. Le recours accru aux hypertrucages, à la synthèse vocale et à d’autres techniques de vol d’identité qui utilisent des renseignements biométriques pourrait également servir à compromettre les comptes ou l’identité de personnes.
Vous devez
Prendre des mesures matérielles, administratives et techniques pour vous protéger contre les différentes façons dont une atteinte pourrait se produire. Les vulnérabilités de sécurité précises peuvent varier en fonction de la technologie biométrique utilisée et de la façon dont les renseignements sont recueillis, utilisés et communiqués. Par exemple, les empreintes digitales peuvent laisser des traces latentes qui peuvent être relevées par des personnes malveillantes, et certaines technologies biométriques sont plus faciles à mystifier que d’autres.
Examinez et mettez à jour périodiquement les mesures de sécurité afin qu’elles soient à même de prévenir les menaces et les vulnérabilités changeantes, notamment les risques propres à la technologie de biométrie choisie par l’institution.
Contrôler l’accès au système : Ne rendez les renseignements biométriques accessibles qu’aux employés qui en ont réellement besoin dans le cadre de leur travail. Les institutions devraient mettre en place un système d’autorisation pour examiner les demandes et accorder l’accès.
Surveiller et documenter l’accès au système : Selon la Directive sur les pratiques relatives à la protection de la vie privée (paragraphe 4.2.32) du SCT, les institutions doivent prendre des mesures appropriées pour surveiller et documenter l’accès aux renseignements biométriques. Les institutions devraient aussi tenir des registres des accès aux systèmes biométriques. Selon l’utilisation qu’elles font de la biométrie, les institutions devraient aussi envisager la mise en place d’un système de détection des anomalies qui avise automatiquement les administrateurs du système biométrique de toute activité inhabituelle pouvant indiquer une atteinte à la sécurité.
Signaler les atteintes : Lorsque des renseignements biométriques sensibles sont visés par une atteinte à la vie privée, il est fort probable que celle-ci puisse répondre au critère d’atteinte substantielle à la vie privée. Il s’agit d’une atteinte qui pourrait vraisemblablement entraîner un risque réel de préjudice grave pour une personne. Toute atteinte considérée comme une atteinte substantielle à la vie privée doit être signalée au Commissariat et au SCT.
Vous devriez
Utiliser des systèmes biométriques conçus pour protéger la vie privée : Qu’une institution mette au point son propre système biométrique ou qu’elle ait recours à la technologie d’un tiers fournisseur de services, elle devrait veiller à ce que des mesures de protection de la vie privée y soient intégrées dès la conception. Si une institution fait appel à un tiers fournisseur de services, elle devrait comprendre les risques à la sécurité inhérents à cette pratique et les stratégies d’atténuation mises en place par les fournisseurs de technologie.
Tenez compte des caractéristiques de conception suivantes lorsque vous mettez au point ou choisissez un système biométrique :
- Biométrie annulable : Il s’agit de gabarits biométriques qui déforment les données pour empêcher qu’elles soient reconverties vers les renseignements biométriques d’origine. Cela permet d’associer plusieurs gabarits aux mêmes renseignements biométriques de sorte que les gabarits puissent être révoqués (comme un mot de passe) s’ils sont compromis. Il peut aussi être impossible de relier le gabarit de sorte que différents gabarits biométriques appartenant à une même personne ne puissent pas être reliés entre eux. Les institutions devraient aussi envisager d’utiliser un format de gabarit unique à leur système de biométrie afin qu’il ne puisse pas être utilisé par autrui.
- Technologies d’amélioration de la confidentialité : Selon l’utilisation de la biométrie, des méthodes comme le chiffrement homomorphe peuvent être utilisées pour effectuer la mise en correspondance biométrique sans devoir recourir au déchiffrement du gabarit biométrique. Pour en savoir plus sur le chiffrement homomorphe, consultez notre blogue à ce sujet.
- Chiffrement : La technologie de chiffrement de bout en bout peut être utilisée pour protéger les renseignements biométriques durant toutes les étapes de leur cycle de vie, notamment leur stockage, mais aussi leur transmission.
Effectuer des essais et des évaluations de la vulnérabilité : Les institutions ou un tiers qualifié devraient évaluer les systèmes biométriques afin d’assurer l’efficacité des mesures de sécurité au fil du temps et de repérer les vulnérabilités. Les essais devraient porter, d’une part, sur des variables qui dépendent de la conception du système et de son installation et, d’autre part, sur les vulnérabilités connues de la technologie biométrique choisie.
Dans le cadre de ses enquêtes, le Commissariat a recommandé que les institutions chargées de protéger des volumes importants de renseignements personnels sensibles procèdent à des tests de pénétration (au moins une fois par année). Cela comprend notamment des tests de pénétration externes (c’est-à-dire indépendants) complets et des évaluations internes exhaustives de la sécurité de leurs services en ligneNote de bas de page 4.
Exactitude
Les systèmes biométriques servent souvent à prendre des décisions administratives à propos d’une personne, par exemple à déterminer si elle est admissible à un service. Par conséquent, les faux positifs et les faux négatifs peuvent avoir des conséquences importantes pour une personne qui peuvent aller jusqu’à une atteinte à ses droits.
Conformément à la LPRP, les institutions fédérales sont tenues de veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elles utilisent à des fins administratives soient à jour, exacts et complets. D’autres obligations sont énoncées dans la Directive sur les pratiques relatives à la protection de la vie privée (paragraphe 4.2.25) du SCT, notamment l’exigence de valider l’exactitude des renseignements personnels recueillis de façon indirecte.
Vous devez
Choisir une technologie qui offre un taux d’exactitude adéquat : Certaines technologies biométriques donnent des résultats plus exacts que d’autres. Par exemple, les systèmes basés sur la biométrie morphologique peuvent donner lieu à des taux d’exactitude plus élevés que les systèmes basés sur la biométrie comportementale lorsqu’ils sont utilisés aux fins de reconnaissance. Bien que de nombreux systèmes biométriques présentent un faible taux d’erreur, un petit nombre d’erreurs peut devenir lourd de conséquences lorsque le système est utilisé à plus grande échelle. Les répercussions des inexactitudes peuvent également dépendre de la nature et de l’importance des décisions qui sont prises. C’est la responsabilité d’une institution de veiller au respect des normes d’exactitude pertinentesNote de bas de page 4 et de choisir des systèmes biométriques dont les taux d’erreur sont appropriés et acceptables dans les circonstances. En général, plus les conséquences d’une erreur peuvent être graves pour les personnes, plus le système biométrique d’une institution devrait être exact.
Réduire au minimum les écarts de rendement entre les groupes sociodémographiques : L’exactitude et l’efficacité des technologies biométriques peuvent varier selon la race, le sexe, l’âge et d’autres caractéristiques. Les institutions doivent veiller à ce que leur utilisation de la biométrie n’entraîne pas, pour certains groupes de personnes, de la discrimination dans une mesure qui serait contraire aux droits de la personne.
Vous devriez
Mettre à l’essai le système avant sa mise en service : Les systèmes biométriques peuvent avoir un rendement bien différent dans des conditions réelles que dans un environnement de test en laboratoire. Les institutions devraient mettre à l’essai leur système biométrique sur des données opérationnelles pertinentes pour vérifier qu’ils sont suffisamment exacts pour les fins visées avant d’aller de l’avant avec leur programme ou leur initiative. Vous devriez notamment faire en sorte que le rendement du système ne varie pas selon le groupe démographique pour réduire au minimum le risque de biais. Ces essais devraient être effectués par une personne ou une entité ayant l’expertise nécessaire.
Durant les essais, les institutions doivent respecter toutes les obligations en matière de protection de la vie privée liées à leur utilisation de la biométrie, et ce, même si l’initiative n’est pas encore lancée. Elles doivent entre autres s’assurer d’avoir l’autorité légitime de recueillir, d’utiliser ou de communiquer des renseignements biométriques.
Les institutions devraient éviter de se fier uniquement aux déclarations d’un fournisseur de technologies biométriques pour veiller à ce que leur utilisation du système réponde aux obligations en matière d’exactitude. Dans la mesure du possible, vous devriez étayer l’information donnée par le fournisseur et tirée de vos propres essais par les résultats d’une recherche et d’essais menés par un expert indépendant.
Assurer une surveillance constante : Des changements mineurs dans les facteurs environnementaux peuvent influer sur l’exactitude des systèmes biométriques. Par exemple, un changement dans l’éclairage ambiant ou la position d’une caméra peut avoir une incidence sur l’exactitude des systèmes de reconnaissance faciale. Des changements à la technologie elle-même peuvent aussi avoir des répercussions sur l’exactitude des systèmes, par exemple la mise à jour d’un logiciel par un fournisseur. Il est donc important que les institutions vérifient régulièrement l’exactitude de leurs systèmes biométriques et apportent en continu les modifications nécessaires pour respecter les obligations en matière d’exactitude.
Généralement, l’utilisation de renseignements biométriques pour mettre à l’essai le système biométrique d’un fournisseur ou vérifier qu’il répond aux fins visées constitue une utilisation compatible avec ces fins.
Établir une procédure pour le traitement des fausses correspondances : Les systèmes biométriques ne peuvent garantir l’exactitude en tout temps. Les institutions devraient donc être prêtes à réagir au cas où leur système fournit un faux négatif, un faux positif ou une non-correspondance. Dans ces cas-là, les institutions devraient proposer en temps opportun une autre méthode d’identification, régler le problème pour les personnes touchées, prendre des mesures pour que la situation ne se reproduise pas et veiller à ce que l’erreur n’entraîne pas de biais systémiques.
Responsabilité
Les institutions sont responsables des renseignements personnels qui relèvent d’elles. La responsabilité est définie dans la LPRP ainsi que par le processus d’EFVP et les instruments de politique à l’appui, notamment la Politique sur la protection de la vie privée et la Directive sur les pratiques relatives à la protection de la vie privée.
Les institutions sont également responsables de la communication des renseignements personnels à d’autres organisations, y compris d’autres institutions publiques et des entités du secteur privé. Ces communications doivent être faites conformément aux exigences de la Directive sur les pratiques relatives à la protection de la vie privée, y compris l’exigence d’établir un contrat, un accord d’échange de renseignements ou une entente d’échange de renseignements avant la communication de renseignements personnels (paragraphe 4.2.33). Vous trouverez des précisions du SCT dans les documents d’orientation pour aider à préparer des ententes d’échange de renseignements personnels et sur la prise en compte de la protection des renseignements personnels avant de conclure un marché.
Vous devez
Veiller à ce que les tiers fournisseurs de services soient responsables : Avant d’établir une relation d’affaires avec un tiers fournisseur de services, les institutions doivent faire preuve de diligence raisonnable et vérifier qu’il est responsable et agit de façon conforme à la loi. Si ces parties donnent accès à une base de données contenant des renseignements biométriques, les institutions sont tenues de s’assurer que la collecte initiale et leur utilisation des renseignements sont conformes aux lois sur la protection des renseignements personnels. Cette obligation s’applique également aux institutions fédérales avec lesquelles vous avez conclu des partenariats.
Si une institution sous-traite une partie de son programme de biométrie, elle doit voir à ce que le sous-traitant respecte les obligations prévues par la LPRP auxquelles elle est elle-même assujettie et à ce qu’il n’utilise pas à ses propres fins les renseignements personnels qu’il traite au nom de l’institution.
Les institutions qui envisagent de conclure un marché avec une organisation du secteur privé devraient consulter le document d’orientation du SCT intitulé Prise en compte de la protection des renseignements personnels avant de conclure un marché. Ce document contient de l’information sur le critère d’atteinte à la vie privée selon lequel l’initiative de biométrie sera évaluée en fonction du degré de sensibilité des renseignements personnels, des attentes des personnes concernées ainsi que de la possibilité et de la gravité d’un préjudice.
Les institutions doivent aussi respecter les obligations relatives à la conclusion de marchés avec des tiers énoncées dans la Directive sur les pratiques relatives à la protection de la vie privée (paragraphe 4.2.33) du SCT.
Rapport de conclusions d’une enquête menée en vertu de la LPRP
Dans le cadre de son enquête sur le recours par la GRC aux services de Clearview AI, le Commissariat a constaté que la GRC n’avait pris aucune mesure concrète pour vérifier le caractère légitime de la collecte de renseignements sur la population canadienne auprès de Clearview. Aussi, nous avons conclu que la GRC a l’obligation de s’informer du caractère licite des pratiques de collecte des renseignements personnels des partenaires auprès desquels elles recueillent ce genre de renseignements.
Officialiser votre relation avec vos autres partenaires : Concluez des marchés avec les fournisseurs de services biométriques du secteur privé et des ententes d’échange de renseignements avec les institutions avec lesquelles vous échangez des renseignements biométriques.
Établir si votre initiative de biométrie est assujettie à la Directive sur la prise de décisions automatisée : Si une institution a recours à la biométrie pour prendre des décisions automatisées à propos d’une personne, elle devrait consulter la Directive sur la prise de décisions automatisée et vérifier si elle doit effectuer une évaluation de l’incidence algorithmique.
Élaborer de solides plans d’intervention en cas d’atteinte : La Directive sur les pratiques relatives à la protection de la vie privée (paragraphe 4.1.4) du SCT prévoit que les institutions doivent être prêtes à intervenir en cas d’atteinte à la vie privée et établit des procédures obligatoires à suivre en cas d’atteinte, notamment l’obligation de signaler une atteinte et de tenir un registre des atteintes. Pour être prêtes à faire face à un tel scénario, les institutions devraient élaborer des procédures rigoureuses, efficaces et précises concernant les mécanismes de signalement et les mesures correctives à prendre. Si des tiers ou plusieurs ministères participent à l’initiative de biométrie, ces procédures doivent tenir compte des rôles et des responsabilités de chacun. Le Commissariat a élaboré un document d’orientation sur les mesures à prendre pour réagir à une atteinte à la vie privée qui concerne une institution fédérale.
Vous devriez
Consulter les responsables et les parties prenantes en matière de protection de la vie privée : Lorsqu’elles élaborent des initiatives de biométrie, les institutions devraient demander conseils et avis aux experts et aux responsables de la protection des renseignements personnels au sein de leur institution. Elles pourraient par exemple se tourner vers l’équipe responsable de la protection des renseignements personnels, le bureau de l’accès à l’information et de la protection des renseignements personnels ou encore leur chef de la protection des renseignements personnels. Dans la mesure où l’utilisation de la biométrie peut avoir des répercussions sur les droits fondamentaux des personnes, les institutions devraient envisager de consulter les parties prenantes externes appropriées pour mieux comprendre les risques auxquelles elles s’exposent et orienter leurs stratégies de réduction des préjudices.
Intégrer la capacité d’auditer les entrepreneurs : En matière de biométrie, les organisations devraient intégrer le droit d’auditer et d’inspecter la manière dont un tiers traite les renseignements personnels dans le cadre du marché conclu avec ce dernier et y inclure des mesures à prendre en cas de non-respect du marché.
Établir un cadre de gouvernance rigoureux : Les institutions devraient baliser leur utilisation de la biométrie au moyen d’un cadre de gouvernance exhaustif comprenant des mesures de responsabilisation interne relatives à l’accès aux renseignements biométriques et à leur utilisation. Elles devraient aussi mener des évaluations périodiques pour assurer le respect continu des exigences en matière de protection de la vie privée, y compris des vérifications systématiques pour éviter que des données non pertinentes soient recueillies et pour veiller à ce que les renseignements biométriques soient adéquatement conservés et détruits.
Fournir à votre personnel l’information et le soutien appropriés : Les institutions devraient veiller à ce que les employés responsables de la gestion des renseignements biométriques aient la formation, l’orientation et la supervision appropriées pour pouvoir assumer leurs fonctions.
Établir des conditions de suspension de l’utilisation de la biométrie : Avant d’aller de l’avant avec l’utilisation de la biométrie, les institutions devraient définir les circonstances dans lesquelles elles cesseront ou suspendront l’utilisation de la technologie. Il peut s’agir de l’apparition d’indicateurs montrant que l’efficacité ou l’exactitude ne sont pas conformes aux attentes, ou de cas d’accès ou d’utilisation non autorisés.
Faire preuve de responsabilité : Les institutions devraient être prêtes à démontrer aux organismes de réglementation qu’elles respectent les lois applicables sur la protection des renseignements personnels. Elles devraient être prêtes à montrer des documents relatifs à la conception du système et aux mesures qu’elles ont prises pour garantir le respect de la vie privée.
Envisager de consulter le Commissariat : Si une institution a des doutes quant à son programme de biométrie, elle peut envisager de communiquer avec la Direction de la promotion et de la mobilisation du Commissariat pour demander une consultation.
Transparence
Faites preuve d’ouverture et de transparence avec les personnes sur la manière dont vous gérez les renseignements personnels. Selon la Directive sur les pratiques relatives à la protection de la vie privée (paragraphe 4.2.20), les personnes dont les renseignements personnels font l’objet d’une collecte doivent être directement avisées des éléments clés relatifs à l’initiative.
Vous devez
Publier un énoncé de confidentialité : Avisez la personne, dont les renseignements biométriques font l’objet d’une collecte directe, des éléments suivants : les fins de la collecte et en vertu de quelle autorité légitime elle est faite, tout usage ou toute communication compatible avec la fin originale, toute conséquence sur le plan administratif ou juridique découlant du refus de fournir les renseignements biométriques, les droits d’accès, de correction et de protection, et la description du fichier de renseignements personnels (FRP) dans Info Source.
Informer les personnes de la possibilité de porter plainte auprès du Commissariat : Votre énoncé de confidentialité doit inclure des renseignements sur le droit de la personne de déposer une plainte auprès du Commissariat concernant ses préoccupations en matière de protection de la vie privée.
Produire des rapports publics : Tous les fonds de renseignements biométriques dont vous avez la charge doivent figurer dans vos rapports publics sur les FRP et les catégories de renseignements personnels, notamment sur Info Source et dans vos descriptions des FRP. Les descriptions de l’inventaire doivent être suffisamment claires et précises pour faciliter l’exercice du droit d’accès prévu par la LPRP.
Aviser le Commissariat de tout nouvel usage compatible : Au titre du paragraphe 9(4) de la LPRP, les institutions doivent aviser le Commissariat si elles utilisent des renseignements biométriques à des usages compatibles qui ne sont pas indiqués dans un FRP.
Vous devriez
Faire preuve de transparence concernant vos obligations légales : Dans la mesure du possible, vous devriez aviser d’emblée les personnes concernées des situations où vous ne pouvez pas supprimer des renseignements personnels sur demande en raison d’autres obligations légales. Vous devriez aussi expliquer cette contrainte en réponse à toute demande de suppression, en citant la disposition législative pertinente.
Publier des explications relatives au programme : En plus de l’énoncé de confidentialité, vous devriez publier de l’information sur votre utilisation de la biométrie dans le cadre du programme sur le site Web de votre institution ou dans un autre format facilement accessible, afin de faire preuve de transparence et de favoriser la confiance du public. Vous devriez notamment, selon le cas, expliquer le fonctionnement du système biométrique, donner un aperçu des renseignements recueillis et de leur utilisation, décrire les mesures prises pour atténuer les biais et les inexactitudes et énoncer les politiques internes établissant les circonstances dans lesquelles les renseignements biométriques d’une personne sont recueillis, utilisés et communiqués.
Vous devriez aussi publier annuellement des mesures relatives à l’utilisation par votre institution de la biométrie dans le cadre du programme, à moins que cela ne soit pas compatible avec les circonstances opérationnelles. Ces données devraient comprendre le nombre de personnes dont les renseignements biométriques sont recueillis et des indicateurs de l’efficacité du système biométrique (par exemple, les taux de faux positifs connus et le nombre de correspondances positives).
Expliquer les décisions automatisées : Soyez prêt à fournir aux personnes qui pourraient faire l’objet d’une décision automatisée basée sur la biométrie des renseignements clés sur le système biométrique et son utilisation. Il faudrait fournir, entre autres, les renseignements biométriques utilisés pour prendre la décision, la façon dont ils ont été recueillis et les principales raisons qui ont mené à la décision. Pour en savoir plus sur les obligations des institutions relativement aux décisions automatisées, consultez la Directive sur la prise de décisions automatisée (paragraphe 6.2.3) du SCT.
Le Commissariat invite les organisations et le public à faire parvenir leurs commentaires sur le présent document d’orientation. Veuillez envoyer vos commentaires ou questions à ce sujet à l’adresse retroactionpolitique-policyfeedback@priv.gc.ca.
- Date de modification :