Document d’orientation à l’intention des entreprises sur le traitement des renseignements biométriques

Publié : 2025

Public cible : Organisations du secteur privé

Fondement juridique : Loi sur la protection des renseignements personnels et les documents électroniques

Diffusion : Commissariat à la protection de la vie privée du Canada

État d’avancement :

Consultation publique

Analyse des commentaires

Adoption du document d’orientation

Survol

Dans l’environnement numérique d’aujourd’hui, les organisations cherchent à fournir un accès plus efficace à des biens et à des services, tout en s’adaptant aux nouveaux risques en matière de sécurité. La biométrie s’est imposée comme un moyen d’atteindre cet objectif en utilisant les traits particuliers d’une personne pour l’identifier ou l’authentifier. Elle est souvent considérée comme une solution dans un monde où les personnes doivent de plus en plus créer des mots de passe différents et s’en souvenir, et prouver leur identité.

L’avenir prometteur de la biométrie s’accompagne toutefois de sérieuses préoccupations en ce qui concerne la protection de la vie privée. Les renseignements biométriques sont intimement liés au corps d’une personne, et souvent, ils sont particuliers à chaque personne, peu susceptibles de varier de manière importante au fil du temps, et ont des caractéristiques intrinsèques qui sont difficiles à modifier. Les renseignements biométriques peuvent servir à surveiller les gens. De plus, s’ils sont compromis, ils peuvent exposer les personnes à la fraude et au vol d’identité. Ils peuvent également révéler des renseignements sensibles sur une personne, notamment des traits de personnalité, des renseignements sur la santé et d’autres caractéristiques comme la race, les handicaps et le sexe, et permettre d’établir des relations biologiques familiales. Les difficultés que pose l’exactitude de certaines technologies biométriques n’étant plus à démontrer, les cas où elles servent à prendre des décisions automatisées au sujet des personnes sont d’autant plus préoccupants.

Le présent document offre une orientation sur les obligations des organisations en matière de protection de la vie privée lorsqu’elles traitent des renseignements biométriques. Même si ce document porte sur certains des principaux éléments à prendre en considération, il revient aux organisations de comprendre toutes les obligations qui leur incombent selon les lois et les règlements applicables. Par exemple, le Québec a imposé une obligation de divulgation à la Commission d’accès à l’information du Québec dans le cas des processus qui comportent des renseignements biométriques.

Technologie biométrique

La « biométrie » désigne la quantification de caractéristiques humaines en termes mesurables. Les technologies biométriques sont utilisées à diverses fins, notamment la reconnaissance et la classification, qui sont décrites ci-dessous.

Il existe deux principaux types de technologies biométriques :

La biométrie physiologique porte sur les caractéristiques morphologiques (forme ou structure du corps) et biologiques d’une personne qui demeurent relativement inchangées au fil du temps. Il s’agit notamment des empreintes digitales, des motifs de l’iris, de la géométrie faciale et de l’ADN.
La biométrie comportementale porte sur les caractéristiques qui distinguent les mouvements, les gestes et les capacités motrices d’une personne. Il s’agit notamment des habitudes de frappe au clavier, de la démarche, de la voix et des mouvements oculaires.

Ces caractéristiques biométriques peuvent être recueillies et analysées à l’aide d’un système biométrique. Les systèmes biométriques extraient des caractéristiques d’échantillons biométriques, qui sont des données contenant des représentations de caractéristiques biométriques non traitées. Un échantillon biométrique peut notamment être une photographie du visage d’une personne, un enregistrement de sa voix ou un échantillon de son ADN. Les échantillons peuvent être ajoutés au système biométrique manuellement (par exemple, par le téléversement d’une image) ou automatiquement (par exemple, à l’aide d’un logiciel sur un ordinateur pour enregistrer les habitudes de frappe au clavier d’un utilisateur).

Une fois qu’un échantillon a été ajouté au système, les caractéristiques biométriques sont extraites par la conversion des données de l’échantillon dans un format qui peut être analysé dans un but précis. Ce processus comprend souvent la création d’un gabarit biométrique, qui est un format permettant de représenter des ensembles de caractéristiques biométriques extraites pour qu’ils puissent faire l’objet d’une analyse approfondie. L’extraction et l’analyse ou la comparaison des gabarits s’effectuent généralement à l’aide d’un logiciel spécialisé conçu à cette fin.

Reconnaissance biométrique

La reconnaissance est une utilisation courante de la technologie biométrique. Les systèmes biométriques utilisés aux fins de reconnaissance sont configurés de manière à comparer un gabarit d’un échantillon biométrique (souvent appelé « gabarit de comparaison ») avec au moins un gabarit extrait d’autres échantillons biométriques. Le système estime ensuite la probabilité qu’au moins deux gabarits correspondent à la même personne.

Lorsque la technologie biométrique sert aux fins de vérification, le gabarit de comparaison est comparé avec un seul autre gabarit afin de déterminer s’ils sont rattachés à la même personne. C’est pourquoi le processus de vérification est parfois appelé comparaison « d’un à un ».
Lorsque la technologie biométrique sert aux fins d’identification, le gabarit de comparaison est comparé avec de nombreux autres gabarits afin de déterminer s’il y a concordance avec l’un d’eux. C’est pourquoi le processus d’identification est parfois appelé comparaison « d’un à plusieurs ».

Les systèmes de reconnaissance impliquent généralement l’enregistrement des gabarits des personnes dans une base de données de référence afin de les comparer avec d’autres gabarits. Lorsque la technologie biométrique sert aux fins de vérification, la base de données de référence ne contient qu’un gabarit de référence, tandis qu’elle contient de nombreux gabarits lorsque la technologie sert aux fins d’identification. La base de données de référence utilisée lorsque la technologie sert aux fins d’identification contient souvent des renseignements supplémentaires permettant d’identifier une personne, notamment son nom.

Parmi les exemples d’utilisation de la technologie biométrique aux fins de reconnaissance, mentionnons l’utilisation d’une empreinte digitale pour accéder à un immeuble, l’utilisation de l’image faciale pour déverrouiller un téléphone et l’utilisation de l’ADN pour identifier une personne. Dans toutes ces situations, les gabarits de comparaison sont comparés avec un ou plusieurs gabarits de référence pour estimer la probabilité d’une correspondance. Si la probabilité est suffisamment élevée, la correspondance peut alors être considérée comme confirmée pour les besoins du système.

Classification biométrique

Un domaine émergent de la technologie biométrique porte sur l’estimation de certains attributs propres à une personne, par exemple son âge ou son sexe, en fonction de ses caractéristiques biométriques. On l’appelle communément la « classification biométrique ». Dans ce contexte, le système biométrique extrait des caractéristiques biométriques d’un échantillon et les analyse pour prédire la valeur d’un attribut donné.

Prédire le sexe, l’âge ou le degré de fatigue d’une personne à partir d’une image faciale, établir si un ensemble d’habitudes de frappe au clavier correspond à un humain ou à un robot ou examiner une séquence d’ADN pour détecter des problèmes de santé potentiels constituent des exemples de classification biométrique.

Bien que ces utilisations de la biométrie ne visent pas nécessairement à identifier des personnes, les caractéristiques biométriques en cause peuvent quand même permettre d’identifier précisément une personne.

Renseignements biométriques

Aux fins du présent document d’orientation, les renseignements biométriques sont des renseignements concernant des caractéristiques biométriques qui sont extraits d’un échantillon biométrique. En général, les renseignements biométriques sont des renseignements personnels^{Note de bas de page 1}.

Les échantillons biométriques contiennent des renseignements personnels pouvant être convertis en renseignements biométriques. Ces renseignements deviennent des renseignements « biométriques » seulement une fois qu’ils ont été traités à l’aide d’un système biométrique. Les photographies, les enregistrements vidéo et les observations comportementales ne sont pas nécessairement des renseignements biométriques en soi. Les renseignements concernant des caractéristiques humaines qui sont extraits de ces sources et quantifiés en termes mesurables sont des renseignements biométriques.

Caractère sensible

Les renseignements biométriques qui permettent d’identifier précisément une personne sont des renseignements sensibles, quel que soit le contexte dans lequel ils sont recueillis, utilisés ou communiqués. En effet, ces renseignements restent inchangés au fil du temps, sont difficiles à modifier et sont intimement liés à l’identité d’une personne.

Les renseignements biométriques qui ne permettent pas d’identifier précisément une personne peuvent être sensibles ou non, selon les circonstances. Par exemple, il est possible que certains renseignements biométriques permettent d’établir des caractéristiques générales qui sont communes à de nombreuses personnes, notamment la couleur des yeux, des indicateurs d’âge ou des traits comportementaux très généraux.

Si ces renseignements ne permettent pas d’identifier précisément une personne, ils ne sont pas automatiquement considérés comme sensibles seulement parce que ce sont des renseignements biométriques. Cependant, ces renseignements peuvent quand même être sensibles pour d’autres raisons. Par exemple, un moniteur d’activité physique peut recueillir certains renseignements biométriques qui ne permettent pas d’identifier précisément une personne, mais qui peuvent quand même être sensibles s’ils révèlent de l’information sur l’état de santé d’une personne.

En général, les renseignements biométriques devraient être considérés comme sensibles dans les cas suivants :

ils sont, ou peuvent facilement être, combinés à d’autres renseignements qui permettraient d’identifier précisément une personne;
une mauvaise utilisation de ces renseignements pourrait poser un risque élevé de préjudice pour une personne;
ils pourraient révéler d’autres catégories de renseignements qui sont considérés comme sensibles (des renseignements médicaux, par exemple).

Les renseignements biométriques peuvent aussi être sensibles dans d’autres situations. Consultez le bulletin d’interprétation sur les renseignements sensibles du Commissariat pour en savoir plus.

Il est important de garder en tête que les renseignements biométriques peuvent être sensibles même s’ils ne sont utilisés ou conservés que pour une brève période. Par exemple, un système de reconnaissance faciale qui attribue une représentation numérique unique à un visage en particulier lorsqu’il analyse une image peut nécessiter la collecte de renseignements biométriques sensibles (la représentation numérique de caractéristiques faciales), même s’il supprime ces renseignements après quelques millisecondes.

Orientation

Établissement de fins acceptables

Préciser les fins que vous tentez de réaliser est l’une des premières étapes de la planification d’une initiative de biométrie. Vous devez ensuite évaluer si les fins de cette initiative sont acceptables dans les circonstances. Les fins doivent être acceptables même si une personne consent à la collecte, à l’utilisation ou à la communication de ses renseignements biométriques à ces fins.

Pour établir le caractère acceptable, il faut effectuer une évaluation contextuelle. Afin d’orienter cette évaluation, vous devriez évaluer et modifier le programme de biométrie proposé au moyen des critères ci-dessous^{Note de bas de page 2}.

Le Commissariat a établi que certaines fins de la collecte, de l’utilisation et de la communication de renseignements personnels sont généralement considérées comme inacceptables. À titre d’exemples, mentionnons les fins qui causent ou sont susceptibles de causer un préjudice grave ainsi que celles impliquant du profilage ou une catégorisation donnant lieu à un traitement injuste, contraire à l’éthique ou discriminatoire. Avant de poursuivre, veillez à ne pas utiliser la biométrie à des fins qui se situent dans l’une des « zones interdites » du Commissariat.

N’ayez pas recours à la biométrie si vous n’avez pas la certitude qu’elle est acceptable dans les circonstances. Si votre organisation ne peut démontrer que la collecte, l’utilisation ou la communication de renseignements biométriques répond aux critères ci-dessous, l’initiative ne devrait pas aller de l’avant.

Besoin légitime	Les fins de votre collecte, de votre utilisation ou de votre communication de renseignements biométriques doivent représenter un besoin légitime. Autrement dit, votre organisation doit avoir une raison d’utiliser des renseignements biométriques qui est clairement formulée et liée à des intérêts commerciaux légitimes^{Note de bas de page 3}. Vous ne devez recueillir des renseignements biométriques qu’à des fins bien établies. Les renseignements personnels ne doivent pas être recueillis dans un but spéculatif ou prospectif à déterminer ultérieurement.
Efficacité	Veillez à ce que le programme ou l’initiative de biométrie proposé permette de réaliser efficacement les fins que vous avez établies. Vous devez être convaincu que le programme de biométrie sera efficace et fiable dans son ensemble et avoir un plan précis pour en mesurer l’efficacité. Le programme doit être conçu de façon à réaliser les fins visées par son déploiement. Tenez compte de la validité scientifique et technique de la méthode ou du processus, de l’exactitude de la technologie et des taux d’erreur ainsi que du risque que la technologie biométrique soit compromise ou contournée.
Atteinte à la vie privée minimale	Déterminez s’il existe des moyens portant moins atteinte à la vie privée qui permettent de réaliser les fins visées sans impliquer la collecte, l’utilisation ou la communication de renseignements biométriques. Est-il prouvé que les autres moyens portant moins atteinte à la vie privée ne permettent pas d’atteindre le même objectif à un coût comparable et d’obtenir des avantages comparables? De façon générale, la biométrie ne devrait pas être utilisée uniquement pour des raisons de commodité pour l’organisation qui la déploie si d’autres solutions qui respectent davantage la vie privée peuvent être mises en œuvre. Pensez aux mesures qui peuvent être prises pour réduire le plus possible les intrusions dans la vie privée. Vous pouvez notamment envisager d’utiliser des renseignements biométriques moins sensibles ou de limiter le rôle de la biométrie dans le programme proposé.
Proportionnalité	Évaluez si les répercussions du programme ou de l’initiative de biométrie sur la protection de la vie privée sont proportionnelles aux avantages obtenus. Les gains d’efficacité, les économies ou les avantages opérationnels sont-ils proportionnels au degré accru d’intrusion par rapport à une solution qui ne fait pas appel à une technologie biométrique? Les initiatives qui nécessitent la collecte, l’utilisation et la communication de renseignements biométriques peuvent avoir des répercussions importantes sur la protection de la vie privée. Les avantages de votre programme de biométrie doivent être proportionnels aux répercussions. Veillez à ce que le programme de biométrie soit aussi proportionnel dans sa conception, c’est-à-dire qu’il ait une portée restreinte, plutôt que l’inverse. Les programmes de biométrie qui, par leur conception, analysent de grandes quantités de renseignements biométriques, sont plus susceptibles d’avoir des répercussions disproportionnées sur la protection de la vie privée que les programmes qui ont recours aux collectes et aux utilisations ciblées. La prise de mesures techniques et d’autres mesures de protection constitue un important facteur permettant d’atténuer les répercussions du recours à la biométrie sur la protection de la vie privée. Toutefois, à elles seules, des mesures de sécurité adéquates ne peuvent pas rendre acceptable la collecte, l’utilisation ou la communication de renseignements biométriques.

Le Commissariat a appliqué ces critères aux initiatives de biométrie dans de précédents rapports de conclusions d’enquête, qui peuvent être utiles pour effectuer votre propre évaluation des fins acceptables :

Rapport de conclusions en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) no 2022-003

Nous avons conclu que le programme Empreinte vocale de Rogers, qui utilise la biométrie vocale pour authentifier les détenteurs de compte qui appellent la ligne d’assistance de Rogers, constituait une solution efficace pour répondre aux besoins légitimes de l’entreprise en ce qui concerne l’authentification et la sécurité des comptes dans le contexte de menace accrue dans lequel les fournisseurs de services de télécommunications évoluent. Le programme présentait des risques d’identification limités par rapport à d’autres solutions biométriques et intégrait un certain nombre de limitations et de mesures de sécurité et de contrôle destinées à atténuer les répercussions sur la vie privée.

Rapport de conclusions en vertu de la LPRPDE no 2021-001

Dans le cadre de notre enquête conjointe sur Clearview AI avec la Commission d’accès à l’information du Québec, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l’information et à la protection de la vie privée de l’Alberta, nous avons déterminé que le ratissage d’images en ligne et la création de dispositifs de reconnaissance faciale biométrique par l’entreprise correspondaient à l’identification et à la surveillance de masse de personnes. Nous avons conclu que l’utilisation des renseignements par Clearview était à des fins inappropriées lorsque celle-ci : i) n’avait aucun lien avec les motifs pour lesquels ces images avaient été initialement publiées; ii) était souvent au détriment de la personne dont les images avaient été recueillies; iii) pouvait porter un préjudice important à ces personnes, dont la grande majorité n’a jamais été et ne sera jamais impliquée dans un crime.

Rapport de conclusions en vertu de la LPRPDE no 2008-389

Cette enquête a porté sur la collecte et l’utilisation des empreintes digitales prélevées chez des participants qui passaient un examen d’admission normalisé dans une faculté de droit, et les conclusions touchaient des questions fondées sur les critères examinés précédemment. Dans cette affaire, l’atteinte à la vie privée découlant de l’utilisation des empreintes digitales a été jugée non proportionnelle à l’avantage obtenu et, par conséquent, inacceptable.

Consentement

Une fois que vous aurez établi que les fins de votre initiative de biométrie sont acceptables dans les circonstances, vous devrez évaluer la façon d’obtenir le consentement valide des personnes. Le consentement est un élément fondamental de la LPRPDE et s’impose avant la collecte, l’utilisation et la communication de renseignements personnels (y compris dans le cas des renseignements biométriques) sous réserve de certaines exceptions.

Il est également essentiel de veiller à ce que les personnes soient correctement informées de la manière dont vous allez gérer leurs renseignements personnels. Pour que le consentement soit considéré comme valide ou éclairé, les personnes doivent avoir été informées des pratiques de l’organisation en matière de protection de la vie privée de manière détaillée et en des termes faciles à comprendre.

Vous devez

Utiliser une forme de consentement appropriée : En règle générale, si votre utilisation de la biométrie met en cause des renseignements sensibles, le consentement explicite serait la forme de consentement appropriée à obtenir pour la collecte, l’utilisation ou la communication de tels renseignements, y compris les gabarits biométriques. Le consentement explicite signifie que les renseignements biométriques ne sont pas recueillis, utilisés ou communiqués sans que la personne soit mise au courant et donne son accord de façon explicite.

Il est parfois nécessaire d’obtenir un consentement explicite, même si les renseignements ne sont pas sensibles. Le Commissariat a établi des lignes directrices pour l’obtention d’un consentement valable qui peuvent vous aider afin d’un consentement valide soit obtenu selon la forme appropriée.

Veiller à ce que le consentement soit valide : Le consentement n’est valide que s’il est raisonnable de s’attendre à ce qu’une personne comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication de ses renseignements biométriques. Bien que vous deviez mettre une description de vos pratiques de protection de la vie privée à la disposition des personnes, par exemple dans une politique de confidentialité, une telle description à elle seule peut ne pas suffire à l’obtention d’un consentement valide.

Pour que le consentement soit valide, vous devriez envisager d’intégrer le mécanisme d’obtention du consentement aux processus existants, comme l’inscription ou l’ouverture d’un compte. Des renseignements précis sur votre initiative de biométrie devraient être fournis dans le cadre de votre processus d’obtention du consentement, de façon conviviale et à un moment pertinent par rapport à la décision de la personne.

En règle générale, vous devriez fournir les renseignements suivants, mais il peut être pertinent de fournir des renseignements supplémentaires selon les circonstances :

le type de renseignements biométriques recueillis;
les fins de la collecte, de l’utilisation ou de la communication de ces renseignements;
les parties auxquelles les renseignements sont communiqués;
tout risque important de préjudice grave qui demeure malgré les efforts déployés par l’organisation en vue d’atténuer les risques.

Par exemple, si une organisation recueille les empreintes vocales des personnes qui appellent son service à la clientèle, l’ajout d’un énoncé générique comme « cet appel peut être enregistré aux fins d’identification » ne suffirait généralement pas à l’obtention d’un consentement valide, car l’énoncé n’aborde pas les éléments clés ci-dessus.

De même, obtenir le consentement à recueillir des photos ou des vidéos d’une personne ne vous permet pas automatiquement d’extraire des renseignements biométriques à partir de telles sources. Vous devez indiquer séparément et explicitement que des renseignements biométriques seront recueillis, utilisés ou communiqués.

Rapport de conclusions en vertu de la LPRPDE no 2022-003

Dans le cadre de notre enquête sur l’utilisation par Rogers du programme Empreinte vocale, nous avons conclu que l’entreprise : i) a amorcé le processus de « réglage », qui comportait la collecte de données biométriques, sans avoir d’abord obtenu un consentement valable; et, ii) n’avait pas mis en œuvre les protocoles et la surveillance qui lui auraient permis de s’assurer qu’un consentement explicite était systématiquement obtenu avant l’inscription. Nous avons en outre établi que Rogers n’offrait pas aux personnes qui souhaitaient se soustraire à la collecte et à l’utilisation de leur empreinte vocale un mécanisme clairement expliqué et facilement accessible leur permettant de le faire.

Rapport de conclusions en vertu de la LPRPDE no 2020-004

Dans le cadre d’une enquête sur La Corporation Cadillac Fairview limitée (CCFL) menée conjointement avec la commissaire à l’information et à la protection de la vie privée de l’Alberta et le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, nous avons constaté que la CCFL avait installé des caméras sur ses bornes d’orientation dans ses centres commerciaux pour recueillir et utiliser des images de visages, la représentation numérique attribuée à chaque visage et l’évaluation de la tranche d’âge et du sexe, sans obtenir le consentement valide des personnes concernées. Étant donné le caractère sensible des données en question et le fait qu’une personne ne s’attendrait pas à ce que son image ou ses données biométriques soient recueillies par une caméra discrète pendant qu’elle fait une recherche à une borne d’orientation numérique, nous avons conclu que l’obtention d’un consentement explicite était requise. Bien que des autocollants aux entrées des centres commerciaux indiquaient que les enregistrements vidéo seraient utilisés aux fins « de sûreté et de sécurité » et renvoyaient à la politique de confidentialité de l’entreprise, les autocollants ne suffisaient pas à l’obtention d’un consentement éclairé, car ils ne décrivaient pas l’ensemble des fins auxquelles les images faciales seraient utilisées.

Déterminer si la biométrie est une condition de service : Selon le principe 4.3.3 de la LPRPDE, une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements personnels autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. Autrement, pour les collectes, les utilisations et les communications non intégrales et non essentielles de renseignements, les organisations doivent donner le choix aux personnes – le recours à la biométrie est donc facultatif.

Offrir des solutions de rechange, au besoin : Dans les cas où la technologie biométrique est utilisée pour les collectes, les utilisations et les communications non intégrales et non essentielles de renseignements, vous devez offrir aux personnes d’autres méthodes d’accès ou de participation. Communiquez ces options aux personnes et ne créez pas d’obstacles qui entraveraient l’accès à ces solutions de rechange. Offrir des solutions de rechange permet également de répondre aux besoins des personnes qui hésitent à avoir recours à un système biométrique ainsi qu’à celles qui ne sont peut-être pas en mesure de recourir à de tels systèmes, par exemple en raison d’une incapacité.

Veiller à ce que la collecte auprès de tiers soit légitime : Dans les cas où la collecte de renseignements biométriques auprès de tiers est appropriée, les organisations doivent s’assurer que la loi les autorise à le faire. Pour être en mesure de vous acquitter de cette obligation, vous devriez adopter la pratique exemplaire de respecter la LPRPDE à chaque étape du processus de circulation des données, de la collecte initiale par le tiers à la communication et à l’utilisation subséquente par vous-même. Là où un consentement est requis, votre organisation devrait collaborer avec le tiers pour concevoir des méthodes d’obtention d’un consentement valide de la part des personnes pour la communication de leurs renseignements par ce tiers et pour la collecte et l’utilisation par vous-même.

Éviter de présumer que les renseignements sont des renseignements « auxquels le public a accès » : Même si les renseignements biométriques d’une personne sont accessibles au public, ils ne sont pas nécessairement exemptés de l’exigence de consentement. Au titre de l’alinéa 7(1)d) de la LPRPDE, les exceptions au consentement pour les renseignements auxquels le public a accès ne s’appliquent qu’à certaines catégories de renseignements, c’est-à-dire celles décrites dans le Règlement précisant les renseignements auxquels le public a accès.

Rapport de conclusions en vertu de la LPRPDE no 2018-002

Le Commissariat a mené une enquête sur Profile Technology Ltd., une entreprise qui a réutilisé des millions de profils d’utilisateurs canadiens de Facebook sans avoir obtenu leur consentement. Nous avons conclu que les renseignements personnels provenant des profils d’utilisateurs Facebook ne correspondaient pas à la définition de « publication » énoncée dans le Règlement précisant les renseignements auxquels le public a accès, de sorte que leur collecte et leur utilisation n’étaient pas exemptées de l’exigence de consentement.

Renouveler le consentement lorsque la portée est élargie : N’étendez pas l’utilisation des renseignements biométriques d’une personne sans avoir d’abord obtenu son consentement à cette nouvelle utilisation, à moins qu’une exception juridique valide au consentement ne s’applique. En ce sens, les organisations ne devraient pas considérer le consentement comme une exigence ponctuelle qui ne doit pas être revérifiée. L’assurance de la validité du consentement est plutôt un processus continu, et le consentement peut devoir être renouvelé au fil de l’évolution des circonstances et au fil de l’innovation, de la croissance et de l’évolution des organisations.

Limitation de la collecte

Selon le principe 4.4 de la LPRPDE, vous ne pouvez recueillir que les renseignements personnels nécessaires aux fins déterminées.

Vous devez

Utiliser le moins de caractéristiques biométriques possible : Cela comprend à la fois la quantité de caractéristiques uniques et la combinaison des caractéristiques. Par exemple, s’il est possible d’arriver aux fins visées en utilisant des points d’une seule empreinte digitale – en gardant en tête le principe 6 de la LPRPDE (Exactitude) décrit ci-dessous – vous ne devriez pas recueillir les empreintes de tous les doigts ni combiner l’empreinte avec d’autres renseignements biométriques biologiques ou comportementaux.

Rapport de conclusions en vertu de la LPRPDE no 2010-007

Dans le cadre d’une enquête concernant le Medical College Admission Test (MCAT), le Commissariat a conclu qu’il était possible d’utiliser des moyens portant moins atteinte à la vie privée pour atteindre l’objectif de prévention de la fraude dans l’examen que fait passer l’Association of American Medical Colleges (AAMC). L’AAMC a accepté de limiter les renseignements personnels qu’elle recueillait et de recueillir et de conserver les données dactyloscopiques sous forme numérique seulement, données qui devaient être converties en un gabarit numérique unique composé d’une chaîne de caractères alphanumériques et être conservées en lieu sûr. De l’avis du Commissariat, le résultat répond aux préoccupations concernant le respect tant de la vie privée que du besoin pour l’AAMC de protéger l’intégrité du MCAT.

Vous devriez

Préférer la vérification à l’identification, dans la mesure du possible : La vérification repose sur une concordance d’un à un avec les renseignements biométriques d’une personne, ce qui peut limiter la quantité de renseignements nécessaires pour obtenir des résultats exacts. Avant d’utiliser un système d’identification, vous devriez déterminer si vous ne pouvez pas plutôt réaliser les fins visées au moyen d’un système de vérification.

Tenter de laisser le contrôle du gabarit biométrique à la personne : Il existe différents formats de gabarit biométrique, et le degré de contrôle qu’ils offrent à la personne varie. Vous devriez vous efforcer de laisser le contrôle des gabarits biométriques à la personne dans la mesure où il s’agit de la solution la plus sûre qui vous permet de réaliser les fins visées. Par exemple, vous pouvez conserver le gabarit sur un appareil ou un jeton portable en possession de la personne, notamment un téléphone mobile. Vous devriez éviter de créer de grandes bases de données centralisées de renseignements biométriques si d’autres solutions sont viables. En cas d’atteinte, les bases de données centralisées s’exposent à des répercussions sur la vie privée d’une plus grande portée et d’une plus grande ampleur.

Limiter la capacité technique du système biométrique : Les systèmes biométriques doivent être conçus de manière à ne pas contenir de caractéristiques supplémentaires qui permettent une collecte de renseignements personnels plus large que ce qui est nécessaire pour réaliser les fins visées.

Limiter l’utilisation, la communication et la conservation

Selon le principe 4.5 de la LPRPDE, les renseignements biométriques ne doivent être utilisés qu’aux fins auxquelles ils ont été recueillis, à quelques exceptions près. Cette disposition s’applique autant aux renseignements biométriques contenus dans une base de données qu’aux échantillons biométriques recueillis auprès d’une personne. La LPRPDE décrit également les circonstances précises dans lesquelles les renseignements personnels peuvent être communiqués sans son consentement^{Note de bas de page 4}.

Vous devez

Vous abstenir d’extraire des renseignements secondaires sans consentement : Certains renseignements biométriques peuvent révéler des renseignements secondaires, notamment concernant la santé, l’origine ethnique ou les liens biologiques d’une personne. Vous devez obtenir le consentement nécessaire pour extraire ou analyser des renseignements biométriques secondaires, à moins qu’une exception au consentement s’applique au titre de la LPRPDE. Même si vous obtenez le consentement pour l’utilisation, vous devez quand même veiller à ce que les fins de votre utilisation soient acceptables.

Limiter la conservation : Les renseignements biométriques ne doivent être conservés que pendant la période requise pour réaliser les fins visées et être traités conformément à toute obligation légale, après quoi ils doivent être détruits de façon permanente, quel que soit l’endroit où ils se trouvent, notamment les appareils, le stockage infonuagique et les sauvegardes. Cette condition s’applique aussi aux renseignements biométriques recueillis, utilisés ou conservés par un tiers agissant en votre nom. Pour réaliser les fins visées, vous pourriez devoir utiliser ou conserver des renseignements biométriques pendant une certaine période afin de pouvoir tester le système, procéder à un examen manuel ou vérifier les mises à jour apportées au système.

Dans le cadre d’enquêtes précédentes mettant en cause des systèmes biométriques, le Commissariat a conclu que la période appropriée de conservation des renseignements dépendait du contexte. En ce qui concerne les empreintes digitales recueillies auprès de candidats à un examen, par exemple, une période de cinq ans était appropriée puisque cela correspondait à la validité des résultats de l’examen^{Note de bas de page 5}. En ce qui concerne les empreintes vocales recueillies auprès d’employés, il a été jugé approprié de conserver les renseignements biométriques pendant un mois après le départ de l’employé de l’organisation^{Note de bas de page 6}.

Dans le cadre de notre enquête conjointe sur la CCFL, nous avons constaté que MappedIn, un tiers fournisseur de services agissant pour le compte de la CCFL, a conservé à tort des représentations numériques de visages de personnes au-delà de la très courte période nécessaire pour traiter les images faciales à l’aide d’un logiciel d’analyse vidéo. Le Commissariat a noté que ni MappedIn ni la CCFL n’ont justifié la conservation de ces renseignements.

Vous devriez

Limiter l’échange de renseignements : Vous devriez utiliser un système biométrique qui ne transmet pas de renseignements à des tiers, à moins qu’il y ait une raison opérationnelle précise de le faire qui est autorisée par la loi. Les systèmes dont le fonctionnement nécessite de transmettre des renseignements biométriques à d’autres personnes doivent limiter la quantité de renseignements transmis et les parties auxquelles ils sont transmis à ceux qui sont nécessaires pour la réalisation des fins déterminées. Consultez la section « Responsabilité » pour en savoir plus sur vos responsabilités de veiller à ce que les tiers auxquels vous transmettez des renseignements ne les utilisent qu’aux fins déterminées.

Éviter la transmission entre systèmes : Vous devriez vérifier que le fournisseur du système biométrique ne transmet pas les données entre les versions du système. Vous devriez également veiller à ce que les bases de données contenant des renseignements biométriques utilisées à des fins déterminées ne permettent pas d’accéder à d’autres renseignements personnels qui ne sont pas nécessaires pour la réalisation de ces fins.

Distinguer les renseignements biométriques des autres renseignements personnels pour déterminer leur période de conservation : Les renseignements biométriques sont utilisés à des fins précises, et leur période de conservation est différente de celle des autres renseignements personnels. La période de conservation des renseignements biométriques et celle des renseignements personnels connexes (par exemple, un nom, une date de naissance ou un échantillon biométrique) devraient être différentes si les renseignements personnels sont nécessaires pendant plus, ou moins, longtemps que les renseignements biométriques.

Supprimer les renseignements biométriques si on en fait la demande : Si une personne retire son consentement à l’utilisation de ses renseignements biométriques, vous devriez supprimer tous les renseignements biométriques que vous avez recueillis à son sujet, y compris les renseignements personnels que vous avez créés en analysant les renseignements biométriques, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable de la personne. Vous devriez également vérifier que tout tiers auquel vous avez transmis les renseignements en fait de même dans la mesure du possible.

Mesures de sécurité

La prise de mesures de sécurité désigne la mise en œuvre de mesures visant à protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisée. Selon le principe 4.7 de la LPRPDE, les organisations sont responsables de protéger les renseignements personnels au moyen de mesures de sécurité correspondant au degré de sensibilité des renseignements.

Les renseignements biométriques, comme tout autre type de renseignements personnels, ne sont pas à l’abri des atteintes.

La technologie biométrique en soi peut également servir à protéger d’autres renseignements personnels. Lorsqu’elle est utilisée ainsi, la biométrie est vulnérable aux attaques par mystification, où de faux renseignements sont présentés pour tromper un système biométrique afin qu’il fournisse une correspondance positive. L’apprentissage profond et la technologie des réseaux neuronaux peuvent être utilisés pour fabriquer de manière convaincante les renseignements biométriques d’une personne afin de déjouer les technologies d’identification. Le recours accru aux hypertrucages, à la synthèse vocale et à d’autres techniques de vol d’identité qui utilisent des renseignements biométriques pourrait également servir à compromettre les comptes ou l’identité de personnes.

Vous devez

Prendre des mesures matérielles, organisationnelles et techniques pour vous protéger contre les différentes façons dont une atteinte pourrait se produire.

Les vulnérabilités de sécurité précises peuvent varier en fonction de la technologie biométrique utilisée et de la façon dont les renseignements sont recueillis, utilisés et communiqués. Par exemple, les empreintes digitales peuvent laisser des traces latentes qui peuvent être relevées par des personnes malveillantes, et certaines technologies biométriques sont plus faciles à mystifier que d’autres.

Examinez et mettez à jour régulièrement les mesures de sécurité afin qu’elles demeurent adaptées aux vulnérabilités et aux menaces à la sécurité en constante évolution, y compris les risques liés à la technologie biométrique que vous utilisez.

Rapport de conclusions en vertu de la LPRPDE no 2022-003

Dans son rapport de conclusions sur le programme Empreinte vocale de Rogers, le Commissariat a indiqué que les empreintes vocales étaient bien protégées. Elles étaient stockées dans un format chiffré et exclusif sur des serveurs canadiens contrôlés par Rogers. L’entreprise a confirmé qu’aucun tiers n’avait eu accès aux empreintes vocales à quelque fin que ce soit. Elle a précisé que seuls les membres de l’équipe d’administration de son programme Empreinte vocale avaient accès à la base de données et que les empreintes vocales ne pouvaient pas être utilisées en dehors du système de Rogers. Notre examen des documents de FreeSpeech, un logiciel tiers utilisé par la solution d’empreinte vocale, a confirmé que le logiciel était déployé par ses clients, qu’il n’était ni géré de façon centralisée ni contrôlé par le tiers fournisseur et que ce dernier n’y avait pas accès. De plus, notre examen a confirmé que les empreintes vocales étaient identifiées à l’aide d’une clé de chiffrement propre à l’instance particulière du logiciel FreeSpeech qui était utilisée, afin d’empêcher leur utilisation dans le cadre d’autres programmes ou par d’autres versions de FreeSpeech.

Signaler les atteintes : Lorsque des renseignements biométriques sensibles sont visés par une atteinte à la vie privée, il est fort probable que celle-ci créera un risque réel de préjudice grave pour les personnes touchées. Toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels biométriques doit être signalée au Commissariat et aux personnes concernées s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu (article 10.1 de la LPRPDE).

Vous devriez

Utiliser des systèmes biométriques conçus pour protéger la vie privée : Que vous mettiez au point votre propre système biométrique ou que vous utilisiez la technologie d’un tiers fournisseur de services, vous devriez vérifier que le système que vous utilisez est doté de mécanismes de protection de la vie privée intégrés à la conception. Si vous faites appel aux services d’un tiers fournisseur, veillez à bien comprendre les risques à la sécurité liés à votre utilisation de la biométrie ainsi que les stratégies d’atténuation adoptées par les fournisseurs de technologies potentiels.

Tenez compte des caractéristiques de conception suivantes lorsque vous mettez au point ou choisissez un système biométrique :

Biométrie annulable : Il s’agit de gabarits biométriques qui déforment les données pour qu’elles ne puissent pas être reconverties en renseignements biométriques d’origine. Cela permet d’associer plusieurs gabarits aux mêmes données biométriques de sorte que les gabarits puissent être révoqués (comme un mot de passe) s’ils sont compromis. Il peut aussi être impossible de relier le gabarit de sorte que différents gabarits biométriques appartenant à une même personne ne puissent pas être reliés entre eux. Vous devriez aussi envisager de rendre l’extraction de vos gabarits biométriques uniques à votre système biométrique de manière à ce qu’il ne puisse pas être utilisé par d’autres personnes.
Technologie d’amélioration de la confidentialité : Selon l’utilisation de la biométrie, des méthodes comme le chiffrement homomorphe peuvent être utilisées pour effectuer la mise en correspondance biométrique sans devoir recourir au déchiffrement du gabarit biométrique. Pour en savoir plus sur le chiffrement homomorphe, consultez notre blogue à ce sujet.
Chiffrement : Une technologie de chiffrement de bout en bout peut être utilisée pour protéger les renseignements biométriques durant toutes les étapes de leur cycle de vie, notamment leur stockage, mais aussi leur transmission.

Rapport de conclusions en vertu de la LPRPDE no 2011-012

Le Commissariat a constaté que, dans le cas de la technologie de balayage des veines de la main utilisée lors du Graduate Management Admission Test (GMAT), les images captées étaient immédiatement transformées en un gabarit binaire chiffré, qui ne pouvait pas être facilement utilisé à d’autres fins et qui était conservé séparément de tous les autres renseignements personnels relatifs au candidat à l’examen. Il a été conclu qu’une telle mesure permettait de gérer adéquatement ces renseignements sensibles dans les circonstances.

Contrôler et surveiller l’accès au système : Ne rendez les renseignements biométriques accessibles qu’aux employés qui en ont réellement besoin dans le cadre de leur travail. Envisagez de mettre en place un système d’autorisation pour examiner les demandes et accorder l’accès.

Vous devriez tenir des registres des accès aux renseignements biométriques pour qu’il soit plus facile de vérifier que les employés les utilisent de façon légitime ainsi que de détecter les accès non autorisés. Les atteintes à la vie privée au sein d’une organisation, notamment le furetage par des employés, devraient faire l’objet d’une enquête approfondie.

Selon votre utilisation de la biométrie, envisagez de mettre en place un système de détection des anomalies qui avise automatiquement les administrateurs du système de toute activité inhabituelle pouvant indiquer une atteinte à la sécurité.

Effectuer des essais et des évaluations de la vulnérabilité : Vous ou un tiers qualifié devriez évaluer votre système biométrique afin d’assurer l’efficacité de vos mesures de sécurité au fil du temps et de repérer les vulnérabilités. Les essais devraient porter, d’une part, sur des variables qui dépendent de la conception du système et de son installation et, d’autre part, sur les vulnérabilités connues de la technologie biométrique choisie.

Dans le cadre de ses enquêtes, le Commissariat a recommandé que les organisations du secteur public qui détiennent des volumes importants de renseignements personnels sensibles mènent régulièrement des essais de pénétration (au moins une fois par année), notamment des essais de pénétration externes (c’est-à-dire indépendants) complets et des évaluations internes annuelles complètes de la sécurité de leurs services en ligne^{Note de bas de page 7}.

Exactitude

Les systèmes biométriques servent souvent à prendre des décisions à propos d’une personne, notamment pour lui donner accès à certains endroits ou lui fournir un produit ou un service auquel elle a droit. Par conséquent, les faux positifs et les faux négatifs peuvent avoir des conséquences importantes pour une personne, notamment une atteinte à ses droits.

Au titre du sixième principe de la LPRPDE, les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. C’est-à-dire que les renseignements doivent être suffisamment exacts, complets et à jour pour réduire au minimum la possibilité que des renseignements inappropriés soient utilisés pour prendre une décision à son sujet.

Vous devez

Choisir une technologie qui offre un taux d’exactitude adéquat : Certaines technologies biométriques donnent des résultats plus exacts que d’autres. Par exemple, les systèmes basés sur la biométrie morphologique peuvent donner lieu à des taux d’exactitude plus élevés que les systèmes basés sur la biométrie comportementale lorsqu’ils sont utilisés aux fins de reconnaissance. Bien que de nombreux systèmes biométriques présentent un faible taux d’erreur, un petit nombre d’erreurs peut devenir lourd de conséquences lorsque le système est utilisé à plus grande échelle.

Les répercussions des inexactitudes peuvent également dépendre de la nature et de l’importance des décisions qui sont prises. Il vous incombe de veiller au respect des normes d’exactitude pertinentes^{Note de bas de page 8} et de choisir des systèmes biométriques dont les taux d’erreur sont appropriés et acceptables dans les circonstances. En général, plus les conséquences d’une erreur peuvent être graves pour les personnes, plus votre système biométrique devrait être précis.

Réduire au minimum les écarts de rendement entre les groupes sociodémographiques : L’exactitude et l’efficacité des technologies biométriques peuvent varier selon la race, le sexe, l’âge et d’autres caractéristiques. Il vous incombe de veiller à ce que votre utilisation de la biométrie n’entraîne pas, pour certains groupes de personnes, de la discrimination dans une mesure qui serait contraire aux droits de la personne.

Vous devriez

Mettre à l’essai le système avant sa mise en service : Les systèmes biométriques peuvent avoir un rendement bien différent dans des conditions réelles que dans un environnement d’essai en laboratoire. Vous devriez mettre à l’essai votre système biométrique à l’aide de données opérationnelles pertinentes afin de vérifier qu’il est suffisamment exact pour les fins visées avant d’aller de l’avant avec votre programme ou initiative. Vous devriez notamment faire en sorte que le rendement du système ne varie pas selon le groupe démographique pour réduire au minimum le risque de biais. Veillez à ce que les essais soient effectués par une personne ou une entité ayant l’expertise nécessaire.

Durant les essais, n’oubliez pas que vous devez respecter toutes les obligations en matière de protection de la vie privée liées à votre utilisation de la biométrie, même si l’initiative n’est pas encore lancée. Entre autres, vous devez veiller à respecter les obligations en matière de consentement d’une personne pour la collecte, l’utilisation ou la communication de ses renseignements biométriques.

Vous devriez éviter de vous fier exclusivement aux déclarations d’un fournisseur quant à l’exactitude de sa technologie biométrique pour que votre utilisation respecte les obligations en matière d’exactitude. Dans la mesure du possible, vous devriez étayer l’information donnée par le fournisseur et tirée de vos propres essais par les résultats d’une recherche et d’essais menés par un expert indépendant.

Assurer une surveillance constante : Des changements mineurs dans les facteurs environnementaux peuvent influer sur l’exactitude des systèmes biométriques. Par exemple, un changement dans l’éclairage ambiant ou la position d’une caméra peut avoir une incidence sur l’exactitude des systèmes de reconnaissance faciale. Des changements à la technologie elle-même, par exemple la mise à jour d’un logiciel par un fournisseur, peuvent aussi avoir des répercussions sur l’exactitude des systèmes. Il est donc important que vous vérifiiez régulièrement l’exactitude de votre système biométrique et que vous apportiez des changements lorsqu’ils sont nécessaires pour continuer de respecter vos obligations en matière d’exactitude.

Il n’est pas toujours nécessaire d’obtenir le consentement distinct d’une personne lorsque vous utilisez ses renseignements biométriques pour vérifier que le système biométrique d’un fournisseur fonctionne comme prévu. En général, une telle utilisation cadre avec l’objectif principal de la collecte des renseignements et ne nécessite donc pas d’obtenir un consentement distinct en plus du consentement pour l’utilisation principale du système biométrique. Cependant, les organisations devraient toujours déterminer si une personne pourrait raisonnablement s’attendre à ce que des essais soient effectués et si ces derniers sont appropriés selon le contexte ou s’ils vont au-delà de l’utilisation principale du système, et les organisations devraient modifier leurs pratiques de consentement en conséquence.

Établir une procédure pour le traitement des fausses correspondances : Les systèmes biométriques ne peuvent garantir l’exactitude en tout temps. Vous devriez donc pouvoir composer avec des situations où votre système fournit des faux positifs, des faux négatifs ou des non-correspondances. Dans ces cas, vous devriez proposer une autre méthode d’identification rapidement, régler le problème pour les personnes touchées, prendre des mesures pour que le problème ne se reproduise pas et veiller à ce que les erreurs n’entraînent pas de biais systémiques.

Responsabilité

Selon le principe 4.1 de la LPRPDE, vous êtes responsable des renseignements personnels dont vous avez la gestion.

Vous devez

Respecter les dix principes énoncés à l’annexe 1 de la LPRPDE.
Désigner une personne qui sera chargée de la conformité de l’organisation avec la LPRPDE et à qui les personnes peuvent poser des questions et faire part de leurs préoccupations.
Protéger l’ensemble des renseignements personnels en possession de l’organisation ou sous la garde de celle-ci, y compris les renseignements confiés à une tierce partie aux fins de traitement.
Élaborer et mettre en œuvre des politiques et des pratiques destinées à donner suite aux principes de la LPRPDE.
Assurer le signalement de toute atteinte présentant un risque réel de préjudice grave à l’endroit d’une personne.

Vous pouvez décider de faire appel à l’expertise d’une organisation externe pour établir et administrer votre système biométrique et lui donner accès aux renseignements biométriques au moyen de ce système. Le cas échéant, vous devez toutefois vous assurer, par des moyens contractuels ou autres, de la protection de la vie privée lors du traitement des renseignements en question par ce tiers. Indépendamment de l’endroit où le tiers est situé, vous devez avoir la conviction que le tiers en question a mis en place des politiques et des processus pour veiller à ce que les renseignements dont il dispose soient bien protégés en tout temps.

Transmettre aux employés les connaissances dont ils ont besoin et leur offrir le soutien nécessaire : Vous devez veiller à ce que les employés de votre organisation qui sont responsables de la gestion des renseignements biométriques reçoivent une formation et une orientation adéquates, et soient dûment supervisés afin qu’ils puissent s’acquitter de leurs tâches.

Vous devriez

Mettre en place une structure de gouvernance solide : Vous devriez intégrer le principe de responsabilité quant à votre utilisation de la biométrie dans votre programme de gestion de la protection de la vie privée (PGPVP). Par exemple, votre PGPVP devrait comprendre des politiques et des contrôles internes afin que les renseignements biométriques soient recueillis, utilisés, communiqués et stockés comme prévu. Il devrait également prévoir des mécanismes internes de vérification et d’examen qui assurent le respect continu des obligations en matière de protection de la vie privée tout au long du cycle de vie de votre programme ou de votre initiative de biométrie.

Si votre organisation n’a pas mis en place un PGPVP, vous devriez envisager de le faire. Les PGPVP peuvent aider les organisations à respecter leurs obligations en matière de protection de la vie privée et à démontrer aux organismes de réglementation qu’elles les respectent. Pour en savoir plus, consultez les lignes directrices du Commissariat sur les PGPVP.

Établir des conditions de suspension de l’utilisation de la biométrie : Avant de commencer à utiliser la biométrie, vous devriez définir les circonstances qui feraient en sorte que vous cesseriez d’utiliser la technologie. Il peut s’agir de l’apparition d’indicateurs montrant que l’efficacité ou l’exactitude ne répondent pas aux attentes ou de l’existence de cas d’accès ou d’utilisation non autorisés.

Intégrer l’examen manuel : Les décisions importantes pouvant porter atteinte à la capacité des personnes à accéder à des produits et à des services ne devraient pas être entièrement automatisées. Une intervention humaine est recommandée lors de la prise de décisions importantes, notamment en procédant à un examen manuel des correspondances possibles ou des estimations effectuées par les systèmes biométriques. Le processus décisionnel devrait être équitable pour que les décisions puissent être contestées et examinées.

Élaborer de solides plans d’intervention en cas d’atteinte : En cas d’atteinte à la protection des renseignements biométriques, vous pourriez devoir la signaler à un certain nombre de parties dans de courts délais. Vous devrez aussi conserver un registre de toutes les atteintes à la vie privée. Pour être prêt à faire face à un tel scénario, vous devriez élaborer des procédures rigoureuses, efficaces et précises concernant les mécanismes de signalement et les mesures correctives à prendre. Le Commissariat a élaboré des lignes directrices sur les mesures à prendre pour réagir à une atteinte à la vie privée pour les organisations.

Faire preuve de responsabilité : Vous devriez être prêt à démontrer aux organismes de réglementation que vous respectez les lois applicables sur la protection des renseignements personnels. Vous devriez être prêt à montrer des documents relatifs à la conception du système et aux mesures que vous avez prises pour garantir la protection de la vie privée.

Intégrer la capacité de vérification des entrepreneurs : Pour ce qui est de la biométrie, les organisations devraient intégrer dans leurs contrats le droit de vérifier et d’inspecter la façon dont les tiers gèrent les renseignements personnels ainsi que des mesures à prendre en cas de non-respect.

Transparence

Selon le principe 4.8 de la LPRPDE, vous devez faire preuve de transparence avec les personnes quant à votre gestion des renseignements personnels.

Vous devez

Publier la politique de confidentialité : Vous devez rendre vos politiques et pratiques régissant les renseignements biométriques compréhensibles et facilement accessibles aux personnes. Les politiques et les pratiques doivent contenir une description du genre de renseignements biométriques que possède votre organisation, une explication générale de l’usage auquel ils sont destinés et une définition de la nature des renseignements personnels communiqués aux organisations connexes (par exemple, les filiales).

Ces renseignements s’ajoutent à ceux que vous devez fournir pour obtenir le consentement valide d’une personne.

Fournir les coordonnées de la personne responsable : Vous devez fournir le nom ou le titre et les coordonnées de la personne responsable des politiques et des pratiques de votre organisation à laquelle les demandes et les plaintes peuvent être adressées. Selon le principe 4.10 de la LPRPDE, toute personne doit être en mesure de se plaindre du non-respect, par votre organisation, des obligations en matière de protection de la vie privée, notamment celles relatives à l’utilisation de la technologie biométrique.

Vous devriez

Faire preuve de transparence quant aux pratiques de conservation et aux obligations légales : Votre politique de confidentialité devrait fournir des précisions sur la conservation des renseignements biométriques en votre possession, y compris leur période de conservation, les juridictions dans lesquelles ils sont stockés et les circonstances faisant en sorte qu’ils sont détruits. Dans la mesure du possible, vous devriez également aviser d’emblée les personnes concernées des situations où vous ne pouvez pas supprimer des renseignements personnels sur demande en raison d’autres obligations légales. Vous devriez aussi expliquer cette contrainte en réponse à toute demande de suppression, en citant la disposition législative pertinente.

Donner des précisions sur les fournisseurs de services, dans la mesure du possible : Pour faire preuve de transparence avec les personnes, vous devriez leur fournir le nom des fournisseurs de services auxquels vous transmettez des données biométriques ainsi qu’une description des types de fournisseurs. Bien que les organisations demeurent responsables de leur recours à des fournisseurs de services, vous devriez être proactif en permettant aux personnes qui le souhaitent de savoir où vont leurs renseignements biométriques.

Informer les personnes concernées lorsque leurs renseignements sont transmis à des fournisseurs de services : Vous devriez faire en sorte que les personnes aient accès à des renseignements sur les fournisseurs de services auxquels vous avez recours pour traiter les renseignements biométriques en votre nom, notamment les risques de préjudice ou autres conséquences qui pourraient survenir à la suite d’un transfert à un fournisseur de services. Dans les cas où un fournisseur de services est basé dans un pays étranger, vous devriez informer les personnes concernées de tout transfert de leurs renseignements personnels dans ce pays et du risque que ceux-ci puissent être consultés par les organismes d’application de la loi et de sécurité nationale en vertu des lois de ce pays. Vous devriez leur transmettre ces renseignements dans un langage clair et compréhensible.

Expliquer les décisions automatisées : Soyez prêt à fournir aux personnes qui pourraient faire l’objet d’une décision automatisée fondée sur la biométrie des renseignements clés sur le système biométrique et son utilisation, notamment les renseignements biométriques utilisés pour prendre la décision et les raisons qui ont mené à celle-ci.

Le Commissariat invite les organisations et le public à faire parvenir leurs commentaires sur le présent document d’orientation. Veuillez envoyer vos commentaires ou questions à ce sujet à l’adresse retroactionpolitique-policyfeedback@priv.gc.ca.

Notes de bas de page

Note de bas de page 1

Dans le présent document, les références aux « renseignements biométriques » désignent les renseignements biométriques qui constituent également des renseignements personnels tels que définis dans la Loi sur la protection des renseignements personnels et les documents électroniques.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Ces critères découlent d’un ensemble de facteurs que la Cour fédérale a pris en compte dans l’affaire Turner c. Telus Communications Inc., 2005 CF 1601 (CanLII) (Turner c. Telus) pour évaluer la conformité d’une organisation au regard du paragraphe 5(3) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) (confirmé en appel). Cette affaire concerne des faits survenus en milieu de travail, mais l’analyse de la Cour s’applique tout de même aux organisations qui ont recours à la biométrie dans des activités commerciales.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

La nécessité du recours à la biométrie a été considérée dans le contexte de l’emploi au titre de la LPRPDE. Dans l’affaire Turner c. Telus (précité) et, comme le confirme l’affaire Wansink c. Telus Communications Inc., 2007 C.A.F. 21 (CanLII)), la Cour fédérale a conclu que l’utilisation par Telus de l’empreinte vocale d’employés aux fins de vérification de l’identité en vue de l’accès et du recours à un réseau informatique interne était acceptable dans les circonstances, au sens du paragraphe 5(3) de la LPRPDE.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Paragraphe 7(3), LPRPDE.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2010-007.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2004-281.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

Enquête sur la communication et la modification non autorisées de renseignements personnels détenus par l’Agence du revenu du Canada et Emploi et Développement social Canada découlant de cyberattaques, Rapport spécial au Parlement, février 2024, paragraphe 74.

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Voir, par exemple, la norme ISO/IEC 19795 Information Technology – Biometric Performance Testing and Reporting (en anglais seulement) et le document NIST Special Publication 800-63B, Digital Identity Guidelines (en anglais seulement) dans lesquels les systèmes de vérification biométrique DOIVENT fonctionner avec un taux de correspondance erronée [FMR – « false match rate »; ISO/IEC 2382-37] de 1 sur 1 000 ou meilleur. Ce taux DOIT être atteint dans le contexte d’une attaque conforme (c’est-à-dire une tentative d’imposteur sans effort), tel qu’il est défini dans la norme ISO/IEC 30107-1.

Retour à la référence de la note de bas de page 8

Date de modification :: 2025-08-11

Sélection de la langue

Recherche et menus

Recherche

Document d’orientation à l’intention des entreprises sur le traitement des renseignements biométriques

Sur cette page

Survol

Technologie biométrique

Reconnaissance biométrique

Classification biométrique

Renseignements biométriques

Caractère sensible

Orientation

Vous devez

Vous devez

Vous devriez

Vous devez

Vous devriez

Vous devez

Vous devriez

Vous devez

Vous devriez

Vous devez

Vous devriez

Vous devez

Vous devriez