Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Document d’orientation provisoire à l’intention des organisations sur le traitement des données biométriques

 

Publication : 2023

Public cible : Organisations du secteur privé

Fondement juridique : Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Diffusion : Commissariat à la protection de la vie privée du Canada

État d’avancement :

Consultation publique Analyse des commentaires Adoption du document d’orientation

Sur cette page

Survol

Technologie biométrique

Orientation

Survol

Au sein de l’environnement numérique d’aujourd’hui, les organisations tentent de fournir un accès plus efficace à des biens et à des services, tout en s’adaptant aux nouveaux risques en matière de sécurité. La biométrie, c’est-à-dire avoir recours aux traits uniques d’un individu pour l’identifier ou l’authentifier, constitue donc un nouveau moyen d’atteindre cet objectif. Elle est souvent considérée comme une solution dans un monde où les individus doivent créer de plus en plus de mots de passe différents et s’en souvenir, et prouver leur identité.

L’avenir prometteur de la biométrie soulève toutefois des préoccupations majeures en ce qui concerne la protection de la vie privée. Les données biométriques sont intimement liées au corps d’un individu, et lorsqu’elles sont utilisées aux fins de reconnaissance, elles sont propres à chaque individu, peu susceptibles de varier de manière importante au fil du temps, et ont des caractéristiques intrinsèques qui sont difficiles à modifier. Ces données peuvent servir à surveiller les gens. De plus, si elles sont compromises, elles peuvent exposer les individus à la fraude et au vol d’identité. Les difficultés que pose la précision de certaines technologies biométriques n’étant plus à démontrer, les cas où elles servent à prendre des décisions automatisées au sujet des individus sont d’autant plus préoccupants.

Le présent document offre une orientation sur les obligations des organisations en matière de protection de la vie privée lorsqu’elles traitent des données biométriques. Même si ce document porte sur certains des principaux éléments à prendre en considération, il revient aux organisations de comprendre toutes les obligations qui leur incombent selon les lois, les règlements et les instruments applicables. À titre d’exemple, le Québec a imposé des exigences en matière de rapports à la Commission d’accès à l’information du Québec dans le cas des processus qui englobent des données biométriques.

Technologie biométrique

La « biométrie » désigne la quantification de caractéristiques humaines en termes mesurables. Elle sert à la reconnaissance et, de façon moins courante, à la catégorisation.

Reconnaissance biométrique

Trois principales catégories de biométrie sont utilisées pour la reconnaissance :

  • la biométrie morphologique – comme les empreintes digitales;
  • la biométrie comportementale – comme les habitudes de frappe au clavier;
  • la biométrie biologique – comme l’acide désoxyribonucléique (ADN).

Le recours à la biométrie pour reconnaître une personne se fait en 3 étapes générales : l’enrôlement, le stockage et la correspondance.

Enrôlement : Il s’agit de la première fois où les données biométriques d’un individu sont recueillies. Un numériseur, un capteur, un microphone, une caméra ou une autre technologie sert à saisir les données biométriques. L’enregistrement biométrique est généralement converti par algorithme en représentation mathématique, connue sous le nom de gabarit biométrique.

Stockage : Les données biométriques obtenues au cours de l’enrôlement peuvent être stockées localement pour un usage ultérieur dans le centre des opérations de l’appareil qui les a saisies (par exemple, dans un lecteur), sur un support de stockage amovible (par exemple, une carte à puce) ou dans une base de données centralisée accessible par un ou plusieurs systèmes biométriques.

Correspondance : Un « échantillon » biométrique est recueilli auprès de l’individu et est généralement converti en gabarit biométrique pour favoriser une comparaison automatisée par rapport au modèle de référence aux fins de :

  • l’authentification : en faisant correspondre l’échantillon biométrique d’un individu au gabarit précédemment stocké (comparaison d’un à un) afin de confirmer son identité;
  • l’identification : en croisant les données biométriques d’une personne avec celles d’une base de données (comparaison d’un à plusieurs) pour rechercher son identité.

De nombreux systèmes biométriques utilisent des algorithmes pour exercer un certain nombre de fonctions, notamment comparer 2 gabarits et donner une cote de similarité. Si cette dernière passe le seuil établi du système, une correspondance positive est transmise. De tels algorithmes apprennent à réaliser ces fonctions automatisées en utilisant des données d’entraînement, dont la qualité a une incidence sur l’exactitude de l’ensemble du système.

Catégorisation biométrique

La biométrie peut servir à établir si un individu appartient à un groupe qui partage une caractéristique particulière. La catégorisation peut reposer sur les données biométriques elles-mêmes ou sur les conclusions qui en sont tirées. Par exemple, la mesure des réponses physiologiques à certains stimuli, comme la pupillométrie ou l’analyse de micro-expression, peut servir à déduire des champs d’intérêt ou des émotions et à inscrire un individu dans une catégorie.

Orientation

 

Établissement de fins acceptables

Préciser l’objectif que vous tentez d’atteindre est l’une des premières étapes de la planification d’une initiative de biométrie. Vous devez ensuite évaluer si l’objectif de cette initiative est acceptable dans les circonstances. Pour établir le bien-fondé, il faut évaluer le contexte, et cette évaluation ne peut être remplacée par l’obtention du consentement des individus.

Afin d’orienter cette évaluation, vous devriez évaluer et modifier le programme de biométrie proposé au moyen des critères suivantsNote de bas de page 1 :

N’ayez pas recours à la biométrie si vous n’avez pas la certitude qu’elle est acceptable dans les circonstances. Si votre organisation ne peut pas expliquer le lien rationnel entre la collecte, l’utilisation ou la communication des données biométriques et un objectif opérationnel important, l’initiative ne devrait pas être mise en œuvre.

Caractère sensible

Les données biométriques constituent un type de renseignements sensibles. Toutefois, certaines de ces données peuvent être très sensibles en raison de leur nature intime ou des types de préjudices qui pourraient résulter de leur utilisation malveillante. Vous devriez choisir parmi les options de biométrie adéquates celle qui présente le moins de risques pour l’individu concerné.

Par exemple, la reconnaissance faciale sera habituellement considérée comme plus sensible que le balayage des veines de la main, car ce dernier ne permet pas de recueillir des données de façon passive ou d’être utilisé aussi facilement pour établir des liens entre les données recueillies et les activités d’un individu.

En soi, le caractère sensible des renseignements personnels ne permet pas d’établir si une organisation est en droit de les recueillir, de les utiliser ou de les communiquer. Toutefois, plus les renseignements sont sensibles, plus la justification requise pour leur collecte, leur utilisation ou leur communication peut être importante.
Nécessité

Démontrez que le programme ou l’initiative de biométrie de votre institution est nécessaire pour répondre à un besoin précis, légitime et défendable. Avez-vous recours à la biométrie pour résoudre un problème important, par exemple protéger des biens ou des renseignements d’une grande valeur? Existe‑t‑il des éléments de preuves empiriques d’un problème que la biométrie permettra de résoudre?

Précisez pourquoi les options qui ne relèvent pas de la biométrie, comme l’authentification multifacteur, ne sont pas suffisantes dans votre situation. Le recours à la biométrie n’est peut-être pas nécessaire si votre objectif peut être atteint sans utiliser ce type de données.

Si la justification sous-jacente de votre organisation ou institution est d’accroître la commodité ou d’améliorer l’expérience des clients, l’initiative de biométrie est probablement inacceptable. Par exemple, le recours à la biométrie n’est pas nécessaire pour permettre aux abonnés d’un centre de conditionnement physique d’y accéder. Demandez-vous s’il existe un lien rationnel entre vos besoins et l’objectif urgent et important de votre organisation, et consignez le tout clairement par écrit.Note de bas de page 2

Les renseignements personnels, y compris les données biométriques, ne doivent jamais être recueillis dans un but spéculatif ou prospectif à déterminer ultérieurement.
Efficacité

Veillez à ce que le programme ou l’initiative de biométrie proposée permette d’atteindre efficacement l’objectif urgent et important qui a été établi. Votre organisation devrait être convaincue que le programme de biométrie sera efficace et fiable dans son ensemble. Il devrait exister un plan clair sur la manière de mesurer l’efficacité du programme.

Le programme doit être conçu pour résoudre efficacement le problème pour lequel il est mis en œuvre. Il faut tenir compte de la validité scientifique et technique de la méthode ou du processus, de la précision de la technologie et des taux d’erreur ainsi que du risque que la technologie biométrique soit mystifiée ou contournée.

L’utilisation de technologies biométriques à des fins qui ne sont pas scientifiquement fondées ne sera pas considérée comme efficace et par conséquent ne sera pas acceptable. Par exemple, les technologies biométriques qui prétendent permettre d’évaluer la fiabilité d’un individu, d’établir son état mental ou de déduire ses compétences ne sont pas étayées scientifiquement à l’heure actuelle.

Le Commissariat a considéré comme « zone interdite » le profilage ou la catégorisation donnant lieu à un traitement injuste, contraire à l’éthique ou discriminatoire interdit en vertu de la législation sur les droits de la personne.
Proportionnalité

Évaluez si les répercussions du programme ou de l’initiative de biométrie sur la vie privée sont proportionnelles aux avantages obtenus. L’objectif fixé sera‑t‑il atteint plus efficacement par la biométrie que par une option moins intrusive? De plus, est-ce que ce gain d’efficacité est proportionnel au niveau accru d’intrusion? Par exemple, il serait disproportionné d’extraire sans discernement des données biométriques à partir d’images provenant de vidéos de surveillance d’individus se trouvant dans le hall d’un immeuble aux fins générales de l’inscription à l’hôtel ou du maintien de la sécurité dans un commerce de détail.

Le recours à la biométrie comportementale, laquelle repose sur l’analyse de grandes quantités de données comportementales, est plus susceptible d’avoir des répercussions disproportionnées sur la vie privée que le recours à la biométrie morphologique.

Non seulement l’ingérence dans la vie privée résultant du traitement des données biométriques est généralement lourde de conséquences, mais en plus, certaines données biométriques sont particulièrement sensibles et l’ingérence peut ainsi engendrer des répercussions encore plus importantes sur la vie privée. Pour que cette ingérence dans la vie privée soit proportionnelle, les avantages de votre programme de biométrie doivent l’être tout autant.

Veillez à ce que le programme de biométrie soit aussi proportionnel dans sa conception, c’est-à-dire qu’il ait une portée restreinte et un nombre limité de parties prenantes, plutôt que l’inverse.

La prise de mesures techniques et d’autres mesures de protection constitue un important facteur permettant d’atténuer les répercussions du recours à la biométrie sur la vie privée. Toutefois, à elles seules, des mesures de protection adéquates ne peuvent pas rendre la collecte, l’utilisation ou la communication conforme.
Intrusion minimale

Vérifiez s’il existe des moyens moins intrusifs d’atteindre l’objectif visé autrement que par la collecte, l’utilisation ou la communication de données biométriques. Existe‑t‑il des éléments de preuve qui démontrent que d’autres moyens moins intrusifs pour la vie privée ne permettent pas d’atteindre le même objectif? Il est peu probable qu’une initiative de biométrie jugée plus pratique que d’autres options réponde à cette exigence.

Par exemple, la catégorisation biométrique peut entraîner un « tri social » (c’est‑à‑dire associer des données relatives à des individus à des groupes sociaux et les traiter différemment), un des principaux aspects de la surveillance. Le tri social porte atteinte à la vie privée et peut être problématique d’un point de vue éthique, ce qui fait en sorte qu’il doit être justifié de façon convaincante. En outre, le tri social peut poser problème sur le plan juridique selon la législation relative aux droits de la personne, en raison d’une discrimination fondée sur des motifs illicites. Quelles mesures est-il possible de prendre pour réduire le plus possible l’intrusion dans la vie privée? Examinez si des données biométriques d’une nature moins sensible pourraient être utilisées ou s’il existe des moyens de limiter le rôle de la biométrie dans le programme proposé.

Le Commissariat à la protection de la vie privée du Canada (Commissariat) a appliqué ces critères aux initiatives de biométrie dans de précédents rapports de conclusions d’enquête, qui peuvent être utiles pour effectuer votre propre évaluation des fins acceptables :

Rapport de conclusions en vertu de la LPRPDE no 2022-003

Nous avons conclu que le programme Empreinte vocale de Rogers, qui utilise la biométrie vocale pour authentifier les détenteurs de compte qui appellent la ligne d’assistance de Rogers, était une solution efficace pour répondre aux besoins légitimes de l’entreprise en ce qui concerne l’authentification et la sécurité des comptes dans le contexte de menace accrue dans lequel évoluent les fournisseurs de services de télécommunications. Le programme présentait des risques d’identification limités par rapport à d’autres solutions biométriques et intégrait un certain nombre de limitations et de mesures de sécurité et de contrôle destinées à atténuer les répercussions sur la vie privée.

Rapport de conclusions en vertu de la LPRPDE no 2021-001

Dans notre enquête conjointe sur Clearview AI, nous avons conclu que le prélèvement d’images en ligne et la création de dispositifs de reconnaissance faciale biométriques à partir de celles-ci par l’entreprise représentaient l’identification et la surveillance de masse de personnes. Nous avons donc conclu que l’utilisation des renseignements par Clearview était à des fins inappropriées, particulièrement lorsque celle-ci : i) n’avait aucun lien avec les motifs pour lesquels ces images avaient été initialement publiées; ii) était souvent au détriment de la personne dont les images avaient été recueillies; iii) pouvait porter un préjudice important à ces personnes, dont la grande majorité n’a jamais été et ne sera jamais impliquée dans un crime.

Rapport de conclusions en vertu de la LPRPDE no 2008-389

Cette enquête a porté sur la collecte et l’utilisation des empreintes digitales prélevées chez des participants qui passaient un examen d’admission normalisé dans une faculté de droit, et les conclusions touchaient des questions fondées sur les critères examinés précédemment. Dans cette affaire, le recours à des empreintes digitales a été jugé non proportionnel à l’avantage obtenu et, par conséquent, inacceptable.

 

Consentement

Une fois que vous aurez établi que les fins de votre initiative de biométrie sont acceptables dans les circonstances, vous devrez évaluer la façon d’obtenir le consentement valide des individus. Le consentement est un élément fondamental de la LPRPDE et s’impose avant la collecte, l’utilisation et la communication de renseignements personnels (y compris dans le cas des données biométriques) sous réserve de certaines exceptions.

Il est également essentiel de s’assurer que les individus soient correctement informés de la manière dont vous allez gérer leurs renseignements personnels. Pour que le consentement soit considéré comme éclairé et valide, les individus doivent avoir été informés des pratiques de l’organisation en matière de protection de la vie privée de manière détaillée et en des termes faciles à comprendre.

Vous devez :

Obtenir le consentement exprès, éclairé et précis : Vous devrez presque toujours demander un consentement exprès pour la collecte, l’utilisation ou la communication de données biométriques, y compris des gabarits biométriques. Le consentement exprès signifie que l’individu doit donner son consentement de manière active plutôt que passive, ce qui veut dire qu’il ne faut pas recueillir les données biométriques d’un individu sans qu’il en soit explicitement informé.

Le Commissariat a élaboré des lignes directrices pour l’obtention d’un consentement valable, qui visent à s’assurer qu’un consentement valide a été obtenu. Les organisations devraient transmettre les processus à suivre pour obtenir le consentement et les renseignements connexes sur la vie privée en tenant compte de l’expérience de l’utilisateur. Envisagez d’intégrer l’obtention du consentement dans les processus existants, comme à l’inscription ou dans les interfaces numériques, afin de fournir des renseignements précis sur votre initiative de biométrie de façon conviviale. Bien que votre initiative de biométrie devrait également être décrite dans votre politique de confidentialité, une telle description ne suffirait pas à elle seule à obtenir un consentement éclairé. Les processus à suivre pour obtenir le consentement doivent permettre d’expliquer les principaux éléments susceptibles d’avoir des répercussions sur la vie privée d’un individu, notamment :

  • le type de données biométriques en cause;
  • les fins de la collecte, de l’utilisation ou de la communication de ces données;
  • les parties prenantes à qui les données sont communiquées;
  • tout risque important de préjudice grave qui demeure malgré les efforts déployés par l’organisation en vue d’atténuer les risques.

Rapport de conclusions en vertu de la LPRPDE no 2022-003

Lors de notre enquête sur l’utilisation par Rogers du programme Empreinte vocale, nous avons conclu que l’entreprise : i) avait amorcé le processus de « réglage », qui nécessitait de recueillir des données biométriques, sans avoir d’abord obtenu un consentement valable; et ii) n’avait pas mis en œuvre les protocoles et la surveillance qui lui auraient permis de s’assurer qu’un consentement explicite était systématiquement obtenu avant l’inscription. En outre, nous avons établi que Rogers n’offrait pas aux personnes qui souhaitaient se soustraire à la collecte et à l’utilisation de leur empreinte vocale un mécanisme clairement expliqué et facilement accessible leur permettant de le faire.

Rapport de conclusions en vertu de la LPRPDE no 2020-004

Dans une enquête conjointe, nous avons conclu que La Corporation Cadillac Fairview limitée (CFCL) avait utilisé des caméras dans les bornes d’orientation numérique de ses centres commerciaux pour recueillir et utiliser des images faciales, de même que des représentations numériques biométriques de chaque visage, et qu’elle avait utilisé ces renseignements pour évaluer la tranche d’âge et le sexe des gens, sans avoir obtenu un consentement valable. Étant donné le caractère sensible des données en question et le fait qu’une personne ne s’attendrait pas à ce que son image ou ses données biométriques soient recueillies par une caméra discrète pendant qu’elle fait une recherche à une borne d’orientation numérique, l’obtention d’un consentement explicite était requise. Une simple référence à la Politique en matière de renseignements personnels de la CFCL n’était pas suffisante pour constituer un consentement valable, de même que les autocollants apposés aux entrées des centres commerciaux; ces derniers mentionnaient seulement que les enregistrements vidéo étaient destinés à « la sûreté et la sécurité » et non pas à la gamme complète de fins auxquelles les images faciales étaient utilisées.

Vous abstenir de faire de la biométrie une exigence pour obtenir un service : Selon la LPRPDE, une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. Autrement, pour les collectes, les utilisations et les communications non intégrales et non essentielles, les organisations doivent donner le choix aux individus — le recours à la biométrie est donc facultatif.

Offrir des solutions de rechange : Dans les cas où la technologie biométrique est utilisée pour les collectes, les utilisations et les communications non intégrales et non essentielles de données, vous devez offrir d’autres méthodes d’accès ou de participation. Communiquez ces options à l’individu et évitez d’engendrer des obstacles qui entraveraient l’accès à ces solutions de rechange. Si vous utilisez la biométrie comme mesure de protection, il est probable qu’il existe d’autres processus d’authentification que vous pourriez proposer à l’individu sans que les données biométriques en fassent partie. Offrir des solutions de rechange permet de répondre aux besoins des individus qui hésitent à avoir recours à un système biométrique ainsi qu’à ceux qui ne sont pas en mesure de recourir à de tels systèmes, par exemple en raison d’une incapacité.

Vous assurer que la collecte auprès de tiers est conforme à la loi : Dans les cas où la collecte de données biométriques auprès d’un tiers est acceptable, les organisations doivent s’assurer qu’ils sont autorisés par la loi à les recueillir. Assurez-vous qu’il y a un fondement juridique approprié à chaque étape de la circulation des données, de leur collecte initiale par un tiers jusqu’à leur communication, puis à l’utilisation que vous en ferez. Là où un consentement est requis, votre organisation doit collaborer avec le tiers pour concevoir des méthodes d’obtention d’un consentement valide de la part des individus pour la communication de leurs données par ce tiers et pour la collecte et l’utilisation que vous en ferez.

Éviter de compter sur le fait que les renseignements sont « accessibles au public » : Les données biométriques d’une personne peuvent être visibles à tous, mais l’obtention d’un consentement pour les utiliser demeure. Les photos ou vidéos recueillies dans les espaces publics ou figurant sur Internet ou dans les réseaux sociaux ne peuvent être utilisées sans un consentement précis à l’extraction de données d’un gabarit biométrique. De plus, le consentement à la collecte de photos ou de vidéos n’est pas un consentement la collecte de données biométriques; il faut obtenir précisément le consentement pour chaque fin.

Rapport de conclusions en vertu de la LPRPDE no 2018-002

Le Commissariat a mené une enquête sur Profile Technology Ltd., une entreprise qui a réutilisé des millions de profils d’utilisateurs canadiens de Facebook sans avoir obtenu leur consentement. Une question en litige au cours de l’enquête a été celle de savoir si l’utilisation de renseignements personnels figurant sur les profils Facebook de personnes respectait la définition de publication au titre du Règlement précisant les renseignements auxquels le public a accès. En tenant compte de l’esprit, des objectifs et de l’intention de la LPRPDE, le Commissariat n’a pas accepté l’affirmation selon laquelle les renseignements sur les profils Facebook constituaient une publication aux termes du Règlement.

Communiquer les bases de données sources : Si vous utilisez une technologie biométrique à des fins d’identification plutôt que d’authentification, précisez à l’individu concerné dans quelles bases de données ses données biométriques sont stockées, comparées ou mises en correspondance. Vous devez également obtenir son consentement pour le stockage de ses données biométriques dans une base de données aux fins de mise en correspondance. Vous devez en assurer l’intégration dans les processus de consentement pour permettre aux individus de bien comprendre le programme et d’exercer adéquatement leurs droits en matière d’accès et de révocation du consentement.

Renouveler le consentement lorsque la portée est élargie : N’étendez pas l’utilisation des données biométriques d’un individu sans avoir d’abord obtenu son consentement pour cette nouvelle utilisation de ses données, à moins qu’une exception juridique valide s’applique à ce consentement. Il ne faut pas voir le consentement comme une permission donnée une fois pour toutes; il faut l’obtenir à nouveau chaque fois que les données sont recueillies, utilisées ou communiquées à une nouvelle fin. L’assurance de la validité du consentement est un processus continu, et le consentement peut devoir être renouvelé au fil de l’évolution des circonstances et au fil de l’innovation, de la croissance et de l’évolution des organisations.

 

Limitation de la collecte

Limitez la collecte de renseignements personnels à ceux qui sont nécessaires à l’atteinte des fins énoncées.

Vous devez :

Utiliser l’authentification avant l’identification : L’authentification repose sur une concordance d’un à un avec les données biométriques de l’individu qui ont été précédemment obtenues à l’étape d’enrôlement. Cette approche peut permettre de limiter la collecte de données à celles dont vous avez besoin seulement pour l’authentification et non pas celles qui seraient nécessaires à l’identification, et atteindre un même résultat. Vous devrez donner une justification précise si vous choisissez d’utiliser l’identification lorsque l’authentification est suffisante.

Utiliser le nombre minimal de caractéristiques biométriques requises : Cela comprend à la fois la quantité de caractéristiques uniques et la combinaison des caractéristiques. Si vous pouvez atteindre votre objectif en utilisant seulement des points précis d’une empreinte digitale, vous ne pouvez pas recueillir l’empreinte de l’ensemble du doigt ni celles de plus d’un doigt, ou encore utiliser les empreintes parallèlement à d’autres données de biométrie biologique ou comportementale. Lors de l’utilisation de la biométrie en tant que mesure de protection, le nombre de caractéristiques recueillies doit être approprié par rapport au caractère sensible des renseignements personnels que vous protégez. L’utilisation de la biométrie multimodale doit être justifiée à cet égard.

Éviter de copier les documents d’identité : Au cours de la phase d’adhésion d’un individu à un système biométrique, vous pourriez décider de confirmer son identité juridique à l’aide de documents comme les documents d’identité délivrés par le gouvernement. Dans la plupart des cas, il est interdit de copier et de conserver les documents d’identité utilisés à cette fin, mais il est permis de les consulter.

Dans les cas de reconnaissances faciales où les documents d’identité son comparés à un égoportrait pris en direct pour authentifier l’identité d’un individu, à l’aide d’une application mobile par exemple, pour qu’il obtienne des services en ligne, supprimez immédiatement les copies de ces documents une fois l’authentification terminée.

Rapport de conclusions en vertu de la LPRPDE no 2010-007

Lors d’une enquête concernant le Medical College Admission Test (MCAT), le Commissariat a conclu qu’il était possible d’utiliser des moyens portant moins atteinte à la vie privée pour atteindre l’objectif de prévention de la fraude dans l’administration de l’examen par l’Association of American Medical Colleges (AAMC). L’AAMC a accepté de limiter les renseignements personnels qu’elle recueillait et de recueillir et de conserver les données dactyloscopiques sous forme numérique seulement, qui devaient être converties en un gabarit numérique unique composé d’une chaîne de caractères alphanumériques et être conservées en lieu sûr. Le Commissariat a convenu que ce résultat répondait efficacement aux préoccupations concernant le respect tant de la vie privée que du besoin pour l’AAMC de protéger l’intégrité du MCAT, dont l’enjeu est grand.

Vous devriez :

Tenter de faire en sorte que le gabarit biométrique de l’individu soit sous son contrôle : Il existe différents formats de gabarits biométriques et le degré de contrôle de ceux-ci varie. Le gabarit biométrique d’un individu devrait être sous son contrôle, pour autant que ce soit l’option la plus sûre et qu’elle vous permette également d’atteindre la fin à laquelle l’individu a consenti. Par exemple, vous pourriez stocker le gabarit biométrique sur un dispositif ou un jeton en sa possession. Vous devriez éviter de créer des bases de données biométriques volumineuses et centralisées puisqu’en cas d’intrusion, elles peuvent accroître la probabilité d’une compromission intersystème, d’un accès par un imposteur ainsi qu’une compromission du système source et de la sécurité matérielle. Vous pourriez aussi adopter une formule où vous stockez le gabarit biométrique d’un individu et où seulement ce dernier en contrôle l’activation. La raison pour laquelle vous gardez le plein contrôle d’un gabarit devrait être irréfutable : c’est la meilleure façon de protéger les données ou la seule façon d’atteindre les fins auxquelles l’individu a consenti.

Limiter sa capacité technique : À l’étape de la conception ou du choix d’un système biométrique, évitez ceux qui ont des fonctionnalités qui permettent une collecte de renseignements personnels plus large que ceux qui sont nécessaires pour arriver à vos fins propres. Par exemple, dans le cadre de notre enquête conjointe sur La Corporation Cadillac Fairview limitée, il a été conclu qu’un logiciel appelé FaceNet avait permis de recueillir des représentations numériques de visages, mais que ces renseignements n’étaient pas nécessaires pour l’atteinte des objectifs de l’entreprise.

 

Limitation de l’utilisation, de la communication et de la conservation

Selon la LPRPDE, les données biométriques doivent seulement être utilisées aux fins pour lesquelles elles ont été recueillies et obtenues, sous réserve de quelques exceptions. Cette disposition s’applique à la fois aux données biométriques qui se trouvent déjà dans une « base de données de mise en correspondance » et à l’image de comparaison recueillie auprès de l’individu en question. La LPRPDE énonce aussi les fins pour lesquelles les renseignements personnels peuvent être communiqués sans consentementNote de bas de page 3.

Vous devez :

Analyser les données biométriques seulement aux fins pour lesquelles elles ont été recueillies : Certaines données biométriques peuvent révéler des renseignements secondaires, notamment en ce qui concerne la santé, l’ethnicité ou les relations biologiques. Vous ne pouvez pas analyser les données biométriques en vue d’extraire de tels renseignements sans le consentement de l’individu concerné et si ceux‑ci ne sont pas utilisés aux fins pour lesquels ils ont été recueillis conformément à la loi.

Garder un cercle restreint : Vous devez concevoir un système biométrique qui ne repose pas sur la communication de données à des tiers, à moins que cela ne soit indispensable à l’objectif visé. Une justification extrêmement solide serait obligatoire pour communiquer des données biométriques à des tiers. Dans les systèmes où les données biométriques doivent être partagées avec des tiers, le nombre de tiers auxquels ces données sont communiquées doit être très limité. Consultez la section « Responsabilité » pour en savoir plus sur les responsabilités qui vous incombent pour veiller à ce que les tiers n’utilisent pas les données à mauvais escient.

Éviter les liens entre les systèmes : Le fournisseur d’un système biométrique doit garantir que les données stockées dans le système ne peuvent pas être accessibles à partir des systèmes concourants, comme les systèmes offerts par des fournisseurs tiers. N’établissez pas de liens entre les bases de données biométriques utilisées à une fin précise et d’autres renseignements personnels superflus qui ne sont pas nécessaires à cette fin.

Limiter la conservation : Les données biométriques ne doivent être conservées que pendant la période requise pour atteindre l’objectif visé et être traitées conformément à toute obligation légale, après quoi elles doivent être détruites de façon permanente, quel que soit l’endroit où elles se trouvent, notamment les dispositifs, le stockage infonuagique et les sauvegardes. Dans des décisions antérieures portant sur des systèmes biométriques, le Commissariat a conclu que la période appropriée de conservation des données dépendait du contexte. En ce qui concerne les empreintes digitales recueillies auprès de candidats à un examen, par exemple, une période de 5 ans était appropriée puisque cela correspondait à la validité des résultats de l’examenNote de bas de page 4. En ce qui concerne les empreintes vocales recueillies auprès d’employés, conserver les données biométriques dans le mois suivant le départ de l’employé de l’organisation a été jugé appropriéNote de bas de page 5.

Faire une distinction entre la conservation des données biométriques et celle des autres renseignements personnels : Les données biométriques sont utilisées à des fins précises. Il ne faut donc pas que leur période de conservation soit la même que celle des données non biométriques. Ceci est d’autant plus vrai lorsque les données non biométriques peuvent être nécessaires pendant une période plus longue que les données biométriques.

Détruire les données biométriques brutes utilisées pour créer un modèle : Les données biométriques brutes recueillies dans le but de créer un modèle biométrique doivent être détruites dès que le modèle est créé.

Supprimer les données biométriques sur demande : Si un individu retire son consentement relativement à toute utilisation de ses données biométriques, vous devez alors supprimer toutes les données biométriques que vous avez recueillies le concernant, y compris tout renseignement personnel que vous avez créé par analyse, sauf si la loi prévoit qu’il en soit autrement. Vous devez également demander la même chose aux tiers avec lesquels vous avez pu partager ces données.

 

Mesures de protection

Le recours à la biométrie peut permettre aux organisations de protéger les renseignements personnels contre les voleurs d’identité et de prévenir ainsi les attaques par piratage psychologique, la fraude et le vol d’identité. Cependant, la biométrie n’est une option efficace que si les données biométriques d’un individu peuvent être protégées contre les atteintes à la vie privée et si l’on peut être certain qu’elles sont exactes en ce qui concerne l’identité de l’individu. Autrement, la biométrie peut contribuer au problème que vous cherchez à résoudre. Les mesures de protection sont donc d’une importance capitale, étant donné que les individus n’ont que peu d’options pour se protéger eux-mêmes si leurs données biométriques sont compromises.

La prise de mesures de protection désigne les mesures visant à protéger les renseignements personnels contre la perte, le vol ou tout accès, tout usage, toute communication, toute copie ou toute modification non autorisés. En vertu de la LPRPDE, les organisations sont tenues de protéger les renseignements personnels au moyen de mesures de protection correspondant à leur degré de sensibilité et à la mesure dans laquelle ils peuvent être à risque. Les données biométriques doivent être rigoureusement protégées à l’aide de mesures de sécurité plus strictes.

Les données biométriques, comme d’autres types de renseignements personnels, ne sont pas à l’abri des atteintes à la vie privée.

Plus précisément, elles sont vulnérables aux attaques par mystification durant lesquelles de fausses données biométriques sont utilisées pour tromper les systèmes biométriques afin qu’ils fournissent une concordance positive. L’apprentissage profond et le réseau de neurones artificiels peuvent être utilisés pour fabriquer de manière convaincante les données biométriques d’un individu afin de déjouer les technologies d’identification. Le recours accru aux hypertrucages, à la synthèse vocale et à d’autres techniques de vol d’identité qui utilisent des données biométriques pourrait également servir à compromettre les comptes ou l’identité d’individus.

Vous devez :

Prendre des mesures physiques, organisationnelles et techniques pour vous protéger contre les différentes façons dont une atteinte à la vie privée pourrait se produire. Examinez et mettez à jour régulièrement les mesures de sécurité pour faire face aux menaces et aux vulnérabilités en matière de sécurité, lesquelles sont en constante évolution.

  • Mettre en place des mesures de contrôle d’accès : Ne rendez les données biométriques accessibles qu’aux employés qui en ont réellement besoin dans le cadre de leur travail. Envisagez de mettre en place un système d’autorisation pour examiner les demandes et accorder l’accès.
  • Faire le suivi des accès : La surveillance est importante pour s’assurer que les renseignements sensibles ne sont pas utilisés à mauvais escient. Tenez des registres numériques pour y consigner chaque fois qu’une personne désignée accède aux données biométriques que vous conservez. Examinez régulièrement les registres conservés pour vous assurer que les recherches des employés sont légitimes et répondent à un besoin opérationnel. Vous devez mener une enquête sur les incidents liés à la protection de la vie privée qui surviennent dans votre organisation, notamment dans les cas de furetage par les employés.
  • Utiliser le chiffrement : Utilisez une technologie de chiffrement de bout en bout pour protéger les données biométriques durant toutes les étapes de leur cycle de vie, notamment leur stockage, mais aussi leur transmission.

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2022-003

Dans notre résumé de conclusions d’enquête sur le programme Empreinte vocale de Rogers, nous avons établi que les empreintes vocales étaient bien protégées. Elles étaient stockées dans un format chiffré et exclusif sur des serveurs canadiens contrôlés par Rogers. L’entreprise a confirmé qu’aucun tiers n’avait eu accès aux empreintes vocales à quelque fin que ce soit. Elle a précisé que seuls les membres de l’équipe d’administration de son programme Empreinte vocale avaient accès à la base de données et que les empreintes vocales ne pouvaient pas être utilisées en dehors du système de Rogers. Notre examen des documents du logiciel a confirmé que la solution FreeSpeech était déployée par les clients de Nuance, qu’elle n’était ni gérée de façon centralisée ni contrôlée par Nuance et que Nuance n’y avait pas accès. De plus, notre examen a confirmé que les empreintes vocales étaient identifiées à l’aide d’une clé de chiffrement propre à l’instance particulière du logiciel FreeSpeech qui était utilisée, afin d’empêcher leur utilisation dans le cadre d’autres programmes ou d’autres implémentations de FreeSpeech.

Éviter les attaques par mystification et par présentation : La mystification désigne la capacité de tromper un système biométrique en présentant des données biométriques fausses ou reproduites, comme une photo ou un masque du visage de l’individu ciblé afin de contourner l’authentification faciale. Lorsque la biométrie est utilisée pour protéger d’autres renseignements personnels, elle doit être efficace et ne pas être vulnérable à la mystification. La détection du caractère vivant est une option permettant d’empêcher de nombreuses formes de mystification, mais toutes les méthodes de détection du caractère vivant n’offrent pas le même niveau de protectionNote de bas de page 6.

Examiner les méthodes d’attaque technique propres aux systèmes de biométrie : Si vous détenez des données biométriques, vous devez prévoir et analyser les risques d’un accès non autorisé ou d’une modification. Il existe différents types d’attaques spécialement conçues pour contourner les systèmes biométriquesNote de bas de page 7, notamment les attaques par escalade et par des loups.

  • Une « attaque par escalade » désigne une attaque algorithmique dans le cadre de laquelle un gabarit biométrique synthétique est mis en correspondance de façon continue avec un modèle de référence et est modifié de manière itérative jusqu’à l’obtention d’une correspondance avec le modèle de référence. Cette méthode repose sur la communication d’un score de correspondance de sorte que les modifications apportées au gabarit synthétique reposent sur une similarité croissante avec le modèle de référence. Par conséquent, vous ne devriez pas communiquer publiquement un score de correspondance et vous devriez limiter le nombre de tentatives d’authentification biométrique.
  • Les « attaques par des loups » désignent un échantillon biométrique de « loups » qui peut fonctionner comme un passe-partout permettant d’obtenir une correspondance avec plusieurs échantillonsNote de bas de page 8. Le recours à l’essai et à la détection de la probabilité d’attaque par des loups peut vous aider à vous protéger contre de telles attaques.

Effectuer des essais et des évaluations de la vulnérabilité : Évaluer régulièrement la vulnérabilité de votre système biométrique afin de vous assurer que vos mesures de protection restent efficaces au fil du temps et de cerner les vulnérabilités. Les essais doivent inclure des variables qui dépendent à la fois de la conception et de l’installation du système, de la biologie de l’individu qui effectue l’essai et des vulnérabilités connues de la ou des méthodes d’identification biométrique choisies.

Signaler les atteintes à la vie privée : Lorsque des données biométriques sensibles sont compromises, un risque réel de préjudice grave pèse sur les individus touchés. Les organisations assujetties à la LPRPDE devant déclarer au Commissariat les atteintes aux mesures de sécurité présentant un risque réel de préjudice grave, vous devez signaler toute compromission de données biométrique au Commissariat et aux individus touchés.

Vous devriez :

Être proactif : Il est plus efficace d’intégrer des mesures de protection de la vie privée dans la structure d’une initiative de biométrie que d’essayer de les ajouter ultérieurement. Cette démarche concerne l’ensemble du cycle de vie d’une activité : la conception, la mise en œuvre, l’évaluation et le démantèlement.

Utiliser la biométrie annulable : Vous devriez convertir les données biométriques en modèles qui ne révèlent pas les traits biométriques permanents d’un individu. Pour ce faire, vous pouvez utiliser des modèles « annulables » qui déforment les données afin d’empêcher leur reconversion en données biométriques d’origine. Cela permettrait d’associer plusieurs modèles aux mêmes données biométriques de sorte que les modèles puissent être révoqués (comme un mot de passe) s’ils sont compromis. Il devrait aussi être impossible de relier le modèle de sorte que différents modèles biométriques appartenant à un même individu ne puissent pas être reliés entre eux. Consultez des experts techniques et les plus récents travaux de recherche sur ces méthodes pour savoir comment les mettre en œuvre dans votre contexte.

Utiliser des technologies d’amélioration de la confidentialité (TAC) : Des méthodes comme le chiffrement homomorphique peuvent être utilisées pour effectuer la mise en correspondance biométrique sans devoir recourir au déchiffrement du modèle biométrique. Pour en savoir plus sur les TAC, consultez notre rapport.

Utiliser des modules de sécurité spécialisés : Vous devriez envisager d’utiliser des modules de sécurité spécialisés pour le stockage des données biométriques. Vous devriez aussi envisager de rendre l’extraction de vos modèles biométriques uniques à votre système biométrique de manière à ce qu’il ne puisse pas être utilisé par d’autres individus.

Éviter de transmettre des données biométriques au moyen de l’Internet, dans la mesure du possible : Utilisez plutôt des dispositifs d’enrôlement directement branchés ou intégrés aux systèmes de technologie de l’information.

Utiliser des facteurs multiples : L’authentification multifacteur est souvent décrite comme une combinaison de ce que l’on sait (par exemple, un mot de passe), de ce que l’on possède (par exemple, une carte ou un jeton) et de ce que l’on est (par exemple, une empreinte digitale). Dans une situation où l’utilisation de la biométrie est acceptable, vous devriez l’utiliser en combinaison avec au moins un autre facteur afin d’améliorer l’exactitude et la protection contre les attaques.

  • Utiliser la biométrie active au lieu de la biométrie passive : Par exemple, on parle de biométrie vocale active lorsque l’individu doit créer une phrase passe que le logiciel analyse pour créer une empreinte vocale dépendante de la phrase. Il s’agit d’une forme d’authentification multifacteur. La biométrie vocale passive, quant à elle, consiste en un logiciel de reconnaissance qui fonctionne en arrière-plan peu importe les paroles prononcées et qui n’exige pas que l’utilisateur prononce une phrase précise.

Choisir la bonne méthode : Choisissez bien la méthode d’identification biométrique et la technologie connexe. Par exemple, les empreintes digitales peuvent laisser des traces latentes qui peuvent être prélevées par des acteurs malveillants. Certaines méthodes peuvent aussi être plus faciles à imiter que d’autres.

Séparer les données biométriques des autres renseignements personnels : Vous devriez stocker toute donnée biométrique concernant un individu dans un endroit distinct des autres renseignements permettant de l’identifier, afin d’éviter de créer un profil inutile au sujet de cet individu. Cette mesure permet de réduire le risque de préjudice en cas d’atteinte.

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2011-012

Dans le cas de la technologie de balayage des veines de la main utilisée lors du Graduate Management Admission Test (GMAT), le Commissariat a constaté que les images captées étaient immédiatement transformées en un gabarit binaire chiffré, qui ne pouvait pas être facilement utilisé à d’autres fins et qui était conservé séparément de tous les autres renseignements personnels relatifs au candidat à l’examen. Nous avons conclu qu’il s’agissait d’une mesure appropriée dans les circonstances étant donné le caractère sensible des renseignements recueillis.

 

Exactitude

Les systèmes biométriques utilisés pour l’authentification ou l’identification servent généralement à prendre une décision automatisée au sujet d’un individu, par exemple pour lui permettre d’accéder à certains lieux ou de recevoir un bien ou un service auquel il a droit. Par conséquent, une concordance fausse positive et une concordance fausse négative peuvent perturber grandement la vie d’un individu et porter atteinte à ses droits. Vous devez prendre toutes les mesures raisonnables pour assurer l’exactitude des données dans votre système biométrique.

Au titre du sixième principe de la LPRPDE, les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. C’est-à-dire que les renseignements d’être suffisamment exacts, complets et à jour pour réduire au minimum la possibilité que des renseignements inappropriés soient utilisés pour prendre une décision à son sujet.

Vous devez :

Établir si la biométrie est adaptée à l’objectif visé : Les organismes doivent se demander si la biométrie est un mécanisme adéquat pour atteindre leur objectif, en tenant compte de l’environnement et du contexte dans lesquels l’utilisation proposée des données biométriques se déroulera. Par exemple, les erreurs systémiques dans un système biométrique peuvent entraîner la saisie de renseignements inexacts, en particulier si le système n’est pas configuré pour tenir compte de la diversité de la population.

Choisir une technologie qui offre un taux d’exactitude adéquat : Certaines technologies biométriques donnent des résultats plus exacts que d’autres. Par exemple, les systèmes qui utilisent la biométrie morphologique ont un taux d’exactitude supérieur à ceux qui utilisent la biométrie comportementale. Bien que de nombreux systèmes biométriques présentent un faible taux d’échec, un petit nombre d’erreurs peut devenir lourd de conséquences lorsque le système est utilisé à plus grande échelle. Les répercussions des inexactitudes peuvent également dépendre de la nature et de l’importance des décisions qui sont prises. Il vous incombe de vous assurer que les normes applicables en matière d’essai d’exactitude sont respectéesNote de bas de page 9, notamment en procédant à vos propres essais d’exactitude ou en obtenant une évaluation indépendante, et de choisir des systèmes biométriques qui ont un taux d’erreur adéquat et acceptable dans les circonstances. Vous devrez faire la preuve d’un degré plus élevé d’exactitude lorsque les conséquences des erreurs pour les individus seront plus sérieuses.

Assurer l’exactitude à l’étape de l’enrôlement : Vous devez prendre des mesures, si possible, pour vérifier et maintenir l’exactitude des données biométriques. Les enregistrements et les gabarits biométriques doivent être exacts à l’étape de l’enrôlement; ils doivent permettre l’obtention d’images claires sans obstruction ni autres anomalies qui pourraient nuire à l’authentification ou à l’identification ultérieure d’un individu. Vous devez vous assurer que la donnée de modèle est attribuée au bon individu et tenir compte du temps qui s’est écoulé depuis l’enrôlement de l’échantillon biométrique afin de prendre en compte les problèmes liés au vieillissement.

Vous devriez :

Viser la qualité plutôt que la quantité : Une piètre qualité des données biométriques capturées peut entraîner des enjeux liés à l’exactitude. Vous ne devriez utiliser que des données biométriques capturées de grande qualité. Vous pourrez ainsi mieux respecter le principe de limitation de la collecte, car des données biométriques de piètre qualité peuvent vous mener à les recueillir en trop grande quantité pour créer un modèle fonctionnel. Un meilleur équipement et des pratiques de collecte normalisées (qui tiennent compte d’éléments comme la résolution de l’image, l’éclairage et l’emplacement) peuvent contribuer à réduire le nombre d’erreurs.

Mettre au point une procédure pour traiter les correspondances erronées : Bien que les systèmes biométriques doivent être conçus pour assurer l’exactitude, vous devriez être prêt à ce que votre système génère des concordances fausses positives, des concordances fausses négatives ainsi que des non-correspondances. Dans de tels cas, il convient de proposer un autre identifiant en temps utile, de résoudre le problème pour qu’il ne se reproduise pas et de veiller à ce que de telles erreurs n’entraînent pas des biais systémiques. Il devrait y avoir une intervention humaine et un examen des décisions importantes prises en fonction des données biométriques dans le cadre de ce processus en vue d’offrir un recours. La prise de décisions en biométrie doit être assujettie à un processus équitable pour permettre la contestation et l’examen de telles décisions.

Avoir un seuil d’exactitude encore plus élevé lors de l’utilisation de la catégorisation biométrique : Les systèmes biométriques qui classent un individu dans une catégorie et qui effectuent un tri en conséquence devraient être soigneusement évalués et examinés en ce qui a trait aux catégories utilisées afin de déterminer s’ils sont en mesure de refléter avec exactitude la diversité des individus dont les données seront capturées par le système biométrique et d’établir la fiabilité globale de cette caractéristique. Il faut tenir compte du fait que les individus ont aussi des droits relativement à l’accès et à la correction.

 

Responsabilité

Vous êtes responsable des renseignements personnels dont vous avez la charge.

Vous devez :

  • Respecter les 10 principes énoncés à l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
  • Désigner, au sein de votre organisation, une personne chargée de s’assurer du respect de la LPRPDE et de répondre aux questions des individus.
  • Protéger l’ensemble des renseignements personnels en possession ou sous la garde de l’organisation, y compris les renseignements confiés à une tierce partie aux fins de traitement.
  • Élaborer et assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes de la LPRPDE.
  • Assurer le signalement de toute atteinte aux mesures de sécurité présentant un risque réel de préjudice grave à l’endroit d’un individu.

Vous pouvez décider de faire appel à l’expertise d’une organisation externe pour établir et administrer votre programme de biométrie et lui donner accès aux données biométriques dans ce cadre. Le cas échéant, vous devez toutefois vous assurer, par des moyens contractuels ou autres, de la protection de la vie privée lors du traitement des données en question par ce tiers. Cela signifie que, indépendamment de l’endroit où le tiers est situé, vous devez être convaincu que le tiers en question a mis en place des politiques et des processus pour s’assurer que les renseignements dont il dispose sont bien protégés en tout temps, conformément aux normes élevées qu’exige le traitement de données biométriques. Ne transférez pas de données biométriques à l’extérieur du Canada à moins d’avoir une entente qui offre une protection comparable à celle offerte au Canada.

Intégrer la capacité d’auditer vos entrepreneurs : En matière de biométrie, les organisations doivent presque invariablement intégrer le droit d’auditer et d’inspecter la manière dont un tiers traite les renseignements personnels dans le cadre de l’entente convenue avec ce dernier et y inclure des mesures à prendre en cas de non-respect.

Fournir aux employés les connaissances et le soutien appropriés : Vous devez veiller à ce que vos employés responsables de gérer les données biométriques aient la formation, les lignes directrices et la supervision nécessaires pour accomplir leurs tâches.

Vous devriez :

Élaborer des plans solides en cas d’atteinte à la vie privée : En cas d’atteinte à la vie privée mettant en cause des données biométriques, vous serez probablement tenu de signaler l’atteinte à un certain nombre de parties prenantes dans un court délai. Vous devrez aussi conserver un registre de toutes les atteintes à la vie privée. Pour être prêt à faire face à un tel scénario, vous devriez élaborer des procédures rigoureuses, efficaces et précises concernant les mécanismes de signalement et les mesures correctives à prendre. Le Commissariat a élaboré un document d’orientation sur les mesures à prendre pour réagir à une atteinte à la vie privée dans une organisation.

Démontrer sa responsabilité : Vous devriez être prêt à démontrer aux autorités de réglementation que vous respectez les lois applicables sur la protection des renseignements personnels. Vous devriez être prêt à montrer des documents relatifs à la conception du système et aux mesures que vous avez prises pour garantir la protection de la vie privée. Élaborer un programme de gestion de la protection de la vie privée est une excellente façon de se préparer.

Envisager de consulter le Commissariat : Si vous avez encore des doutes au sujet de votre programme de biométrie, envisagez de consulter la Direction des services-conseils à l’entreprise du Commissariat afin d’obtenir des conseils supplémentaires.

 

Ouverture

Faites preuve d’ouverture et de transparence avec les individus sur la manière dont vous gérez les renseignements personnels.

Vous devez :

Afficher votre politique de protection de la vie privée : Vous devez rendre vos politiques et pratiques régissant les données biométriques compréhensibles et facilement accessibles aux individus. On doit y trouver les types de données biométriques que vous gérez, comment vous les utilisez et leurs périodes de conservation. Vous devez également y nommer toute autre administration où les données sont stockées, les mesures de sécurité utilisées ainsi que les tiers ou les filiales à qui ces données sont communiquées, le cas échéant, et pourquoi.

Fournissez vos politiques et vos pratiques aux individus avant de leur demander d’inscrire leurs données biométriques dans votre système. Accordez-leur suffisamment de temps pour qu’ils puissent examiner toutes les pratiques avant de leur demander leur consentement et de recueillir leurs données biométriques.

Informer les individus du transfert de leurs données à des fournisseurs de services : Vous devez faire en sorte que l’information au sujet des fournisseurs de services auxquels vous faites appel pour traiter les données biométriques en votre nom soit facilement accessible aux individus. Lorsqu’un fournisseur de services est situé dans un pays étranger, vous devez également informer les individus du risque que leurs renseignements personnels fassent l’objet d’un accès légal de la part de la police et des autorités nationales de sécurité en vertu des lois de ce pays. Pour ce faire, vous devez utiliser un langage clair et compréhensible, idéalement au moment où les données sont recueillies. Vous devriez aussi donner des renseignements clairs en ce qui concerne tout risque de préjudice ou d’autres conséquences découlant d’un transfert à un fournisseur de services.

Indiquez avec précision l’utilisation que vous ferez des données biométriques recueillies : Vos politiques et vos pratiques doivent contenir des détails; elles ne doivent pas seulement mentionner que vous allez utiliser les renseignements biométriques « aux fins de la lutte contre la fraude » ou « aux fins de la gestion des comptes ». Vous devez préciser comment votre objectif expressément déclaré est atteint à l’aide des données biométriques, comment ces dernières seront stockées et si elles seront comparées au contenu de bases de données.

Fournir les coordonnées de la personne responsable : Vous devez fournir le nom ou le titre et les coordonnées de la personne responsable des politiques et des pratiques de votre organisation à laquelle les demandes et les plaintes peuvent être adressées.

Vous devriez :

Faire preuve de transparence concernant vos obligations légales : Dans la mesure du possible, vous devriez aviser d’emblée les individus concernés des situations où vous ne pouvez pas supprimer des renseignements personnels sur demande en raison d’autres obligations légales. Vous devriez aussi expliquer cette contrainte en réponse à toute demande de suppression, en citant la disposition législative pertinente.

Donner des précisions sur les fournisseurs de services, dans la mesure du possible : Dans un esprit d’ouverture, vous devriez nommer le ou les fournisseurs de services à qui vous transférez les données biométriques. Bien que vous demeuriez responsables du recours à des fournisseurs de service, cette information permet aux individus intéressés de savoir où s’en vont leurs renseignements sensibles.

Expliquer les décisions automatisées : Soyez prêt à fournir aux individus susceptibles d’avoir fait l’objet d’une décision automatisée importante prise en recourant à la biométrie de l’information sur les principaux éléments du système biométrique – comme l’intervalle de confiance utilisé par le système, l’échantillon biométrique utilisé et toute autre raison susceptible d’expliquer le résultat obtenu.

 

Date de modification :