Document d’orientation provisoire à l’intention des institutions publiques sur le traitement des données biométriques
Publication : 2023
Public cible : Institutions fédérales
Fondement juridique : Loi sur la protection des renseignements personnels
Diffusion : Commissariat à la protection de la vie privée du Canada
État d’avancement :
Consultation publique | Analyse des commentaires | Adoption du document d’orientation |
Sur cette page
- Évaluer le bien‑fondé d’une initiative
- Consentement
- Limitation de la collecte
- Limitation de l’utilisation, de la communication et de la conservation
- Mesures de protection
- Exactitude
- Responsabilité
- Ouverture
Survol
On constate un intérêt croissant pour le recours à la biométrie afin d’assurer une prestation de services plus rapide aux individus et de remplir plus efficacement les mandats.
L’avenir prometteur de la biométrie soulève toutefois des préoccupations majeures en ce qui concerne la protection de la vie privée. Les données biométriques sont intimement liées au corps d’un individu, et lorsqu’elles sont utilisées aux fins de reconnaissance, elles sont propres à chaque individu, peu susceptibles de varier de manière importante au fil du temps, et ont des caractéristiques intrinsèques qui sont difficiles à modifier. Ces données peuvent servir à surveiller les gens. De plus, si elles sont compromises, elles peuvent exposer les individus à la fraude et au vol d’identité. Les difficultés que pose la précision de certaines technologies biométriques n’étant plus à démontrer, les cas où elles servent à prendre des décisions automatisées au sujet des individus sont d’autant plus préoccupants.
Le présent document offre une orientation sur les obligations des institutions fédérales en matière de protection de la vie privée lorsqu’elles traitent des données biométriques. Même si ce document porte sur certains des principaux éléments à prendre en considération, il revient aux institutions de comprendre toutes les obligations qui leur incombent selon les lois, les règlements et les instruments applicables.
Les autorités de protection de la vie privée du Canada ont publié conjointement un document d’orientation à l’intention des services de police relativement au recours à la reconnaissance faciale distinct.
Technologie biométrique
La « biométrie » désigne la quantification de caractéristiques humaines en termes mesurables. Elle sert à la reconnaissance et, de façon moins courante, à la catégorisation.
Reconnaissance biométrique
Trois principales catégories de biométrie sont utilisées pour la reconnaissance :
- la biométrie morphologique – comme les empreintes digitales;
- la biométrie comportementale – comme les habitudes de frappe au clavier;
- la biométrie biologique – comme l’acide désoxyribonucléique (ADN).
Le recours à la biométrie pour reconnaître une personne se fait en 3 étapes générales : l’enrôlement, le stockage et la correspondance.
Enrôlement : Il s’agit de la première fois où les données biométriques d’un individu sont recueillies. Un numériseur, un capteur, un microphone, une caméra ou une autre technologie sert à saisir les données biométriques. L’enregistrement biométrique est généralement converti par algorithme en représentation mathématique, connue sous le nom de gabarit biométrique.
Stockage : Les données biométriques obtenues au cours de l’enrôlement peuvent être stockées localement pour un usage ultérieur dans le centre des opérations de l’appareil qui les a saisies (par exemple, dans un lecteur), sur un support de stockage amovible (par exemple, une carte à puce) ou dans une base de données centralisée accessible par un ou plusieurs systèmes biométriques.
Correspondance : Un « échantillon » biométrique est recueilli auprès de l’individu et est généralement converti en gabarit biométrique pour favoriser une comparaison automatisée par rapport au modèle de référence aux fins de :
- l’authentification : en faisant correspondre l’échantillon biométrique d’un individu au gabarit précédemment stocké (comparaison d’un à un) afin de confirmer son identité;
- l’identification : en croisant les données biométriques d’une personne avec celles d’une base de données (comparaison d’un à plusieurs) pour rechercher son identité.
De nombreux systèmes biométriques utilisent des algorithmes pour exercer un certain nombre de fonctions, notamment comparer 2 gabarits et donner une cote de similarité. Si cette dernière passe le seuil établi du système, une correspondance positive est transmise. De tels algorithmes apprennent à réaliser ces fonctions automatisées en utilisant des données d’entraînement, dont la qualité a une incidence sur l’exactitude de l’ensemble du système.
Catégorisation biométrique
La biométrie peut servir à établir si un individu appartient à un groupe qui partage une caractéristique particulière. La catégorisation peut reposer sur les données biométriques elles-mêmes ou sur les conclusions qui en sont tirées. Par exemple, la mesure des réponses physiologiques à certains stimuli, comme la pupillométrie ou l’analyse de micro-expression, peut servir à déduire des champs d’intérêt ou des émotions et à inscrire un individu dans une catégorie.
Orientation
Évaluer le bien‑fondé d’une initiative
Préciser l’objectif que vous tentez d’atteindre est l’une des premières étapes de la planification d’une initiative de biométrie. Vous devez ensuite évaluer si l’objectif de cette initiative est acceptable dans les circonstances, étape qui fait partie du processus d’évaluation des facteurs relatifs à la vie privée (EFVP) exigé des institutions gouvernementales. Pour établir le bien‑fondé, il faut évaluer le contexte, et cette évaluation ne peut être remplacée par l’obtention du consentement des individus.
Afin d’orienter cette évaluation, vous devriez évaluer et modifier le programme de biométrie proposé au moyen des critères suivantsNote de bas de page 1 :
N’ayez pas recours à la biométrie si vous n’avez pas la certitude qu’elle est acceptable dans les circonstances. Si votre institution ne peut pas expliquer le lien rationnel entre la collecte, l’utilisation ou la communication des données biométriques et un objectif d’intérêt public urgent et important, l’initiative ne devrait pas être mise en œuvre.
Caractère sensible | Les données biométriques constituent un type de renseignements sensibles. Toutefois, certaines de ces données peuvent être très sensibles en raison de leur nature intime ou des types de préjudices qui pourraient résulter de leur utilisation malveillante. Vous devriez choisir parmi les options de biométrie adéquates celle qui présente le moins de risques pour l’individu concerné. Par exemple, la reconnaissance faciale sera habituellement considérée comme plus sensible que le balayage des veines de la main, car ce dernier ne permet pas de recueillir des données de façon passive ou d’être utilisé aussi facilement pour établir des liens entre les données recueillies et les activités d’un individu. En soi, le caractère sensible des renseignements personnels ne permet pas d’établir si une institution est en droit de les recueillir, de les utiliser ou de les communiquer. Toutefois, plus les renseignements sont sensibles, plus la justification requise pour leur collecte, leur utilisation ou leur communication peut être importante. |
---|---|
Nécessité | Démontrez que le programme ou l’initiative de biométrie de votre institution est nécessaire pour répondre à un besoin précis, légitime et défendable. Avez-vous recours à la biométrie pour résoudre un problème important, par exemple protéger des biens ou des renseignements d’une grande valeur? Existe‑t‑il des éléments de preuves empiriques d’un problème que la biométrie permettra de résoudre? Précisez pourquoi les options qui ne relèvent pas de la biométrie ne sont pas suffisantes dans votre situation. Le recours à la biométrie n’est peut-être pas nécessaire si votre objectif peut être atteint sans utiliser ce type de donnéesNote de bas de page 2. Si la justification sous-jacente de votre institution est d’accroître la commodité ou d’améliorer l’expérience des utilisateurs, l’initiative de biométrie est probablement inacceptable. Par exemple, le recours à la biométrie n’est pas nécessaire pour évaluer un candidat dans le cadre d’un processus de dotation. Demandez-vous s’il existe un lien rationnel entre vos besoins et l’objectif urgent et important de votre institution, et consignez le tout clairement par écrit. Les renseignements personnels, y compris les données biométriques, ne doivent jamais être recueillis dans un but spéculatif ou prospectif à déterminer ultérieurement. |
Efficacité | Veillez à ce que le programme ou l’initiative de biométrie proposée permette d’atteindre efficacement l’objectif urgent et important qui a été établi. Votre institution devrait être convaincue que le programme de biométrie sera efficace et fiable dans son ensemble. Il devrait exister un plan clair sur la manière de mesurer l’efficacité du programme. Le programme doit être conçu pour résoudre efficacement le problème pour lequel il est mis en œuvre. Il faut tenir compte de la validité scientifique et technique de la méthode ou du processus, de la précision de la technologie et des taux d’erreur ainsi que du risque que la technologie biométrique soit mystifiée ou contournée. L’utilisation de technologies biométriques à des fins qui ne sont pas scientifiquement fondées ne sera pas considérée comme efficace. Par exemple, les technologies biométriques qui prétendent permettre d’évaluer la fiabilité d’un individu, d’établir son état mental ou de déduire ses compétences ne sont pas étayées scientifiquement à l’heure actuelle. |
Proportionnalité | Évaluez si les répercussions du programme ou de l’initiative de biométrie sur la vie privée sont proportionnelles aux avantages obtenus. L’objectif fixé sera‑t‑il atteint plus efficacement par la biométrie que par une option moins intrusive? De plus, est-ce que ce gain d’efficacité est proportionnel au niveau accru d’intrusion? Par exemple, il serait disproportionné d’extraire sans discernement des données biométriques à partir d’images provenant de vidéos de surveillance d’individus se trouvant dans le hall d’un immeuble. Le recours à la biométrie comportementale, laquelle repose sur l’analyse de grandes quantités de données comportementales, est plus susceptible d’avoir des répercussions disproportionnées sur la vie privée que le recours à la biométrie morphologique. Non seulement l’ingérence dans la vie privée résultant du traitement des données biométriques est généralement lourde de conséquences, mais en plus, certaines données biométriques sont particulièrement sensibles et l’ingérence peut ainsi engendrer des répercussions encore plus importantes sur la vie privée. Pour que cette ingérence dans la vie privée soit proportionnelle, les avantages de votre programme de biométrie doivent l’être tout autant. Veillez à ce que le programme de biométrie soit aussi proportionnel dans sa conception, c’est-à-dire qu’il ait une portée restreinte et un nombre limité de parties prenantes, plutôt que l’inverse. La prise de mesures techniques et d’autres mesures de protection constitue un important facteur permettant d’atténuer les répercussions du recours à la biométrie sur la vie privée. Toutefois, à elles seules, des mesures de protection adéquates ne peuvent pas rendre la collecte, l’utilisation ou la communication conforme. |
Intrusion minimale | Vérifiez s’il existe des moyens moins intrusifs d’atteindre l’objectif visé autrement que par la collecte, l’utilisation ou la communication de données biométriques. Existe‑t‑il des éléments de preuve qui démontrent que d’autres moyens moins intrusifs pour la vie privée ne permettent pas d’atteindre le même objectif? Il est peu probable qu’une initiative de biométrie jugée plus pratique que d’autres options réponde à cette exigence. Par exemple, la catégorisation biométrique peut entraîner un « tri social » (c’est‑à‑dire associer des données relatives à des individus à des groupes sociaux et les traiter différemment), un des principaux aspects de la surveillance. Le tri social porte atteinte à la vie privée et peut être problématique d’un point de vue éthique, ce qui fait en sorte qu’il doit être justifié de façon convaincante. En outre, le tri social peut poser problème sur le plan juridique selon la législation relative aux droits de la personne, en raison d’une discrimination fondée sur des motifs illicites. Quelles mesures est-il possible de prendre pour réduire le plus possible l’intrusion dans la vie privée? Examinez si des données biométriques d’une nature moins sensible pourraient être utilisées ou s’il existe des moyens de limiter le rôle de la biométrie dans le programme proposé. |
Le Commissariat à la protection de la vie privée du Canada (Commissariat) a appliqué ces critères aux initiatives de biométrie dans de précédents rapports de conclusions d’enquête, qui peuvent être utiles pour effectuer votre propre évaluation des fins acceptables :
Le recours par la GRC à la technologie de Clearview AI
Dans notre enquête conjointe sur Clearview AI (Conclusions en vertu de la LPRPDE no 2021-001), nous avons conclu que le prélèvement d’images en ligne et la création de dispositifs de reconnaissance faciale biométriques par l’entreprise à partir de celles-ci représentaient l’identification et la surveillance de masse de personnes. Nous avons donc conclu que l’utilisation des renseignements par Clearview était à des fins inappropriées, particulièrement lorsque celle-ci : i) n’avait aucun lien avec les motifs pour lesquels ces images avaient été initialement publiées; ii) était souvent au détriment de la personne dont les images avaient été recueillies; iii) pouvait porter un préjudice important à ces personnes, dont la grande majorité n’a jamais été et ne sera jamais impliquée dans un crime.
À la suite de notre enquête, nous avons en outre conclu que puisque les pratiques de collecte de renseignements personnels de Clearview ne respectaient pas ses obligations légales, la collecte subséquente de ces renseignements par la GRC ne faisait pas partie de ses programmes et activités d’exploitation légitimes, constituant ainsi une contravention à l’article 4 de la Loi sur la protection des renseignements personnels.
Consentement
En vertu de l’article 4 de la Loi sur la protection des renseignements personnels, les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités. L’obtention du consentement d’un individu pour recueillir ses renseignements personnels ne remplace ni n’établit l’autorité légitime pour recueillir ces renseignements personnelsNote de bas de page 3.
Sous réserve de certaines exceptions, les institutions fédérales sont tenues de recueillir auprès de l’individu lui‑même les renseignements personnels, chaque fois que possible, et d’informer l’individu auprès de qui elles recueillent des renseignements personnels le concernant des fins auxquelles ils sont destinés. Par conséquent, en l’absence du consentement de l’individu concerné, une institution fédérale ne devrait généralement pas recueillir des données biométriques à des fins administratives provenant d’autres sources, y compris les sources accessibles au publicNote de bas de page 4.
Le consentement est généralement requis pour l’utilisation ou la communication de renseignements à des fins autres que celles pour lesquelles ils ont été initialement recueillis, sous réserve de quelques exceptionsNote de bas de page 5. Lorsque le consentement est requis, il est essentiel de s’assurer que les individus sont correctement informés de la manière dont vous allez gérer leurs renseignements personnels.
Vous devez :
Si l’adhésion à votre initiative de biométrie est facultative et que vous demandez le consentement des individus, vous devez :
Obtenir le consentement exprès, éclairé et précis : Lorsque vous vous fondez sur le consentement, vous devez presque toujours demander un consentement exprès pour l’utilisation ou la communication de données biométriques, y compris des gabarits biométriques. Le consentement exprès signifie que l’individu doit donner son consentement de manière active plutôt que passive, ce qui veut dire qu’il ne faut pas recueillir les données biométriques d’un individu sans qu’il en soit explicitement informé.
Les processus à suivre pour obtenir le consentement doivent permettre d’expliquer les principaux éléments susceptibles d’avoir des répercussions sur la vie privée d’un individu, notamment :
- la fin pour laquelle le consentement est demandé;
- le type de données biométriques en cause;
- la justification et les sources de la collecte indirecte (le cas échéant);
- toute utilisation ou communication non conforme aux fins pour lesquelles les données biométriques ont été recueillies si la portée est élargie;
- toute conséquence pouvant résulter du refus de donner son consentement;
- toute autre solution de rechange au consentement offerte à l’individu.
Si vous envisagez de conclure un marché avec un organisme du secteur privé, consultez également le document d’orientation du Secrétariat du Conseil du Trésor du Canada intitulé Prise en compte de la protection des renseignements personnels avant de conclure un marché. Ce document contient de l’information sur le « critère d’atteinte à la vie privée » selon lequel l’initiative de biométrie sera évaluée en fonction de la nature délicate des renseignements personnels, des attentes des individus ainsi que de la possibilité et de la gravité d’un préjudice.
Assurez-vous que le consentement est obtenu par écrit ou qu’il est bien consigné en dossier bien documenté et qu’il comprend des renseignements comme la date et l’heure du consentement.
Le Commissariat a élaboré des lignes directrices pour l’obtention d’un consentement valable à l’intention des organismes du secteur privé, mais il offre néanmoins un appui pour s’assurer qu’un consentement valable est obtenu pour les institutions fédérales. Les institutions devraient transmettre les processus à suivre pour obtenir le consentement et les renseignements connexes sur la vie privée en tenant compte de l’expérience de l’utilisateur. Envisagez d’intégrer l’obtention du consentement dans les processus existants, comme à l’inscription ou dans l’interface numérique, afin de fournir des renseignements précis sur votre initiative de biométrie de façon conviviale. Bien que votre initiative de biométrie devrait également être décrite dans votre politique de confidentialité, une telle description ne suffirait pas à elle seule à obtenir un consentement éclairé.
Si une institution recueille les empreintes vocales d’appelants sur une ligne téléphonique, un énoncé type du genre « cet appel peut être enregistré à des fins d’identification » n’est pas acceptable pour obtenir un consentement éclairé.
De même, obtenir le consentement à recueillir des photos ou des vidéos d’un individu ne vous permet pas automatiquement d’extraire des données biométriques à partir de telles sources. Vous devez préciser de façon distincte les fins de la collecte, de l’utilisation ou de la communication de données biométriques.
Offrir des solutions de rechange : Si vous utilisez la biométrie comme mesure de protection, il est probable qu’il existe d’autres processus d’authentification que vous pourriez proposer à l’individu sans que les données biométriques en fassent partie. Offrir des solutions de rechange permet de répondre aux besoins des individus qui hésitent à avoir recours à un système biométrique ainsi qu’à ceux qui ne sont pas en mesure de recourir à de tels systèmes, par exemple en raison d’une incapacité.
Communiquer les bases de données sources : Si vous utilisez une technologie biométrique à des fins d’identification plutôt que d’authentification, précisez à l’individu concerné dans quelles bases de données ses données biométriques sont stockées, comparées ou mises en correspondance.
Limitation de la collecte
Limitez la collecte de renseignements personnels à ceux qui sont directement liés et manifestement nécessaires à l’atteinte des fins énoncées, comme l’exige la Directive sur les pratiques relatives à la protection de la vie privéeNote de bas de page 6.
Vous devez :
Utiliser l’authentification avant l’identification : L’authentification repose sur une concordance d’un à un avec les données biométriques de l’individu qui ont été précédemment obtenues à l’étape d’enrôlement. Cette approche peut permettre de limiter la collecte de données à celles dont vous avez besoin seulement pour l’authentification et non pas celles qui seraient nécessaires à l’identification, et atteindre un même résultat. Vous devrez donner une justification précise si vous choisissez d’utiliser l’identification lorsque l’authentification est suffisante.
Utiliser le nombre minimal de caractéristiques biométriques requises : Cela comprend à la fois la quantité de caractéristiques uniques et la combinaison des caractéristiques. Si vous pouvez atteindre votre objectif en utilisant seulement des points précis d’une empreinte digitale, vous ne pouvez pas recueillir l’empreinte de l’ensemble du doigt ni celles de plus d’un doigt, ou encore utiliser les empreintes parallèlement à d’autres données de biométrie biologique ou comportementale. Lors de l’utilisation de la biométrie en tant que mesure de protection, le nombre de caractéristiques recueillies doit être approprié par rapport au caractère sensible des renseignements personnels que vous protégez. L’utilisation de la biométrie multimodale doit être justifiée à cet égard.
Vous devriez :
Tenter de faire en sorte que le gabarit biométrique de l’individu soit sous son contrôle : Il existe différents formats de gabarits biométriques et le degré de contrôle de ceux-ci varie. Le gabarit biométrique d’un individu devrait être sous son contrôle, pour autant que ce soit l’option la plus sûre et qu’elle vous permette également d’atteindre la fin à laquelle l’individu a consenti. Par exemple, vous pourriez stocker le gabarit biométrique sur un dispositif ou un jeton en sa possession. Vous devriez éviter de créer des bases de données biométriques volumineuses et centralisées puisqu’en cas d’intrusion, elles peuvent accroître la probabilité d’une compromission intersystème, d’un accès par un imposteur ainsi qu’une compromission du système source et de la sécurité matérielle. Vous pourriez aussi adopter une formule où vous stockez le gabarit biométrique d’un individu et où seulement ce dernier en contrôle l’activation. La raison pour laquelle vous gardez le plein contrôle d’un gabarit devrait être irréfutable : c’est la meilleure façon de protéger les données ou la seule façon d’atteindre les fins auxquelles l’individu a consenti.
Limiter sa capacité technique : À l’étape de la conception ou du choix d’un système biométrique, évitez ceux qui ont des fonctionnalités qui permettent une collecte de renseignements personnels plus large que ceux qui sont nécessaires pour arriver à vos fins propres. Par exemple, dans le cadre de notre enquête conjointe sur La Corporation Cadillac Fairview limitée, il a été conclu qu’un logiciel appelé FaceNet avait permis de recueillir des représentations numériques de visages, mais que ces renseignements n’étaient pas nécessaires pour l’atteinte des objectifs de l’entreprise.
Limitation de l’utilisation, de la communication et de la conservation
Selon la Loi sur la protection des renseignements personnels, les données biométriques doivent seulement être utilisées aux fins pour lesquelles elles ont été recueillies et obtenues, sous réserve de quelques exceptions. Cette disposition s’applique à la fois aux données biométriques qui se trouvent dans une « base de données de mise en correspondance » et à l’image de comparaison recueillie auprès de l’individu en question.
Vous devez :
Analyser les données biométriques seulement aux fins pour lesquelles elles ont été recueillies : Certaines données biométriques peuvent révéler des renseignements secondaires, notamment en ce qui concerne la santé, l’ethnicité ou les relations biologiques. Vous ne pouvez pas analyser les données biométriques en vue d’extraire de tels renseignements sans le consentement de l’individu concerné et si ceux‑ci ne sont pas utilisés aux fins pour lesquels ils ont été recueillis conformément à la loi.
Garder un cercle restreint : Vous devez concevoir un système biométrique qui ne repose pas sur la communication de données à des tiers, à moins que cela ne soit indispensable à l’objectif visé. Une justification extrêmement solide serait obligatoire pour communiquer des données biométriques à des tiers. Dans les systèmes où les données biométriques doivent être partagées avec des tiers, le nombre de tiers auxquels ces données sont communiquées doit être très limité. Consultez la section « Responsabilité » pour en savoir plus sur les responsabilités qui vous incombent pour veiller à ce que les tiers n’utilisent pas les données à mauvais escient.
Éviter les liens entre les systèmes : Le fournisseur d’un système biométrique doit garantir que les données stockées dans le système ne peuvent pas être accessibles à partir des systèmes concourants, comme les systèmes offerts par des fournisseurs tiers. N’tablissez pas de liens entre les bases de données biométriques utilisées à une fin précise et d’autres renseignements personnels superflus qui ne sont pas nécessaires à cette fin.
Limiter la conservation : Les données biométriques ne doivent être conservées que pendant la période requise pour atteindre l’objectif visé et être traitées conformément à toute obligation légale, après quoi elles doivent être détruites de façon permanente, quel que soit l’endroit où elles se trouvent, notamment les dispositifs, le stockage infonuagique et les sauvegardes. Les institutions sont tenues de conserver les renseignements personnels pendant au moins 2 ans après leur utilisation à des fins administratives afin d’offrir à l’individu concerné une possibilité raisonnable d’accéder à ces renseignements, à moins que l’intéressé ne consente à ce qu’ils soient éliminés plus tôt.
Faire une distinction entre la conservation des données biométriques et celle des autres renseignements personnels : Les données biométriques sont utilisées à des fins précises. Il ne faut donc pas que leur période de conservation soit la même que celle des données non biométriques. Ceci est d’autant plus vrai lorsque les données non biométriques peuvent être nécessaires pendant une période plus longue que les données biométriques.
Détruire les données biométriques brutes utilisées pour créer un modèle : Les données biométriques brutes recueillies dans le but de créer un modèle biométrique doivent être détruites dès que le modèle est créé.
Supprimer les données biométriques sur demande : Si un individu retire son consentement relativement à toute utilisation de ses données biométriques, vous devez alors supprimer toutes les données biométriques que vous avez recueillies le concernant, y compris tout renseignement personnel que vous avez créé par analyse, sauf si la loi prévoit qu’il en soit autrement. Vous devez également demander la même chose aux tiers avec lesquels vous avez pu partager ces données.
Mesures de protection
Le recours à la biométrie peut permettre aux institutions de protéger les renseignements personnels contre les voleurs d’identité et de prévenir ainsi les attaques par piratage psychologique, la fraude et le vol d’identité. Cependant, la biométrie n’est une option efficace que si les données biométriques d’un individu peuvent être protégées contre les atteintes à la vie privée et si l’on peut être certain qu’elles sont exactes en ce qui concerne l’identité de l’individu. Autrement, la biométrie peut contribuer au problème que vous cherchez à résoudre. Les mesures de protection sont donc d’une importance capitale, étant donné que les individus n’ont que peu d’options pour se protéger eux-mêmes si leurs données biométriques sont compromises.
La prise de mesures de protection désigne les mesures visant à protéger les renseignements personnels contre la perte, le vol ou tout accès, tout usage, toute communication, toute copie ou toute modification non autorisés. Comme il est précisé dans la Directive sur les pratiques relatives à la protection de la vie privée, les institutions fédérales doivent avoir des mesures de protection appropriées contre la communication ou l’usage non autorisé des renseignements personnelsNote de bas de page 7. Par conséquent, les données biométriques doivent être rigoureusement protégées à l’aide de mesures de sécurité plus strictes.
Les données biométriques, comme d’autres types de renseignements personnels, ne sont pas à l’abri des atteintes à la vie privée.
Plus précisément, elles sont vulnérables aux attaques par mystification durant lesquelles de fausses données biométriques sont utilisées pour tromper les systèmes biométriques afin qu’ils fournissent une concordance positive. L’apprentissage profond et le réseau de neurones artificiels peuvent être utilisés pour fabriquer de manière convaincante les données biométriques d’un individu afin de déjouer les technologies d’identification. Le recours accru aux hypertrucages, à la synthèse vocale et à d’autres techniques de vol d’identité qui utilisent des données biométriques pourrait également servir à compromettre les comptes ou l’identité d’individus.
Vous devez :
Prendre des mesures physiques, administratives et techniques pour vous protéger contre les différentes façons dont une atteinte à la vie privée pourrait se produire. Examinez et mettez à jour régulièrement les mesures de sécurité pour faire face aux menaces et aux vulnérabilités en matière de sécurité, lesquelles sont en constante évolution.
- Mettre en place des mesures de contrôle d’accès : Ne rendez les données biométriques accessibles qu’aux employés qui en ont réellement besoin dans le cadre de leur travail. Envisagez de mettre en place un système d’autorisation pour examiner les demandes et accorder l’accès.
- Faire le suivi des accès : La surveillance est importante pour s’assurer que les renseignements sensibles ne sont pas utilisés à mauvais escient. Tenez des registres numériques pour y consigner chaque fois qu’une personne désignée accède aux données biométriques que vous conservez. Examinez régulièrement les registres conservés pour vous assurer que les recherches des employés sont légitimes et répondent à un besoin opérationnel. Vous devez mener une enquête sur les incidents liés à la protection de la vie privée qui surviennent dans votre organisation, notamment dans les cas de furetage par les employés.
- Utiliser le chiffrement : Utilisez une technologie de chiffrement de bout en bout pour protéger les données biométriques durant toutes les étapes de leur cycle de vie, notamment leur stockage, mais aussi leur transmission.
Éviter les attaques par mystification et par présentation : La mystification désigne la capacité de tromper un système biométrique en présentant des données biométriques fausses ou reproduites, comme une photo ou un masque du visage de l’individu ciblé afin de contourner l’authentification faciale. Lorsque la biométrie est utilisée pour protéger d’autres renseignements personnels, elle doit être efficace et ne pas être vulnérable à la mystification. La détection du caractère vivant est une option permettant d’empêcher de nombreuses formes de mystification, mais toutes les méthodes de détection du caractère vivant n’offrent pas le même niveau de protectionNote de bas de page 8.
Examiner les méthodes d’attaque technique propres aux systèmes biométriques : Si vous détenez des données biométriques, vous devez prévoir et analyser les risques d’un accès non autorisé ou d’une modification. Il existe différents types d’attaques spécialement conçues pour contourner les systèmes biométriquesNote de bas de page 9, notamment les attaques par escalade et par des loups.
- Une « attaque par escalade » désigne une attaque algorithmique dans le cadre de laquelle un gabarit biométrique synthétique est mis en correspondance de façon continue avec un modèle de référence et est modifié de manière itérative jusqu’à l’obtention d’une correspondance avec le modèle de référence. Cette méthode repose sur la communication d’un score de correspondance de sorte que les modifications apportées au gabarit synthétique reposent sur une similarité croissante avec le modèle de référence. Par conséquent, vous ne devriez pas communiquer publiquement un score de correspondance et vous devriez limiter le nombre de tentatives d’authentification biométrique.
- Les « attaques par des loups » désignent un échantillon biométrique de « loups » qui peut fonctionner comme un passe-partout permettant d’obtenir une correspondance avec plusieurs échantillonsNote de bas de page 10. Le recours à l’essai et à la détection de la probabilité d’attaque par des loups peut vous aider à vous protéger contre de telles attaques.
Effectuer des essais et des évaluations de la vulnérabilité : Évaluer régulièrement la vulnérabilité de votre système biométrique afin de vous assurer que vos mesures de protection restent efficaces au fil du temps et de cerner les vulnérabilités. Les essais doivent inclure des variables qui dépendent à la fois de la conception et de l’installation du système, de la biologie de l’individu qui effectue l’essai et des vulnérabilités connues de la ou des méthodes d’identification biométrique choisies.
Signaler les atteintes à la vie privée : Il est fort probable qu’une compromission de données biométriques sensibles puisse raisonnablement entraîner un préjudice grave aux individus touchés. Par conséquent, les atteintes à la vie privée qui mettent en cause des données biométriques satisfont au seuil de signalement fixé pour le secteur public. Les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels sont donc tenues de signaler au Commissariat et au Secrétariat du Conseil du Trésor du Canada toute atteinte à la vie privée.
Vous devriez :
Être proactif : Il est plus efficace d’intégrer des mesures de protection de la vie privée dans la structure d’une initiative de biométrie que d’essayer de les ajouter ultérieurement. Cette démarche concerne l’ensemble du cycle de vie d’une activité : la conception, la mise en œuvre, l’évaluation et le démantèlement.
Utiliser la biométrie annulable : Vous devriez convertir les données biométriques en modèles qui ne révèlent pas les traits biométriques permanents d’un individu. Pour ce faire, vous pouvez utiliser des modèles « annulables » qui déforment les données afin d’empêcher leur reconversion en données biométriques d’origine. Cela permettrait d’associer plusieurs modèles aux mêmes données biométriques de sorte que les modèles puissent être révoqués (comme un mot de passe) s’ils sont compromis. De plus, il ne devrait pas être possible de relier le modèle afin d’éviter que différents modèles biométriques appartenant à un même individu puissent être reliés entre eux. Consultez des experts techniques et les plus récents travaux de recherche sur ces méthodes pour savoir comment les mettre en œuvre dans votre contexte.
Utiliser des technologies d’amélioration de la confidentialité (TAC) : Des méthodes comme le chiffrement homomorphique peuvent être utilisées pour effectuer la mise en correspondance biométrique sans devoir recourir au déchiffrement du modèle biométrique. Pour en savoir plus sur les TAC, consultez notre rapport.
Utiliser des modules de sécurité spécialisés : Vous devriez envisager d’utiliser des modules de sécurité spécialisés pour le stockage des données biométriques. Vous devriez aussi envisager de rendre l’extraction de vos modèles biométriques uniques à votre système biométrique de manière à ce qu’il ne puisse pas être utilisé par d’autres individus.
Éviter de transmettre des données biométriques au moyen de l’Internet, dans la mesure du possible : Utilisez plutôt des dispositifs d’enrôlement directement branchés ou intégrés aux systèmes de technologie de l’information.
Utiliser des facteurs multiples : L’authentification multifacteur est souvent décrite comme une combinaison de ce que l’on sait (par exemple, un mot de passe), de ce que l’on possède (par exemple, une carte ou un jeton) et de ce que l’on est (par exemple, une empreinte digitale). Dans une situation où l’utilisation de la biométrie est acceptable, vous devriez l’utiliser en combinaison avec au moins un autre facteur afin d’améliorer l’exactitude et la protection contre les attaques.
- Utiliser la biométrie active au lieu de la biométrie passive : Par exemple, on parle de biométrie vocale active lorsque l’individu doit créer une phrase passe que le logiciel analyse pour créer une empreinte vocale dépendante de la phrase. Il s’agit d’une forme d’authentification multifacteur. La biométrie vocale passive, quant à elle, consiste en un logiciel de reconnaissance qui fonctionne en arrière-plan peu importe les paroles prononcées et qui n’exige pas que l’utilisateur prononce une phrase précise.
Choisir la bonne méthode : Choisissez bien la méthode d’identification biométrique et la technologie connexe. Par exemple, les empreintes digitales peuvent laisser des traces latentes qui peuvent être prélevées par des acteurs malveillants. Certaines méthodes peuvent aussi être plus faciles à imiter que d’autres.
Séparer les données biométriques des autres renseignements personnels : Vous devriez stocker toute donnée biométrique concernant un individu dans un endroit distinct des autres renseignements permettant de l’identifier, afin d’éviter de créer un profil inutile au sujet de cet individu. Cette mesure permet de réduire le risque de préjudice en cas d’atteinte.
Exactitude
Les systèmes biométriques utilisés pour l’authentification ou l’identification servent généralement à prendre une décision automatisée au sujet d’un individu, par exemple pour lui permettre d’accéder à certains lieux ou de recevoir un bien ou un service auquel il a droit. Par conséquent, une concordance fausse positive et une concordance fausse négative peuvent perturber grandement la vie d’un individu et porter atteinte à ses droits. Vous devez prendre toutes les mesures raisonnables pour assurer l’exactitude des données dans votre système biométrique.
Conformément à la Loi sur la protection des renseignements personnels, les institutions fédérales sont tenues de veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elles utilisent à des fins administratives soient à jour, exacts et complets. La Directive sur les pratiques relatives à la protection de la vie privée présente les mesures à prendre pour s’assurer que les renseignements personnels sont exacts et à jour. Ces mesures comprennent notamment de vérifier si les renseignements personnels sont obtenus d’une source fiable et d’utiliser des moyens technologiques pour repérer les erreurs et les divergences.
Vous devez :
Établir si la biométrie est adaptée à l’objectif visé : Les organismes doivent se demander si la biométrie est un mécanisme adéquat pour atteindre leur objectif, en tenant compte de l’environnement et du contexte dans lesquels l’utilisation proposée des données biométriques se déroulera. Par exemple, les erreurs systémiques dans un système biométrique peuvent entraîner la saisie de renseignements inexacts, en particulier si le système n’est pas configuré pour tenir compte de la diversité de la population.
Choisir une technologie qui offre un taux d’exactitude adéquat : Certaines technologies biométriques donnent des résultats plus exacts que d’autres. Par exemple, les systèmes qui utilisent la biométrie morphologique ont un taux d’exactitude supérieur à ceux qui utilisent la biométrie comportementale. Bien que de nombreux systèmes biométriques présentent un faible taux d’échec, un petit nombre d’erreurs peut devenir lourd de conséquences lorsque le système est utilisé à plus grande échelle. Ces erreurs peuvent aussi avoir une incidence disproportionnée sur certaines populations. Les répercussions des inexactitudes peuvent également dépendre de la nature et de l’importance des décisions qui sont prises. Il vous incombe de vous assurer que les normes applicables en matière d’essai d’exactitude sont respectéesNote de bas de page 11, notamment en procédant à vos propres essais d’exactitude ou en obtenant une évaluation indépendante, et de choisir des systèmes biométriques qui ont un taux d’erreur adéquat et acceptable dans les circonstances. Il convient notamment d’envisager des solutions de rechange qui offrent un plus grand taux d’exactitude et de faire des compromis. Vous devrez faire la preuve d’un degré plus élevé d’exactitude lorsque les conséquences des erreurs pour les individus seront plus sérieuses.
Assurer l’exactitude à l’étape de l’enrôlement : Vous devez prendre des mesures, si possible, pour vérifier et maintenir l’exactitude des données biométriques. Les enregistrements et les gabarits biométriques doivent être exacts à l’étape de l’enrôlement; ils doivent permettre l’obtention d’images claires sans obstruction ni autres anomalies qui pourraient nuire à l’authentification ou à l’identification ultérieure d’un individu. Vous devez vous assurer que la donnée de modèle est attribuée au bon individu et tenir compte du temps qui s’est écoulé depuis l’enrôlement de l’échantillon biométrique afin de prendre en compte les problèmes liés au vieillissement.
Vous devriez :
Viser la qualité plutôt que la quantité : Une piètre qualité des données biométriques capturées peut entraîner des enjeux liés à l’exactitude. Vous ne devriez utiliser que des données biométriques capturées de grande qualité. Vous pourrez ainsi mieux respecter le principe de limitation de la collecte, car des données biométriques de piètre qualité peuvent vous mener à les recueillir en trop grande quantité pour créer un modèle fonctionnel. Un meilleur équipement et des pratiques de collecte normalisées (qui tiennent compte d’éléments comme la résolution de l’image, l’éclairage et l’emplacement) peuvent contribuer à réduire le nombre d’erreurs.
Mettre au point une procédure pour traiter les correspondances erronées : Bien que les systèmes biométriques doivent être conçus pour assurer l’exactitude, vous devriez être prêt à ce que votre système génère des concordances fausses positives, des concordances fausses négatives ainsi que des non-correspondances. Dans de tels cas, il convient de proposer un autre identifiant en temps utile, de résoudre le problème pour qu’il ne se reproduise pas et de veiller à ce que de telles erreurs n’entraînent pas des biais systémiques. Il devrait y avoir une intervention humaine et un examen des décisions importantes prises en fonction des données biométriques dans le cadre de ce processus en vue d’offrir un recours. La prise de décisions en biométrie doit être assujettie à un processus équitable pour permettre la contestation et l’examen de telles décisions.
Avoir un seuil d’exactitude encore plus élevé lors de l’utilisation de la catégorisation biométrique : Les systèmes biométriques qui classent un individu dans une catégorie et qui effectuent un tri en conséquence devraient être soigneusement évalués et examinés en ce qui a trait aux catégories utilisées afin de déterminer s’ils sont en mesure de refléter avec exactitude la diversité des individus dont les données seront capturées par le système biométrique et d’établir la fiabilité globale de cette caractéristique. Il faut tenir compte du fait que les individus ont aussi des droits relativement à l’accès et à la correction.
Responsabilité
Vous êtes responsable des renseignements personnels dont vous avez la charge. Dans le secteur public fédéral, la Loi sur la protection des renseignements personnels prévoit des obligations précises pour les responsables des institutions fédérales ou leurs délégués. La responsabilité est aussi définie dans le cadre du processus d’EFVP et des instruments de politique connexes, notamment la Politique sur la protection de la vie privée et la Directive sur les pratiques relatives à la protection de la vie privée. Un autre document d’orientation sur la passation de marchés à l’intention de toutes les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels se trouve à la page « Prise en compte de la protection des renseignements personnels avant de conclure un marché ».
Vous devez :
Faire appel à des entrepreneurs crédibles et vérifier s’ils sont autorisés par la loi à recueillir des renseignements personnels : Avant de nouer une relation d’affaires, vous devez faire preuve de diligence raisonnable pour veiller à la responsabilité des fournisseurs de services tiers et vous assurer qu’ils agissent dans le respect de la loi. Si ces parties vous donnent accès à une base de données de données biométriques, vous êtes tenu de vous assurer que la collecte initiale et l’utilisation des données sont conformes aux lois sur la protection des renseignements personnels. Cette obligation s’applique également aux institutions fédérales avec lesquelles vous concluez des partenariats.
Si vous sous-traitez certaines parties de votre programme de biométrie, vous devez vous assurer que le sous-traitant respecte les obligations qui vous incombent au titre de la Loi sur la protection des renseignements personnels et qu’il n’utilise pas les renseignements personnels traités en votre nom à ses propres fins, sans le consentement requis.
Rapport de conclusions d’enquête en lien avec une plainte déposée en vertu de la Loi sur la protection des renseignements personnels :
Dans le cadre de son enquête sur le recours par la GRC aux services de Clearview AI, le Commissariat a constaté que la GRC n’avait pris aucune mesure concrète pour vérifier la légalité de la collecte de renseignements sur la population canadienne auprès de Clearview. Les institutions fédérales ont l’obligation de s’assurer de la légalité des pratiques de collecte des renseignements personnels des partenaires auprès desquels elles recueillent ce genre de renseignements.
Établir si votre initiative de biométrie est assujettie à la Directive sur la prise de décisions automatisée : Si vous avez recours à la biométrie pour prendre des décisions automatisées à propos d’un individu, vous devriez consulter la Directive sur la prise de décisions automatisée et vérifier si vous devez effectuer une évaluation de l’incidence algorithmique.
Vous devriez :
Officialiser votre relation avec d’autres partenaires : il s’agit notamment de conclure des marchés avec des organisations du secteur privé dont vous utilisez les services de biométrie et de conclure des ententes d’échange de renseignements avec d’autres institutions avec lesquelles vous échangez ou recevez données biométriques.
Élaborer des plans solides en cas d’atteinte à la vie privée : En cas d’atteinte à la vie privée mettant en cause des données biométriques, vous serez probablement tenu de signaler l’atteinte à un certain nombre de parties prenantes dans un court délai. Vous devrez aussi conserver un registre de toutes les atteintes à la vie privée. Pour être prêt à faire face à un tel scénario, vous devriez élaborer des procédures rigoureuses, efficaces et précises concernant les mécanismes de signalement et les mesures correctives à prendre. Le Commissariat a élaboré un document d’orientation sur les mesures à prendre pour réagir à une atteinte à la vie privée dans une institution fédérale.
Démontrer sa responsabilité : Vous devriez être prêt à démontrer aux autorités de réglementation que vous respectez les lois applicables sur la protection des renseignements personnels. Vous devriez être prêt à montrer des documents relatifs à la conception du système et aux mesures que vous avez prises pour garantir la protection de la vie privée.
Envisager de consulter le Commissariat : Si vous avez encore des doutes au sujet de votre programme de biométrie, envisagez de consulter la Direction des services-conseils au gouvernement du Commissariat afin d’obtenir des conseils supplémentaires.
Ouverture
Faites preuve d’ouverture et de transparence avec les individus sur la manière dont vous gérez les renseignements personnels. La Directive sur les pratiques relatives à la protection de la vie privée prévoit que les individus dont les renseignements personnels font l’objet d’une collecte directe soient avisés des principaux renseignements relatifs à l’initiative.
Vous devez :
Fournir un avis de confidentialité : Avisez l’individu, dont les données biométriques font l’objet d’une collecte directe, des éléments suivants : les fins de la collecte et en vertu de quelle autorité légitime elle est faite, tout usage ou communication compatible avec la fin originale, toute conséquence administrative ou légale découlant d’un refus de fournir les données biométriques, les droits d’accès, de correction et de protection et la description du fichier de renseignements personnels (FRP) dans Info Source.
Informer l’individu de son droit de déposer une plainte auprès du Commissariat : Votre avis de confidentialité doit inclure des renseignements sur le droit de l’individu de déposer une plainte auprès du Commissariat concernant ses préoccupations en matière de protection de la vie privée.
Publier des rapports sur les données biométriques : Tous les fonds de renseignements biométriques dont vous avez la charge doivent figurer dans vos rapports publics sur les FRP et les catégories de renseignements personnels, notamment sur Info Source et dans vos descriptions des FRP. Les descriptions de l’inventaire doivent être suffisamment claires et précises pour faciliter l’exercice du droit d’accès prévu par la Loi sur la protection des renseignements personnels.
Aviser le Commissariat de tous les nouveaux usages compatibles : Si vous utilisez des données biométriques pour un usage compatible qui n’est pas décrit dans un FRP, vous devez en informer le Commissariat.
Vous devriez :
Faire preuve de transparence concernant vos obligations légales : Dans la mesure du possible, vous devriez aviser d’emblée les individus concernés des situations où vous ne pouvez pas supprimer des renseignements personnels sur demande en raison d’autres obligations légales. Vous devriez aussi expliquer cette contrainte en réponse à toute demande de suppression, en citant la disposition législative pertinente.
Expliquer les décisions automatisées : Soyez prêt à fournir aux individus susceptibles d’avoir fait l’objet d’une décision automatisée importante prise en recourant à la biométrie de l’information sur les principaux éléments du système biométrique – comme l’intervalle de confiance utilisé par le système, l’échantillon biométrique utilisé et toute autre raison susceptible d’expliquer le résultat obtenu.
- Date de modification :