Document d’orientation sur la protection de la vie privée à l’intention des services de police relativement au recours à la reconnaissance faciale

Mai 2022

Aperçu

1. La reconnaissance faciale (RF) s’est révélée être une puissante technologie qui peut présenter de sérieux risques pour la vie privée.
2. Les commissaires à la protection de la vie privée à l’échelle fédérale, provinciale et territoriale au Canada estiment que le contexte législatif actuel entourant l’utilisation de la technologie de RF par les services de police est insuffisant. En l’absence d’un cadre juridique complet, une incertitude importante demeure quant aux situations dans lesquelles l’utilisation de la RF par les services de police est légale.
3. Le présent document d’orientation est publié conjointement par toutes les autorités provinciales et territoriales de protection de la vie privée du Canada et le Commissariat à la protection de la vie privée du Canada. Le but du présent document d’orientation est de définir les obligations des services de police en matière de protection de la vie privée relativement à la RF selon les lois actuellement en vigueur, afin de veiller à ce que toute utilisation de celle-ci soit conforme à la loi, de limiter les risques d’atteinte à la vie privée et de respecter le droit à la vie privée.
4. Ce document d’orientation ne doit pas être interprété comme étant un avis sur la légalité d’utilisations particulières de la RF par les services de police. Tous les commissaires à la protection de la vie privée au niveau fédéral, provincial et territorial se réservent le droit de décider quelles applications de la RF sont autorisées dans leur juridiction et dans quelles situations elles le sont, et ce, en tenant compte de leurs lois respectives.

Portée

5. La présente orientation s’applique aux services de police fédéraux, provinciaux, municipaux et régionaux. Elle n’a pas été rédigée à l’intention des organisations publiques qui sont également chargées de l’application de la loi autres que les services de police (p. ex. le contrôle frontalier) et des organisations du secteur privé qui exercent des activités similaires (p. ex. la sécurité privée). Cependant, ces organisations doivent continuer à se conformer à toutes les lois applicables, y compris les lois sur la protection des renseignements personnels et les lois sur les droits de la personne. Des sections de ce document d’orientation pourront être utiles à cette fin.

Introduction

6. La technologie de reconnaissance faciale (RF) constitue désormais un outil qui est d’un intérêt considérable pour les services de police. Utilisée de manière responsable et dans les bonnes conditions, la RF peut aider les services de police à mener à bien divers projets en matière de sécurité publique, notamment les enquêtes visant des activités criminelles et la recherche de personnes disparues.
7. Parallèlement, la RF pourrait également devenir une technologie de surveillance très envahissante.
8. L’utilisation de la RF entraîne la collecte et le traitement de renseignements personnels sensibles : les données biométriques du visage sont propres à chaque individu, peu susceptibles de varier de manière importante au fil du temps, et ont des caractéristiques intrinsèques qui sont difficiles à modifier. Ces données constituent le noyau même de l’identité personnelle. La collecte et l’utilisation de celles-ci par les services de police permettent d’identifier et, éventuellement, de surveiller des personnes.
9. De plus, la technologie de RF s’adapte facilement, est relativement peu coûteuse à utiliser et peut être mise en œuvre en complément d’une infrastructure de surveillance existante. Elle permet d’automatiser l’extraction de renseignements servant à l’identification d’un large éventail de sources, et ce, à partir d’à peu près n’importe quelles sources d’images numériques (comme la surveillance vidéo et les caméras corporelles), qu’elles soient accessibles en ligne ou non.
10. Le fait que les services de police puissent intégrer la technologie de RF dans leurs activités d’application de la loi crée la possibilité d’un risque de graves atteintes à la vie privée, à moins que des mesures de protection appropriées ne soient mises en place.
11. Le droit de vivre et de s’épanouir à l’abri de la surveillance est un droit fondamental. Au Canada, le droit à la vie privée est reconnu comme étant de nature quasi constitutionnelle pour les organisations du secteur public, et certains aspects du droit à la vie privée sont protégés par les articles 7 et 8 de la Charte canadienne des droits et libertés (la Charte). En vertu de ce droit, les citoyens peuvent circuler dans les espaces publics, semi-publics et privés sans risquer que leurs activités ne soient systématiquement recensées, suivies et surveillées. Même si certaines atteintes peuvent être justifiées dans des circonstances précises, les citoyens ne renoncent pas à leur droit à la vie privée, y compris à leur anonymat, simplement en interagissant dans le monde d’une manière qui peut révéler leur visage à d’autres ou qui peut permettre à une caméra de saisir leur image.
12. La protection de la vie privée est également nécessaire à l’exercice d’autres droits fondamentaux protégés par la Charte. La protection de la vie privée est essentielle à la dignité, à l’autonomie et à l’épanouissement personnel. Elle est une condition préalable à la participation libre et ouverte des citoyens à la vie démocratique. Une surveillance accrue peut dissuader les gens d’exercer ces droits et libertés.
13. La surveillance est également liée à la discrimination systémique, notamment celle que subissent les communautés racisées. Les préoccupations de longue date concernant les interventions disproportionnées des services de police auprès des communautés racisées soulèvent de sérieuses questions quant aux répercussions sur la vie privée et les droits de la personne de l’application de la technologie de RF, par exemple, à des fichiers de données historiques comme des bases de données contenant des photos signalétiques. Lorsqu’ils examinent l’impact de la technologie de RF sur la vie privée des citoyens, les services de police doivent aussi tenir compte du fait que tous ont droit à la même protection et au même bénéfice de la loi, sans discrimination.
14. Si elle est utilisée de manière inappropriée, la technologie de RF peut donc avoir des effets durables et sérieux sur la vie privée et sur d’autres droits fondamentaux. Cela inclut des préjudices subis par certaines personnes dont les renseignements personnels peuvent être recueillis, utilisés ou communiqués, mais aussi des préjudices pour les groupes et les communautés et des préjudices sociétaux plus généraux qui découlent de la plus grande capacité des autorités à surveiller les espaces physiques et numériques dans lesquels les citoyens interagissent. Il peut être difficile de limiter cette plus grande capacité de surveillance une fois qu’elle est enclenchée.
15. La nature de ces risques nécessite une réflexion collective sur les limites de l’utilisation acceptable de la RF. Ces limites sont définies non seulement par les risques liés à des projets précis de RF, mais aussi par les effets cumulés de tous les projets, mis en place au fil du temps, sur la surveillance générale de l’espace public et privé. Ainsi, les limites de l’utilisation acceptable de la RF dépendent en partie des attentes que nous fixons aujourd’hui pour la protection de la vie privée dans le futur, dans un contexte où les capacités technologiques à transgresser les attentes raisonnables des Canadiens à l’égard de leur vie privée augmentent sans cesse.
16. Le processus visant à fixer des limites appropriées à l’utilisation de la RF reste inachevé. Contrairement à d’autres formes de données biométriques recueillies par les services de police, comme les photographies, les empreintes digitales ou les profils d’ADN, l’utilisation de la RF n’est pas assujettie à des règles législatives précises. L’utilisation de cette technologie est plutôt réglementée par une mosaïque de lois et de jurisprudences qui, pour la plupart, ne tiennent pas compte des risques propres à la RF. Cette situation crée une incertitude quant aux utilisations acceptables de la RF et quant aux conditions d’utilisation.
17. C’est dans ce contexte que nos organisations publient le présent document d’orientation. Ce dernier vise à clarifier les responsabilités et obligations légales, telles qu’elles existent actuellement, afin de veiller à ce que toute utilisation de la RF par les services de police soit conforme à la loi, de limiter les risques d’atteinte à la vie privée et de respecter le droit à la vie privée. Ce document d’orientation ne doit pas être considéré comme une justification, une caution ou une approbation de l’utilisation de la RF par les services de police. Il ne remplace pas non plus la nécessité plus générale de se munir d’un cadre réglementaire plus solide en matière de RF.
18. Bien qu’il aborde de nombreuses exigences légales relatives à l’utilisation de la RF, ce document ne les couvre pas nécessairement toutes pour tous les cas de figure. Les services de police demeurent responsables de s’assurer que l’utilisation de la RF est conforme à toutes les exigences légales applicables dans des situations données.

Technologie de reconnaissance faciale

19. La technologie de RF est un type de logiciel qui utilise des techniques complexes de traitement de l’image pour détecter et analyser les caractéristiques biométriques du visage d’une personne aux fins d’identification ou d’authentification. Alors que les premières versions de ces logiciels s’appuyaient sur l’intervention humaine pour sélectionner et mesurer manuellement les points de repère du visage d’une personne, le processus actuel de création d’un modèle facial ou d’une « empreinte faciale » est entièrement automatisé. Grâce à des algorithmes avancés d’« apprentissage profond » entraînés au moyen de millions d’exemples, la technologie de RF peut générer des empreintes faciales en trois dimensions comprenant près d’une centaine de caractéristiques biométriques à partir d’images en deux dimensions.

Comment est utilisée la reconnaissance faciale?

20. L’identification et l’authentification ont des sens très précis dans le contexte de la RF. L’identification est utilisée dans le cadre d’une enquête visant à déterminer l’identité d’une personne inconnue. Dans ce cas, la RF compare l’image saisie dans le système (aussi appelée l’image de comparaison) avec l’ensemble des autres images qui se trouvent dans une base de données d’images faciales préalablement saisies, afin de tenter de connaître l’identité de la personne en cause. Cette méthode est parfois appelée appariement « 1:N ».
21. L’authentification constitue une forme spéciale d’identification. Elle est utilisée principalement pour des raisons de sécurité dans les cas où une identité est déjà associée à l’image de comparaison. Plutôt que d’utiliser plusieurs images, la RF permet de comparer l’image saisie dans le système à la seule image de la base de données qui correspond à la déclaration d’identité. Si ces deux images correspondent, l’identité de la personne en cause est démontrée selon un niveau d’assurance plus élevé. Par opposition à l’identification, l’authentification est parfois appelée appariement « 1:1 ».
22. Le présent document d’orientation porte principalement sur l’utilisation de la RF aux fins d’identification. Même si l’authentification constitue une utilisation courante de la RF de manière générale (p. ex. pour déverrouiller son téléphone), le mandat des services de police correspond davantage au processus d’identification.

Comment fonctionne la reconnaissance faciale?

23. La RF comporte un certain nombre de composantes qui jouent chacune un rôle pour déterminer son fonctionnement dans un ensemble de circonstances particulières. Selon le système de RF utilisé, certaines composantes peuvent être configurées par l’utilisateur. Cependant, dans les cas où la RF est achetée auprès d’un fournisseur plutôt que conçue à l’interne, la fonctionnalité de certaines composantes peut être intégrée à la programmation du logiciel lui-même et ne peut être modifiée qu’en changeant de produit ou en obtenant une version mise à jour.
24. La liste suivante fournit une brève description des principales composantes que les services de police devraient connaître lorsqu’ils utilisent la RF dans un contexte d’application de la loi.
25. Données d’entraînement. Les algorithmes de traitement d’images qui alimentent la RF sont générés à l’aide de méthodes d’apprentissage automatique qui nécessitent un grand nombre d’images étiquetées de visages de personnes aux fins d’entraînement. Cet ensemble d’exemples d’images étiquetées est appelé « données d’entraînement » de l’algorithme. Le processus d’apprentissage automatique permet d’ajuster successivement les paramètres d’un modèle mathématique afin qu’il s’adapte mieux à la structure des données d’entraînement. Ce recours aux données d’entraînement présente à la fois des avantages et des inconvénients. D’une part, l’algorithme de RF est capable d’« apprendre » à détecter les caractéristiques distinctives des visages humains, sans que toutes les règles du programme soient codées explicitement. D’autre part, toute faille ou toute déficience systémique dans les données d’entraînement peut être apprise et ultimement reproduite dans l’algorithme.
26. Algorithmes. La RF fonctionne en effectuant une série de tâches distinctes. Il existe quatre tâches principales à connaître. Chacune de ces tâches est automatisée à l’aide d’un algorithme. Cependant, dans leur ensemble, ces tâches forment un algorithme global qui s’applique au système. Ces tâches peuvent être définies comme suit :
    • Un détecteur de visage balaie l’image et repère les visages qu’elle contient.
    • Un générateur d’empreintes faciales prend l’image d’un visage et génère une empreinte faciale à partir de celle-ci.
    • Un comparateur d’empreintes faciales compare deux empreintes faciales et génère une cote de similarité.
    • Un programme de correspondance d’empreintes faciales lance une recherche dans une base de données d’empreintes faciales et (en utilisant un comparateur d’empreintes faciales) génère une liste de candidats dont la cote de similarité est égale ou supérieure à un seuil de confiance déterminé.
27. Image de comparaison. La RF a recours à une ou plusieurs images de personnes qu’elle tente d’identifier ou d’en vérifier l’identité. Cette image est connue sous le nom d’image « de comparaison ». La manière dont une image de comparaison est saisie dans un système de RF à des fins d’identification peut varier. Lorsqu’il y a un délai important entre la collecte initiale et la comparaison ultérieure de l’image, on parle de RF « différée » (a posteriori). Lorsque la collecte et la comparaison se font instantanément ou presque instantanément, on parle de RF « en direct » ou « en temps réel ». Un cas particulier, combiné, est également possible. Il s’agit d’un cas où, malgré un délai important entre la collecte et la comparaison, la saisie dans le système se fait tout de même de manière automatique et sans aucune appréciation. On parle alors de cas de RF « quasi en direct » ou « quasi en temps réel ».
28. Base de données d’images faciales. Pour identifier une personne ou vérifier l’identité de celle-ci au moyen d’une image de comparaison, la RF doit avoir accès à une base de données d’images de visages identifiées. L’image de la personne à identifier sera comparée aux images contenues dans cette base de données. Habituellement, la base de données d’images faciales est fournie par l’utilisateur dans le cadre d’un projet de RF. Dans le contexte de l’application de la loi, il peut s’agir d’une base de données de photos signalétiques ou de personnes disparues. Cependant, certains fournisseurs de RF ont tenté de compiler leurs propres bases de données, généralement à partir d’images provenant d’Internet, et d’utiliser celles-ci pour développer et mettre en marché leur produit dont le fondement juridique est contestable^{Note de bas de page 1}.
29. Empreinte faciale. Après avoir détecté les différentes caractéristiques du visage d’une personne, la RF les mesure et code le résultat dans un modèle de valeurs numériques appelé « empreinte faciale ». Une empreinte faciale, constituée de caractéristiques biométriques, s’apparente à un modèle d’empreintes digitales, soit un ensemble de caractéristiques physiques uniques et inhérentes à une personne, lesquelles ne peuvent pas être facilement modifiées. Voici des exemples de caractéristiques biométriques codées dans une empreinte faciale :
    • distance entre les yeux;
    • largeur du nez;
    • distance entre le nez et les lèvres;
    • profondeur des orbites;
    • forme des pommettes;
    • longueur de la mâchoire.
30. Cote de similarité. Les visages présentent une grande diversité, tant au niveau de leurs similitudes que de leurs différences. Certains visages peuvent n’avoir pratiquement aucune similitude. D’autres visages peuvent être similaires, voire identiques, à certains égards, mais moins à d’autres ou pas du tout. Un même visage peut avoir un aspect différent selon les circonstances, comme l’éclairage, l’angle d’orientation ou le temps qui s’est écoulé entre la prise des images. Pour illustrer les différentes façons dont les visages peuvent être similaires ou différents, la RF calcule une « cote de similarité », parfois appelée « cote de confiance ». Il s’agit d’une valeur numérique représentant le degré de similarité entre deux empreintes faciales en fonction des caractéristiques biométriques qu’elles contiennent. Une valeur faible indique une similarité moindre et une valeur élevée, une plus grande similarité.
31. Seuil. Même si deux empreintes faciales peuvent avoir une cote de similarité élevée, seules celles qui atteignent ou dépassent un seuil donné sont considérées comme des correspondances possibles. Certains systèmes de RF permettent à l’utilisateur de fixer le seuil, d’autres non. La façon dont le seuil est fixé a une incidence directe sur le nombre de résultats obtenus lors d’une recherche donnée, ce qui a des répercussions sur la précision, y compris sur les taux d’erreur, de l’algorithme de RF. Selon les circonstances, certaines applications peuvent nécessiter des seuils plus élevés que d’autres.
32. Parmi les autres composantes ou fonctionnalités de la RF non mentionnées dans la liste ci-dessus figurent l’évaluation de la qualité et la détection de l’usurpation d’identité^{Note de bas de page 2}.

Cadre de protection de la vie privée

33. Il est possible d’utiliser et d’appliquer la RF dans de nombreuses situations, mais l’éventail des risques qu’elle présente inclut des risques extrêmement graves pour la vie privée. Nombre de ces risques peuvent être difficiles à atténuer et peuvent causer des préjudices importants aux personnes et aux collectivités.
34. Lorsque les services de police envisagent d’avoir recours à la technologie de RF, il est essentiel qu’ils s’assurent non seulement que la loi permet l’utilisation proposée, mais aussi qu’ils appliquent des normes de protection de la vie privée proportionnelles aux préjudices possibles. Dans certains cas, les préjudices possibles peuvent être si graves qu’aucune mesure de protection ne permet de réduire suffisamment le risque d’atteinte à la vie privée. Dans d’autres cas, il peut être possible de gérer les risques de manière appropriée grâce à une planification rigoureuse et à une application diligente des mesures de protection de la vie privée.
35. Le cadre décrit ci-dessous a pour but d’aider les services de police à s’assurer que l’utilisation de la RF est légale et assortie de normes de protection de la vie privée proportionnelles aux risques de préjudices en cause. Il repose sur l’application de principes acceptés mondialement en matière de protection de la vie privée, dont un grand nombre sont repris dans les lois sur la protection des renseignements personnels. Même si les obligations légales précises peuvent varier d’une province ou d’un territoire à l’autre, nous nous attendons à ce que tous les services de police respectent la loi et nous recommandons qu’ils se conforment aux pratiques exemplaires figurant dans le présent cadre, étant donné le risque élevé de préjudice qui peut résulter d’une utilisation inappropriée de la technologie de RF.
36. Ultimement, il incombe aux services de police ainsi qu’aux organismes de surveillance des services de police (c’est-à-dire les commissions des services de police et les commissaires de police) de s’assurer que toute utilisation de la technologie de RF est autorisée par la loi et que les risques d’atteinte à la vie privée sont gérés de manière appropriée. Le présent document d’orientation constitue un point de départ à partir duquel il est possible d’intégrer des mesures de protection de la vie privée dans les projets de RF. Les services de police pourraient avoir besoin de mettre en place des mesures de protection de la vie privée supplémentaires en fonction de la nature et de la portée des risques pour la vie privée introduits par un projet en particulier, et conformément aux lois de la province ou du territoire concerné.

Conformité à la loi

37. Les services de police doivent s’assurer que la loi leur permet d’utiliser la RF et ils doivent l’utiliser d’une manière qui respecte le droit à la vie privée des Canadiens. La présente section traite des sources possibles de fondement juridique pour l’utilisation de la RF par les services de police, ainsi que des limites de ces utilisations possibles.
38. Pour établir s’ils ont l’autorité de mettre en œuvre et d’exploiter un programme de RF proposé et si le programme respecte adéquatement les droits des personnes, les services de police devraient obtenir un avis juridique. Le programme proposé pourrait ne pas pouvoir être mis en œuvre selon les conclusions de l’avis juridique.
39. Les provinces et les territoires canadiens n’ont pas encore adopté de loi traitant précisément de la technologie de RF, à l’exception du Québec, qui dispose d’un régime encadrant la collecte et l’utilisation des renseignements biométriques^{Note de bas de page 3}.
40. Comme la RF entraîne la collecte et l’utilisation de renseignements personnels, elle est assujettie aux lois applicables sur la protection des renseignements personnels. Les services de police doivent également établir si la RF est conforme à la Charte ainsi qu’aux lois relatives aux droits de la personne^{Note de bas de page 4}. La mesure dans laquelle ces lois s’appliqueront à l’utilisation de la RF par les services de police est à déterminer.

Sources de fondement juridique

41. Il n’existe pas de cadre juridique précis pour l’utilisation de la RF au Canada. Le cadre juridique est plutôt constitué d’une mosaïque faisant intervenir des lois et la common law. Il s’agit notamment des lois fédérales et provinciales sur la protection des renseignements personnels, des lois régissant les pouvoirs et les activités des services de police^{Note de bas de page 5} et de la jurisprudence relative à la Charte.
42. Comme il a été décrit dans la section précédente, la RF requiert la collecte et l’utilisation de renseignements personnels à de multiples étapes, telles que : l’entraînement d’un algorithme de RF, la création d’une base de données d’images faciales, la collecte des images à comparer à celles saisies dans la base de données, et parfois à d’autres étapes. Il doit exister une assise juridique pour toutes les étapes qui entraînent la collecte de renseignements personnels. En outre, lorsque les services de police ont recours à des fournisseurs ou à des tierces parties pour des services de RF, dont des bases de données de RF, ils doivent s’assurer que la loi permet à ces fournisseurs de recueillir et d’utiliser les renseignements personnels qui composent leurs services.
43. Les sources de fondement juridique peuvent comprendre les lois, mais également la common law. Veuillez noter que la section suivante sert principalement à illustrer un propos. Elle ne doit en aucun cas être considérée comme un avis sur la validité ou la portée des fondements juridiques possibles.

Autorisation judiciaire

44. Les services de police peuvent demander et obtenir l’autorisation judiciaire de recueillir et d’utiliser des empreintes faciales dans les situations qui justifient une telle intervention. L’article 487.01 du Code criminel prévoit la délivrance de mandats qui autorisent une intrusion dans la vie privée d’une personne lorsqu’un juge est convaincu : qu’il existe des motifs raisonnables de croire qu’une infraction a été ou sera commise et que des renseignements relatifs à l’infraction seront obtenus grâce à une telle utilisation ou à l’accomplissement d’un tel acte; que la délivrance du mandat servirait au mieux l’administration de la justice d’agir; et dans les situations pour lesquelles il n’existe aucun fondement juridique permettant d’intervenir en ce sens^{Note de bas de page 6}. Ces autorisations sont assujetties aux conditions habituelles pour l’obtention d’un mandat, ainsi qu’à toute condition ou limitation supplémentaire imposée par les tribunaux lorsqu’ils les accordent.

Pouvoirs conférés par la loi

45. Les services de police peuvent également invoquer des lois précises pour justifier le bien-fondé de leurs interventions. Par exemple, à des fins d’identification, la Loi sur l’identification des criminels permet aux services de police de prélever des empreintes digitales ou de photographier des personnes accusées ou déclarées coupables de certains crimes^{Note de bas de page 7}. Elle autorise aussi la publication de ces éléments d’identification afin de fournir des renseignements aux policiers et aux autres personnes chargées de l’application ou de l’exécution de la loi. La Loi sur l’identification des criminels n’autorise cependant pas la collecte arbitraire de photographies d’autres personnes au sein de la population en général. Un avis juridique serait nécessaire pour établir si – et dans quelles situations – cette loi constitue un fondement juridique pour une utilisation précise de la RF, et plus particulièrement pour une utilisation des bases de données existantes de photos signalétiques qui y sont liées.

Pouvoirs conférés par la common law

46. Les services de police jouent un rôle crucial dans la promotion de l’intérêt public tels que le maintien de la paix, la prévention des crimes et l’administration de la justice^{Note de bas de page 8}. La common law, tout comme les pouvoirs conférés par la loi, peuvent permettre des interventions policières qui portent atteinte aux libertés des personnes pour la poursuite de ces objectifs sociétaux. Le terme « liberté » utilisé dans les discussions sur les pouvoirs conférés aux services de police par la common law englobe les droits et libertés constitutionnels comme la vie privée abordés ci-dessous^{Note de bas de page 9}. Par exemple, les tribunaux ont reconnu le pouvoir des services de police sous le régime de la common law d’effectuer des fouilles sans mandat dans des situations exceptionnelles^{Note de bas de page 10}.
47. Les tribunaux canadiens ont limité les pouvoirs des services de police conférés par la common law^{Note de bas de page 11}. Pour qu’une intervention policière soit autorisée par la common law, elle doit :
    1. s’inscrire dans la portée générale du devoir de la police prévu par la loi ou la common law;
    2. entraîner un exercice justifiable des pouvoirs de la police liés au devoir susmentionné^{Note de bas de page 12}.
48. La seconde exigence consiste à évaluer si l’intervention de la police « est raisonnablement nécessaire pour l’accomplissement du devoir ». De plus, elle permet de prendre en compte trois facteurs, soit :
    1. l’importance de l’accomplissement du devoir pour l’intérêt public;
    2. la nécessité de l’entrave à la liberté des personnes pour l’accomplissement du devoir;
    3. l’étendue de l’atteinte à la liberté des personnes^{Note de bas de page 13}.
49. Découlant des facteurs susmentionnés, l’entrave à la liberté doit être considérée comme nécessaire vu l’étendue du risque et de la liberté en jeu, et attentatoire que dans la mesure raisonnablement nécessaire pour faire face au risque^{Note de bas de page 14}.
50. L’examen judiciaire de l’utilisation de la RF par les services de police demeure limité jusqu’à présent et les tribunaux canadiens n’ont pas eu l’occasion d’établir si l’utilisation de cette technologie est autorisée par la common law^{Note de bas de page 15}. Si l’utilisation de la RF contrecarre les attentes raisonnables en matière de vie privée d’une personne et que celle-ci n’est pas autorisée par une loi ou la common law, une autorisation prévue à l’article 487.01 du Code criminel sera généralement requise pour y avoir recours.

Respect des droits des Canadiens

51. Même si les services de police ont besoin d’une assise juridique pour mettre en œuvre un programme de RF, ils doivent également protéger les droits des personnes. La Charte, ainsi que les lois fédérales et provinciales sur la protection des renseignements personnels, prévoient des mesures de protection.

La Charte canadienne des droits et libertés

52. La Charte confère aux personnes le droit d’être protégées contre les fouilles et les saisies abusives effectuées par les services de police^{Note de bas de page 16}.
53. Pour établir si une intervention policière constitue une fouille déraisonnable, un tribunal doit, dans un premier temps, déterminer si une fouille a eu lieu. Cette conclusion dépend de l’attente raisonnable d’une personne à ce que sa vie privée soit protégée dans le contexte de la fouille et de l’ensemble des circonstances. L’analyse qui consiste à établir s’il y a bel et bien eu fouille se fonde sur un certain nombre de facteurs interreliés tels que l’objet même de la fouille et la nature des intérêts en matière de protection de la vie privée de la personne par rapport à celle-ci.
54. Dans le contexte de la RF, tant la collecte d’une image de comparaison que la collecte d’images pour une base de données d’images faciales doivent être conformes à la Charte. Étant donné que ces collectes peuvent soulever des considérations différentes, il peut être nécessaire de les évaluer séparément pour établir si elles suscitent une attente raisonnable en matière de vie privée.
55. En général, l’évaluation de l’attente raisonnable dans le contexte de la RF devra probablement prendre en compte, entre autres, les intérêts de la personne en matière de protection de la vie privée par rapport aux photographies sources, la manière dont ces photographies ont été recueillies et les circonstances de la collecte, et les fins auxquelles elles ont été recueillies. Cette évaluation doit également tenir compte des empreintes faciales que les services de police génèrent ou utilisent et de tout renseignement supplémentaire concernant les gestes posés par une personne et sa localisation, qui peut être révélé par le croisement de renseignements relatifs à l’identité, des images vidéo et des métadonnées, comme une indication de la date et de l’heure, et d’autres renseignements d’identification^{Note de bas de page 17}. L’existence d’une attente raisonnable en matière de vie privée est également tributaire du contexte dans lequel survient l’utilisation de la RF. Selon le contexte, une personne pourrait, d’un point de vue subjectif, s’attendre raisonnablement à ce que sa vie privée soit protégée. De surcroît, le tribunal établira si cette attente raisonnable en matière de vie privée est objectivement raisonnable en tenant compte du niveau de protection de la vie privée auquel devrait s’attendre toute personne dans une société libre et ouverte, en soulignant le fait que, fondamentalement, les attentes relatives à la protection de la vie privée sont non seulement descriptives, mais également normatives^{Note de bas de page 18}.
56. L’évaluation pour établir si une utilisation en particulier de la RF suscite une attente raisonnable en matière de vie privée dépend de l’ensemble des circonstances. Il est évident que la RF utilise des renseignements personnels sensibles qui, en général, ne peuvent être modifiés et qui peuvent servir à identifier des personnes dans le cadre de situations très sensibles du point de vue de la vie privée. En outre, le fait que les visages des personnes soient visibles publiquement n’écarte pas automatiquement une attente raisonnable en matière de vie privée. En effet, les personnes ne s’attendent pas à faire l’objet d’une surveillance lorsqu’elles vaquent à leurs occupations normales et légitimes, et conservent généralement certaines attentes raisonnables en matière de vie privée même dans les espaces publics^{Note de bas de page 19}. Inversement, même si une personne peut s’attendre à ce que la RF soit utilisée, une plus grande atteinte à la vie privée ne devient pas socialement acceptable simplement en raison des progrès technologiques ou parce que les pratiques des services de police ont changé^{Note de bas de page 20}.
57. Si une fouille a bien eu lieu, un tribunal établira alors si la fouille était raisonnable. Pour qu’une fouille soit raisonnable, elle doit être autorisée par une loi raisonnable et effectuée d’une manière qui n’est pas abusive.

Lois sur la protection des renseignements personnels

58. Les lois sur la protection des renseignements personnels définissent les conditions dans lesquelles les organismes publics peuvent recueillir, utiliser, communiquer et conserver les renseignements personnels. Les institutions publiques, y compris les services de police, sont généralement autorisées par les lois sur la protection des renseignements personnels à recueillir des renseignements personnels à des fins légitimes^{Note de bas de page 21}. À titre d’exemple, certaines lois provinciales en matière de protection des renseignements personnels dans le secteur public autorisent la collecte de renseignements personnels à des fins d’« application de la loi »^{Note de bas de page 22}. Les services de police devraient établir si la collecte de renseignements personnels au moyen de la RF s’inscrit dans le cadre de l’« application de la loi », ou d’une des autres fins autorisées pour la collecte de renseignements personnels énoncées dans la loi. Au niveau de la législation fédérale, la collecte de renseignements personnels doit être directement liée à un programme ou à une activité de l’institution fédérale qui recueille les renseignements personnels^{Note de bas de page 23}. Cela signifie que les institutions fédérales doivent s’assurer qu’elles ont l’autorité parlementaire pour le programme ou l’activité pour lequel les renseignements sont recueillis^{Note de bas de page 24}.
59. Même si les critères permettant d’établir la validité d’une collecte de renseignements personnels varient selon les provinces et les territoires, les principes de protection de la vie privée abordés ci-dessous figurent dans de nombreuses lois sur la protection des renseignements personnels applicables. Une fois les renseignements personnels recueillis, les services de police ne peuvent généralement les utiliser qu’à la fin pour laquelle ils ont été recueillis ou compilés, ou pour une utilisation compatible avec cette fin, sauf autorisation contraire. Toutefois, le respect des lois sur la protection des renseignements personnels ne permet pas nécessairement de remédier à tout vice juridique qui pourrait exister au titre de la Charte^{Note de bas de page 25}.

Nécessité et proportionnalité

60. Les principes de nécessité et de proportionnalité garantissent que les pratiques portant atteinte à la vie privée sont mises en œuvre pour un objectif suffisamment important et qu’elles sont rigoureusement adaptées afin de ne pas porter atteinte au droit à la vie privée autrement que si cela est nécessaire. Dans le cas de l’application de la loi, il existe un intérêt public évident d’assurer la sécurité publique, mais aussi de protéger le droit fondamental des personnes à la vie privée. Même si le droit à la vie privée n’est pas absolu, la quête de la sécurité publique ne peut justifier quelconques formes de violations des droits. Par conséquent, les services de police ne peuvent utiliser que des moyens justifiables dans une société libre et démocratique.
61. Les principes de nécessité et de proportionnalité existent à des degrés divers dans les lois sur la protection des renseignements personnels, le critère de common law relatif aux pouvoirs des services de police^{Note de bas de page 26} et la Charte^{Note de bas de page 27}. Dans certaines provinces et dans certains territoires, les lois sur la protection de la vie privée exigent que les organismes publics, y compris les services de police, recueillent des renseignements personnels uniquement s’ils sont « nécessaires » ou « raisonnablement nécessaires » pour atteindre les fins envisagées^{Note de bas de page 28}. Dans d’autres provinces et territoires, les principes de nécessité et de proportionnalité sont considérés comme une exigence de politique ou une pratique exemplaire en vertu des lois applicables sur la protection des renseignements personnels^{Note de bas de page 29}. Pour conclure à la nécessité et à la proportionnalité du recours à la RF − qu’il s’agisse d’une exigence légale stricte ou d’une pratique exemplaire –, il faudra de manière générale procéder à une évaluation des éléments suivants.
62. Nécessaire pour répondre à un objectif précis : Les droits ne sont pas absolus et peuvent être restreints si cela est nécessaire pour atteindre un objectif suffisamment important^{Note de bas de page 30}. Le terme « nécessaire » signifie plus que simplement « utile ». Il est important de définir l’objectif d’un programme de RF avec précision. Il ne suffit pas de s’appuyer sur des objectifs généraux de sécurité publique pour justifier l’utilisation d’une technologie aussi intrusive que la RF. Les services de police devraient démontrer la nature urgente et importante de l’objectif en question par des preuves. En outre, l’étendue des renseignements personnels recueillis ne devrait pas être trop vaste; elle devrait être adaptée et nécessaire pour atteindre l’objectif en question.
63. Efficacité : Les services de police doivent être en mesure de démontrer que la collecte de renseignements personnels sert réellement à atteindre l’objectif poursuivi. Les services de police devraient fournir des preuves qui attestent que l’utilisation précise de la RF proposée permettra d’atteindre les objectifs précis du programme. Cette démonstration d’efficacité devrait tenir compte de tout problème connu en matière d’exactitude associé à l’utilisation en question.
64. Atteinte minimale : L’intrusion des services de police dans la vie privée des personnes ne doit pas aller au-delà de ce qui est raisonnablement nécessaire pour atteindre l’objectif légitime de l’État^{Note de bas de page 31}. La portée d’un programme devrait être aussi restreinte que possible. En cas d’utilisation de la RF, les services de police devraient être en mesure de démontrer qu’il n’existe aucun autre moyen moins intrusif pour la vie privée permettant d’atteindre l’objectif de manière raisonnable^{Note de bas de page 32} et de justifier la non-utilisation de mesures portant moins atteinte à la vie privée^{Note de bas de page 33}.
65. Proportionnalité : Cette étape nécessite d’évaluer si l’atteinte à la vie privée engendrée par le programme est proportionnelle à l’avantage obtenu^{Note de bas de page 34}. Les services de police devraient d’abord déterminer les répercussions qu’aura l’utilisation de la RF sur la protection de la vie privée des personnes, en tenant compte des facteurs généraux tels que ceux mentionnés dans l’introduction du présent document et des répercussions propres à l’utilisation prévue de la RF, par exemple sur certains groupes. Ensuite, les services de police devraient établir si ces atteintes à la vie privée sont justifiées par les avantages liés au recours à la RF. Un aspect inhérent à cette étape tient à considérer le fait que tous les objectifs n’ont pas le même poids. À titre d’exemple, empêcher un complot terroriste connu justifierait une intrusion dans la vie privée plus importante que celle qui serait associée à la capture d’une personne ayant commis un acte de vandalisme mineur. Pour examiner cet aspect, les services de police doivent être conscients de la possibilité que, dans une société libre et démocratique, l’atteinte engendrée par un système de RF qui a une incidence importante sur la vie privée (comme dans le cas d’une surveillance de masse) pourrait ne jamais être proportionnelle aux avantages obtenus. Lorsque l’incidence est importante, les services de police devraient se montrer particulièrement prudents avant de recourir à la RF en l’absence de contrôles et de mesures de protection légales clairs et exhaustifs permettant de protéger la vie privée et les droits de la personne de la population en général. Le fait de demander un mandat et une autorisation du tribunal pourrait contribuer à faire en sorte qu’une utilisation proposée de la RF respecte le critère de proportionnalité.

Protection de la vie privée dès la conception

66. Il est important d’intégrer des mesures de protection de la vie privée dès la conception d’un projet. Cela permettra de s’assurer que la protection de la vie privée est une composante essentielle de tout projet ou de tout système de RF. Pour être le plus efficaces possible, ces mesures de protection doivent être intégrées au tout début de la conception et de la planification jusqu’au déploiement et à la mise en œuvre à long terme du projet^{Note de bas de page 35}.
67. Tenir compte de la protection de la vie privée dès la conception d’un projet signifie que les services de police doivent intégrer officiellement les mesures de protection de la vie privée avant de s’engager dans toute utilisation de la technologie de RF. Les mesures de protection de la vie privée doivent également être conçues de manière à protéger tous les renseignements personnels associés à un projet donné, y compris les données d’entraînement, les empreintes faciales, les images sources, les bases des données d’images faciales ainsi que les renseignements déduits à la suite d’une recherche par RF, en plus de tout autre renseignement personnel susceptible d’être recueilli, utilisé, communiqué ou conservé.

Évaluations des facteurs relatifs à la vie privée

68. Un moyen utile d’intégrer la protection de la vie privée dès la conception d’un projet est de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP). L’EFVP est un outil largement reconnu qui est utilisé pour analyser et prendre en compte les répercussions des projets sur la vie privée. Lorsqu’elles sont utilisées correctement, les EFVP permettent de s’assurer que les programmes et les activités répondent aux exigences légales et atténuent les risques d’atteinte à la vie privée.
69. Les services de police devraient réaliser une EFVP avant de mettre en œuvre des projets (y compris des projets pilotes) qui entraînent la collecte, l’utilisation ou la communication de renseignements personnels, ou avant d’apporter d’importantes modifications à de tels projets. Dans certaines provinces et certains territoires canadiens, les institutions gouvernementales sont tenues par la législation ou par les politiques de réaliser des EFVP. Les services de police devraient réaliser des EFVP conformément à toutes les exigences législatives et exigences de politiques applicables dans leur province ou territoire.
70. Pour réaliser une EFVP efficace, les services de police devraient :
    • Consigner le processus relatif à l’EFVP dans un rapport sur l’EFVP;
    • Suivre toute directive fournie par le commissaire à la protection de la vie privée compétent sur le processus d’EFVP^{Note de bas de page 36};
    • Atténuer les risques soulevés dans l’EFVP;
    • Désigner une personne responsable de la gestion des risques résiduels;
    • Effectuer une nouvelle EFVP (ou, le cas échéant, modifier l’EFVP existante) si des changements majeurs qui pourraient avoir une incidence sur la collecte, l’utilisation, la communication ou la conservation des renseignements personnels sont apportés au projet.
71. Pour mieux comprendre les risques d’atteinte à la vie privée, les obligations à cet égard et les mesures d’atténuation pour le projet envisagé, les services de police devraient consulter des experts en la matière et les parties prenantes concernées dès le début du processus d’EFVP. Les consultations devraient se faire auprès :
    • du commissariat à la protection de la vie privée compétent, dans les provinces et territoires où ce commissariat offre des services-conseils;
    • du commissariat aux droits de la personne compétent, compte tenu du lien étroit entre le droit à la vie privée et les droits de la personne en général, parmi lesquels figure le droit à la protection contre la discrimination;
    • des représentants des groupes en quête d’équité, notamment les groupes et communautés autochtones locaux^{Note de bas de page 37}.
    • d’autres conseils consultatifs et groupes d’experts représentant les personnes touchées par le projet, dans la mesure où ils peuvent être consultés.
72. L’évaluation des risques fait partie intégrante du processus d’EFVP. Les services de police devraient prendre en compte tous les risques pertinents lors de la réalisation de l’EFVP, y compris les répercussions possibles sur :
    • les personnes;
    • les communautés dans lesquelles la RF peut être mise en œuvre;
    • les groupes qui peuvent être touchés de manière disproportionnée par les atteintes à la vie privée;
    • la confiance du public à l’égard de la collecte et de l’utilisation des renseignements personnels par les services de police;
    • les droits de la personne et les droits démocratiques, y compris le droit à la vie privée, à l’égalité, aux réunions pacifiques et à la liberté d’expression.
73. Après avoir évalué les répercussions possibles susmentionnées, les services de police ne devraient pas poursuivre la planification et la mise en œuvre du projet, à moins de pouvoir expliquer clairement^{Note de bas de page 38} :
    1. la raison pour laquelle l’utilisation proposée de la RF est nécessaire pour répondre à un besoin précis qui a un lien logique avec un objectif public urgent ou substantiel;
    2. les avantages attendus du projet et la mesure dans laquelle ils sont proportionnels aux risques encourus;
    3. la raison pour laquelle d’autres moyens moins intrusifs ne sont pas suffisants;
    4. la manière dont les risques encourus seront réduits au minimum pendant la mise en œuvre du projet.
74. Les services de police devraient consigner leur évaluation des risques, y compris leurs explications sur les points susmentionnés, dans le rapport sur l’EFVP. Pour réaliser une EFVP efficace, les services de police devraient veiller à ce qu’elle soit menée par des personnes ayant les compétences nécessaires pour cerner et analyser les risques. Cela peut vouloir dire de consulter :
    • des conseillers juridiques;
    • le personnel chargé de la protection de la vie privée;
    • le personnel responsable du programme (les personnes qui géreront le projet);
    • les parties prenantes;
    • des experts techniques;
    • la direction;
    • des fournisseurs tiers de service.

Surveillance et réévaluation

75. L’analyse des risques d’atteinte à la vie privée est un processus continu qui ne prend pas fin au moment de mener l’EFVP ou de procéder à la réalisation d’un projet. Les EFVP doivent être mises à jour périodiquement. De plus, elles peuvent aider à assurer la gestion continue des risques d’atteinte à la vie privée dans le cadre de la stratégie globale de gestion des risques d’un service de police.
76. Les services de police devraient surveiller et réévaluer en permanence les risques d’atteinte à la vie privée et l’efficacité des mesures de protection de la vie privée. Pour y parvenir, ils devraient adopter les pratiques exemplaires suivantes :
    • Vérification annuelle de la conformité. Des personnes à l’interne ou à l'externe possédant les compétences requises devraient effectuer des vérifications de conformité chaque année pour évaluer :
      • la conformité continue aux exigences légales, y compris la conformité du projet à la loi;
      • la conformité continue au programme de gestion de la protection de la vie privée s’appliquant au projet dans son ensemble, y compris la conformité aux politiques, aux procédures et aux protocoles concernant la responsabilité, la transparence, la sécurité des données, la communication, la conservation et le principe de finalité;
      • le système de fonds de données et de conservation des données du projet, afin de garantir que les renseignements personnels sont conservés puis détruits conformément aux procédures de conservation du projet;
      • la conformité des tiers aux obligations du projet en matière de protection de la vie privée, y compris la conformité aux exigences en matière d’approvisionnement et aux ententes d’échange de renseignements personnels (voir les recommandations formulées ci-dessous dans les sections Responsabilité et Principe de finalité).
    • Examen annuel de programmes. Pour assurer l’efficacité du programme, des examens devraient être effectués chaque année pour évaluer la mesure dans laquelle les activités du programme atteignent les objectifs du projet. L’évaluation devrait se faire à l’aide de critères démontrables (p. ex. le nombre d’arrestations, d’accusations ou de condamnations résultant de l’utilisation de la RF).
77. Les services de police devraient continuer à consulter les parties prenantes pertinentes, y compris les représentants des groupes touchés par l’utilisation de la RF, tout au long de la réalisation du projet. Ces consultations peuvent être une source précieuse d’information sur les répercussions des projets sur la vie privée.
78. Les services de police devraient mettre à jour les politiques, les procédures et les accords écrits, le cas échéant et si nécessaire, afin de garantir la conformité continue aux responsabilités en matière de protection de la vie privée. Par exemple, il se peut que les services de police doivent modifier les politiques, les procédures et les accords à la suite de vérifications, d’examens de programmes, d’atteintes, de réformes législatives, de nouvelles orientations ou de progrès technologiques. Ces modifications devraient être communiquées au personnel concerné et consignées dans l’EFVP.

Exactitude

79. Les services de police doivent s’assurer que les renseignements personnels recueillis et utilisés dans le cadre d’un projet de RF sont suffisamment exacts et à jour. La précision des logiciels de RF ne peut pas être considérée comme acquise, étant donné les risques sérieux que la collecte et l’utilisation de renseignements inexacts font peser sur les droits des personnes.
80. Afin de respecter les obligations relatives à la précision dans le cadre d’un projet de RF, il faut tenir compte du système de RF dans son ensemble. La RF est composée d’un certain nombre d’éléments, lesquels soulèvent tous des préoccupations particulières. Ce n’est que lorsque les éléments constitutifs d’un système de RF traitent les renseignements personnels avec précision et équité que l’on peut dire que le système dans son ensemble fait de même.
81. En ce qui concerne les données d’entraînement, l’une des principales considérations est le rôle qu’elles peuvent jouer en contribuant à la présence de biais dans le système de RF. Si les données d’entraînement utilisées pour générer un algorithme de RF ne représentent pas suffisamment les visages de certains groupes démographiques, la précision de l’algorithme sera probablement inégale selon les groupes de personnes. Il est possible qu’un algorithme de RF produise des résultats erronés, tout particulièrement lorsqu’il a été entraîné en s’appuyant sur des données non représentatives ou biaisées. Des études révèlent que les algorithmes de RF présentent des taux d’erreur très variables pour les visages de personnes de différentes origines ethniques et de différents genres^{Note de bas de page 39}. D’autres recherches démontrent que le manque de données d’entraînement diversifiées et de haute qualité constitue la principale cause de ces différences^{Note de bas de page 40}.
82. Trois éléments clés sont à prendre en compte en ce qui concerne la précision de l’algorithme de RF. Le premier élément dont il faut tenir compte est le fait que la précision est interprétée de manière statistique. Le résultat d’un algorithme de RF est une inférence probabiliste quant à la probabilité que deux images représentent la même personne. Il ne s’agit pas d’un fait vérifié concernant la personne. Ainsi, la précision n’est pas une mesure binaire comme « vrai ou faux », elle est plutôt calculée sur la base des taux d’erreur observés de l’algorithme au cours des recherches. Deux types d’erreurs sont à prendre en compte :
    1. Les faux positifs (également connus sous le nom d’erreurs de « type I ») où l’algorithme trouve une image donnant une correspondance potentielle, dans la base de données d’images faciales, qui n’est pas celle de la personne sur l’image de comparaison;
    2. Les faux négatifs (également connus sous le nom d’erreurs de « type II ») où l’algorithme ne parvient pas à trouver une correspondance réelle dans la base de données d’images faciales, alors qu’une telle correspondance s’y trouve pourtant.
83. Le deuxième élément à prendre en compte est qu’il existe généralement un équilibre entre les taux de faux positifs et de faux négatifs d’un algorithme de RF. Ce phénomène s’explique par le seuil de correspondance probable. En fonction du niveau du seuil (élevé ou bas), un algorithme de RF générera plus ou moins de correspondances potentielles. Toutefois, le nombre de résultats fournis par l’algorithme a des répercussions sur son taux d’erreur. Ainsi, un seuil plus élevé fournira uniquement les correspondances présentant une probabilité plus élevée et réduira le nombre de faux positifs, mais il fera en sorte que l’algorithme sera plus susceptible de ne pas détecter les correspondances à faible probabilité, ce qui entraînera possiblement un plus grand nombre de faux négatifs.
84. Enfin, il importe de tenir compte du fait que la détermination d’un seuil approprié dépendra de la nature, de la portée, du contexte et de l’objet du projet de RF, en tenant compte des risques pour les droits et les libertés des personnes. À proprement parler, il n’existe aucun seuil approprié unique. Il s’agit de donner la priorité à la réduction de certains types d’erreurs en fonction de la nature et de la gravité des risques qu’ils posent aux personnes, tout en assurant l’efficacité globale du système de RF.
85. La base de données d’images faciales et les images de comparaison sont deux autres éléments qui soulèvent des questions importantes sur le plan de la précision et de l’équité. Il faut tenir compte de la qualité ou du temps qui s’est écoulé entre la prise des images qu’elle contient et des effets possibles de celles-ci sur la précision du système de RF. Par exemple, des études ont révélé que des images de moindre qualité entraînent une baisse de précision et que le temps écoulé entre deux images d’une même personne augmente la probabilité que les résultats soient de faux négatifs^{Note de bas de page 41}. Cependant, il est également important de prendre en compte les caractéristiques démographiques des images obtenues par RF, en particulier, de celles des personnes figurant dans la base de données d’images faciales, et de se demander si la représentation disproportionnée de certains groupes peut avoir des effets négatifs. Un système de RF peut être exposé à un « effet de rétroaction » selon lequel la constitution des personnes figurant dans une base de données d’images faciales conduit la police à soupçonner ces personnes ainsi que leurs associés ou leur communauté de manière répétée, augmentant ainsi le caractère disproportionné de leur représentation démographique au fil du temps.
86. Le dernier élément à mentionner est l’intervention humaine. Même si l’intervention humaine constitue une mesure d’atténuation importante pour réduire les risques d’inexactitude et de préjugés, elle peut aussi, par inadvertance, réintroduire ces mêmes risques dans le système de RF. Contrairement aux ordinateurs, les humains peuvent se sentir dépassés lorsqu’une quantité excessive de renseignements leur est présentée. Pour que l’intervention humaine soit efficace, il faut que les personnes chargées de l’intervention soient formées sur la comparaison faciale judiciaire ainsi que sur le fonctionnement du système de RF, y compris sur les résultats du système. De plus, ces personnes doivent disposer d’un délai suffisant et proportionnel au nombre de correspondances potentielles qu’elles sont censées évaluer. Cependant, même avec une formation et un délai suffisant, l’intervention humaine peut être influencée de façon excessive par le niveau de précision statistique du système de RF. Il est important d’éviter les « partialités relatives à l’automatisation » ou la tendance à trop se fier aux systèmes automatisés lors de décisions prises par une personne. Le fait que le système de RF s’appuie sur des calculs mathématiques ne signifie pas nécessairement que ses prévisions sont exactes ou justes.
87. Compte tenu de ce qui précède, il est impératif que les services de police prennent des mesures pour réduire les inexactitudes et les biais dans tout déploiement de la technologie de RF. Ces mesures devraient inclure les meilleures pratiques suivantes :
88. Les services de police devraient exiger des fournisseurs de RF qu’ils :
    • rendent accessibles leurs algorithmes de RF pour des essais externes indépendants^{Note de bas de page 42};
      • Les essais devraient comprendre une évaluation de la précision de l’algorithme ainsi que de l’efficacité de celui-ci dans des populations sociodémographiques distinctes (p. ex. des groupes en fonction de la race, du genre et de l’âge).
    • précisent, dans les résultats de chaque recherche par RF, la cote de similarité, c’est-à-dire une estimation de la probabilité qu’une correspondance donnée soit exacte (p. ex. sous forme de pourcentage).
89. Les services de police devraient également :
    • Fixer un seuil approprié afin de donner la priorité à la réduction de certains types d’erreurs en fonction de la nature et de la gravité des risques encourus par les personnes concernées, tout en garantissant l’efficacité globale du système de RF.
    • Effectuer des tests à l’interne pour détecter les biais et les inexactitudes relatifs à l’efficacité du système de RF dans son ensemble avant le déploiement, puis de façon périodique pendant son déploiement.
    • S’assurer que les essais sont effectués par des personnes ou des organisations qualifiées pour évaluer de manière indépendante l’efficacité des systèmes de RF.
    • Veiller à ce que les essais respectent les normes et spécifications techniques reconnues, notamment en ce qui concerne les mesures de performance, l’enregistrement des données d’essai, la communication des résultats d’essai, les protocoles et méthodologies d’essai ainsi que les variations démographiques^{Note de bas de page 43}.
    • Préciser la cote de similarité, comme celle indiquée dans les résultats des recherches par RF, au moment de l’enregistrement ou de la communication de renseignements au sujet d’une correspondance.
    • Utiliser uniquement des images de haute qualité et récentes dans la base de données d’images faciales et comme images de comparaison.
    • Envisager de recourir à un algorithme d’évaluation de la qualité des images pour établir le niveau de qualité des images versées dans le système de RF^{Note de bas de page 44}.
    • Maintenir les systèmes de RF à jour, à mesure que la technologie des algorithmes de RF s’améliore.
    • Cesser d’utiliser la RF si les essais internes ou externes révèlent :
      • une précision statistique insuffisante dans le système de RF, ou
      • une variation significative des taux d’erreur selon les populations socio-démographiques.
90. Les services de police ne devraient pas :
    • Automatiser entièrement les décisions administratives fondées sur les résultats des procédures de mise en correspondance de la RF.
      • En d’autres termes, les décisions qui touchent aux droits, aux privilèges ou aux intérêts légaux devraient être prises par des humains, y compris, par exemple, les décisions concernant la détention ou l’accusation d’individus dans le cadre d’un crime ou l’ouverture d’une enquête à leur sujet.
    • Agir à partir d’une correspondance de RF à moins que cette correspondance n’ait été examinée dans un délai approprié par un agent qui a reçu une formation sur les technologies, les procédures, les résultats et les limites de l’identification par RF.
      • En outre, il devrait y avoir une séparation des rôles entre l’agent chargé de l’examen et l’enquêteur ou l’agent sur le terrain qui est le demandeur afin d’éviter tout biais de confirmation.

Responsabilité

91. Les services de police sont responsables des renseignements personnels qu’ils détiennent, et ils devraient être en mesure de démontrer qu’ils se conforment aux exigences légales.

Programme de gestion de la protection de la vie privée

92. Un service de police responsable devrait disposer d’un programme de gestion de la protection de la vie privée, avec une organisation, des politiques, des procédures et des systèmes clairs pour établir le partage des responsabilités en matière de protection de la vie privée, coordonner le travail dans ce domaine, gérer les risques liés à la protection de la vie privée et assurer la conformité aux lois sur la protection des renseignements personnels.
93. Les composantes essentielles d’un programme de gestion de la protection des renseignements personnels sont les suivantes :
    • Des politiques et procédures précisant les circonstances et les méthodes de collecte, d’utilisation, de conservation et de communication des renseignements personnels en rapport avec le projet.
    • Des protocoles précisant les situations dans lesquelles les utilisateurs du système sont autorisés à effectuer une recherche par RF.
    • Une procédure de fonctionnement standard pour l’utilisation du système de RF, y compris des instructions sur la façon d’effectuer une recherche par RF.
    • Un système servant à documenter les recherches par RF, où serait consignée la justification pour la réalisation de ces recherches.
    • Un système d’autorisation pour l’utilisation et l’accès au système de RF.
    • Des protocoles pour détecter le non-respect des politiques et procédures établies dans le cadre du projet, et y remédier, qui comprennent des vérifications annuelles de la conformité (voir ci-dessus la section Surveillance et réévaluation) et d’autres mécanismes pour que les personnes qui font une utilisation abusive du système de RF soient réellement tenues responsables de leurs actes.
    • Une formation et une sensibilisation périodiques à la protection de la vie privée portant sur les politiques, les procédures, les protocoles et les contrôles du programme; cette formation devrait être revue et mise à jour au besoin (voir ci-dessous la section Formation).
94. Dans le programme de gestion de la protection des renseignements personnels, il devrait également y avoir une structure hiérarchique claire pour le projet, désignant une personne chargée de gérer le programme de protection de la vie privée et de surveiller la conformité aux obligations en la matière, y compris les demandes d’accès. En outre, un tel programme devrait comprendre un mécanisme permettant aux policiers et à d’autres membres du personnel d’informer la haute direction de tout incident ou problème qui pourrait survenir, ou de tout nouvel outil d’enquête pouvant faire appel à la collecte ou à l’utilisation de renseignements biométriques. Même si l’approbation de la direction est nécessaire avant toute utilisation de nouveaux outils d’enquête, cette approbation ne remplace pas les exigences applicables en matière de protection de la vie privée, notamment la réalisation d’une EFVP.
95. Les services de police devraient également instaurer un système de registres permettant de consigner toutes les utilisations du logiciel de RF, y compris toutes les recherches et tous les renseignements d’identification des personnes ayant effectué chaque recherche. La procédure de journalisation devrait être automatisée et hors du contrôle des personnes qui accèdent au système et utilisent celui-ci pour effectuer des recherches par RF, et faire l’objet de vérifications annuelles.
96. Les services de police devraient aussi veiller à ce que toutes les communications de renseignements personnels soient consignées dans ces registres, et y préciser ce qui suit : l’autorité selon laquelle les renseignements ont été communiqués (y compris une référence au contrat ou à l’entente d’échange de renseignements personnels qui les régit), le nom de la personne ou de l’organisation à qui les renseignements ont été communiqués, les moyens de communication, le détail de toute condition liée à la communication et l’identité de l’administrateur du programme qui a autorisé la communication. Les services de police devraient mettre ces registres d’accès et de communication à la disposition des organismes de surveillance aux fins d’inspection sur demande.
97. Les services de police devraient également instaurer tout contrôle administratif, technologique et physique supplémentaire qui serait nécessaire pour garantir que les personnes n’accèdent au système de RF et ne l’utilisent que pour atteindre les objectifs du projet. Ces contrôles devraient être suffisants pour empêcher l’utilisation de tout logiciel de RF ou d’autres technologies biométriques nouvelles hors du cadre d’un projet licite approuvé et supervisé par la haute direction.

Approvisionnement

98. Les services de police sont tenus de veiller à ce que les tiers participant à leurs activités respectent les obligations du projet en matière de protection de la vie privée.
99. Les services de police devraient s’assurer que les tiers se conforment à ces obligations au moyen du processus d’approvisionnement, en établissant des exigences contractuelles à l’intention des fournisseurs de logiciels et de services de RF (voir la section Principe de finalité ci-dessous). Les exigences qui s’imposent en matière d’approvisionnement peuvent varier d’un projet à un autre, mais en général, elles devraient comprendre au minimum ce qui suit :
    • un moyen de démontrer la conformité du fournisseur aux lois canadiennes sur la protection des renseignements personnels, y compris en ce qui concerne la collecte et l’utilisation de renseignements personnels à des fins d’entraînement;
    • des dispositions pour déclarer de manière transparente la source des données d’entraînement du fournisseur;
    • des exigences visant à garantir la représentativité démographique des données d’entraînement;
    • des exigences de performance évaluées au moyen d’essais indépendants (p. ex. le classement en percentile du fournisseur dans les essais du National Institute of Standards and Technology [NIST]);
    • des exigences de performance à être évaluées au moyen d’essais internes par les services de police;
    • des dispositions pour interdire la conservation, la communication et l’utilisation secondaire des renseignements personnels communiqués au fournisseur par les services de police;
    • un énoncé sur la capacité de procéder à des vérifications auprès des fournisseurs pour s’assurer qu’ils respectent leurs obligations contractuelles.
100. Les services de police peuvent également avoir recours au processus d’approvisionnement pour assurer la conformité aux politiques et procédures internes. Par exemple, ils peuvent exiger des fournisseurs potentiels qu’ils fournissent des produits qui :
     • proposent des procédures rigoureuses d’authentification;
     • consignent automatiquement les utilisations du logiciel de RF;
     • exigent l’approbation d’un superviseur pour amorcer une recherche;
     • exigent des documents justificatifs (p. ex. le numéro de dossier) pour amorcer une recherche.

Formation

101. Les services de police devraient instaurer un programme de formation spécialisé pour les projets faisant appel à la technologie de RF. Ils devraient s’assurer que les personnes concernées ont suivi le programme avec succès avant de pouvoir accéder au système de RF. La prestation d’une telle formation permet de s’assurer que les services de police respectent les politiques et les procédures relatives au projet en matière de collecte, de stockage, d’utilisation et de communication des renseignements personnels.
102. La formation s’adressant aux personnes autorisées à utiliser la technologie de RF devrait leur permettre d’acquérir une connaissance approfondie des éléments suivants :
     • les politiques et procédures qui s’appliquent au projet relativement à l’accès, à l’utilisation, à la communication et à la conservation des renseignements personnels ainsi que des systèmes de RF en cause;
     • les responsabilités légales relatives au traitement des renseignements personnels dans le contexte du projet;
     • les procédures relatives à l’intervention humaine et aux techniques de comparaison d’images faciales à des fins judiciaires;
     • le fonctionnement de la technologie de RF − fonctionnement en général et celui qui s’applique au projet −, y compris les résultats obtenus au moyen du système;
     • le risque de biais dans les procédures de correspondance de RF fondés sur la race, le genre et d’autres caractéristiques démographiques pertinentes;
     • le risque d’erreurs générées par l’utilisation d’images de comparaison de mauvaise qualité ou les erreurs commises par le passé dans la base de données d’images faciales.
     Les services de police devraient mettre à jour le matériel didactique, au besoin, pour s’assurer que les utilisateurs du système de RF possèdent toujours les connaissances, les compétences et l’expérience suffisantes pour s’acquitter de leurs fonctions dans le respect des exigences légales.

Minimisation des données

103. Les services de police devraient limiter la collecte de renseignements personnels à ceux directement liés et nécessaires aux objectifs précis d’un projet de RF.
104. Les services de police devraient établir des protocoles qui précisent dans quelles situations les empreintes faciales et les données connexes pourront être recueillies, utilisées, conservées et communiquées. Ces protocoles devraient comprendre un ensemble de critères clairs, précis et objectifs permettant de décider du type d’images qui pourront être versées dans une base de données d’images faciales. Ces critères devraient être définis dès le début du projet et être suffisamment restrictifs pour garantir le respect des principes de nécessité et de proportionnalité.
105. Les services de police devraient également prendre toute mesure supplémentaire qui serait requise pour restreindre au minimum la collecte et l’utilisation de renseignements personnels qui ne sont pas nécessaires au projet. Par exemple, lorsqu’ils effectuent une recherche par RF, les services de police devraient s’assurer que les images sont recadrées de manière à ce que seule la personne concernée fasse l’objet d’une recherche. Les services de police devraient éviter de recouper les renseignements personnels recueillis dans le cadre du projet de RF et ceux contenus dans d’autres bases de données, sauf pour atteindre les objectifs du projet en toute légalité. Dans la mesure du possible, les renseignements recueillis ou utilisés dans le cadre d’un projet de RF devraient être conservés à part des autres renseignements personnels et devraient être isolés des autres réseaux.

Principe de finalité

106. Les services de police doivent s’assurer que les renseignements personnels ne sont utilisés que pour l’objectif pour lequel ils ont été recueillis, ou à des fins compatibles avec cet objectif. Ils doivent également s’assurer que chaque utilisation des renseignements personnels relève des pouvoirs juridiques octroyés dans le cadre du projet.
107. Pour les aider à respecter les exigences susmentionnées, les services de police devraient mettre en place un ensemble complet de contrôles administratifs, techniques et physiques visant à gérer l’accès aux données et aux logiciels utilisés dans des projets de RF et l’utilisation de ceux‑ci (voir la section Responsabilité).
108. Les services de police doivent également s’assurer que les tierces parties qui interviennent en leur nom ne se servent pas des renseignements personnels qui leur ont été transférés dans le cadre d’un projet à des fins autres que celles qui avaient été définies à l’origine pour le transfert. Par exemple, si un service de police transfère une image à un fournisseur de logiciels de RF tiers à des fins d’identification, le service de police doit s’assurer que le fournisseur ne se serve pas de l’image (ou des données des empreintes faciales connexes) à titre de données d’entraînement de l’algorithme ou qu’il ne saisisse pas ces données dans une base de données d’images faciales à des fins de comparaison au cours de recherches ultérieures. L’entraînement de l’algorithme devrait être mené par le fournisseur à partir de son ou de ses propres ensembles de données obtenus légalement, lesquels ne devraient pas contenir de renseignements communiqués par les services de police.
109. Pour répondre à cette exigence, les services de police devraient définir dans les contrats les modalités selon lesquelles les renseignements personnels sont communiqués aux fournisseurs de logiciels de RF ou à d’autres tiers pendant un projet, ainsi que les autres mesures de protection de la vie privée^{Note de bas de page 45}. Cela comprend toute communication d’images, de bases de données, de résultats de recherches par RF ou d’autres renseignements personnels.
110. Lorsqu’ils échangent des renseignements personnels avec d’autres organismes publics ou d’application de la loi, les services de police devraient avoir recours à des ententes écrites d’échange de renseignements personnels où sont définies les modalités ci-dessus ainsi que d’autres mesures de protection de la vie privée, comme il est indiqué au paragraphe 111.
111. Sous réserve des exigences légales propres à chaque province et territoire, les ententes d’échange de renseignements personnels devraient préciser, au minimum, ce qui suit :
     • les fondements juridiques selon lesquels les renseignements peuvent être communiqués;
     • les renseignements personnels précis qui seront communiqués;
     • les fins précises visées par la communication;
     • les limites d’une utilisation et d’un transfert ultérieurs;
     • les mesures de protection précises qui doivent être appliquées;
     • les exigences en matière de localisation de données, le cas échéant;
     • les procédures à suivre en cas d’atteinte à la protection des données;
     • les obligations en matière de conservation et de destruction des données;
     • les mesures qui doivent être mises en place en matière de responsabilité, y compris en ce qui concerne le contrôle de la conformité.

Conservation

112. Les institutions gouvernementales, y compris les services de police, ne devraient généralement pas conserver les renseignements personnels plus longtemps que nécessaire pour atteindre les objectifs d’un projet. Dans le contexte des interventions des services de police, il peut s’agir de conserver des renseignements comme éléments de preuve dans une procédure judiciaire ou administrative.
113. Pour satisfaire à ces exigences, les services de police devraient établir des protocoles sur la conservation qui prennent en compte les considérations applicables aux différentes composantes du système de RF.

Base de données d’images faciales

114. Les services de police devraient utiliser un ensemble de critères clairs, précis et objectifs permettant de décider du type d’images qui pourront être versées dans une base de données d’images faciales. Ces critères devraient être définis dès le début du projet et être suffisamment restrictifs pour garantir le respect des principes de nécessité et de proportionnalité.
115. Les images devraient être retirées de la base de données d’images faciales et détruites immédiatement si, à tout moment, elles ne satisfont pas à tous les critères d’inclusion. Par exemple, si l’image d’une personne est conservée dans une base de données d’images faciales en raison d’une accusation ou d’une condamnation au criminel, l’image doit être retirée de la base de données et détruite en cas d’acquittement, d’une décision de non-condamnation ou d’un pardon. Si une base de données d’images faciales contient des images qui sont conservées conformément à la loi dans le cadre d’un projet distinct, ces images pourront toujours y être conservées, mais uniquement dans le cadre de ce projet distinct, conformément au calendrier de conservation applicable à ce projet. En pareil cas, le système de RF ne devrait pas avoir accès à ces images si elles ne satisfont pas aux critères d’inclusion qui ont été définis pour le projet de RF.
116. Le processus pour retirer, détruire ou rendre non accessibles des images dans le système de RF ne devrait généralement pas nécessiter d’intervention de la part des personnes figurant sur les images qui sont conservées. Les images générant une correspondance lors d’une recherche licite dans le système de RF pourront être conservées à part de la base de données d’images faciales, conformément aux exigences applicables en matière de conservation de la preuve dans le cadre d’interventions de services de police.

Images de comparaison

117. Les services de police devraient s’assurer que le système de RF ne sauvegarde pas automatiquement ni ne stocke ou ne conserve de toute autre manière les images de comparaison après une recherche par RF.
118. En général, les images de comparaison stockées ailleurs que dans le système de RF devraient être détruites si elles ne génèrent pas de correspondance lors d’une recherche dans une base de données d’images faciales. Toutefois, les images de comparaison qui constituent des éléments de preuve recueillis de manière licite dans le cadre d’interventions de services de police peuvent, selon les besoins, être conservées à part du système de RF, conformément aux exigences de conservation applicables à ces éléments de preuve. Cependant, cela ne devrait pas comprendre les images de passants innocents ou d'autres personnes qui ne font pas l’objet d’une enquête.
119. Les images de comparaison qui génèrent une correspondance lors d’une recherche dans un système de RF pourront être conservées, conformément à toute exigence de conservation raisonnable qui s’applique à la situation, par exemple en tant qu’éléments de preuve dans une procédure pénale ou en tant que renseignements utilisés à des fins administratives^{Note de bas de page 46}.

Essais

120. Il peut parfois être nécessaire de conserver les images de comparaison plus longtemps que ce qui serait requis dans les circonstances afin de réaliser des essais internes de performance du système de RF. Les images de comparaison qui sont conservées à des fins d’essais devraient se limiter à ce qui est strictement nécessaire pour satisfaire aux exigences de précision ou à d’autres exigences de performance pour le projet précis où le système de RF est utilisé. Les images conservées à des fins d’essais devraient être détruites immédiatement après que les procédures d’essai ont été réalisées.

Sécurité des données

121. Les renseignements personnels doivent être protégés par des mesures de sécurité appropriées en fonction du caractère sensible des renseignements ayant été recueillis.
122. Étant donné la nature extrêmement sensible des données biométriques du visage, les services de police sont tenus de mettre en place des mesures de sécurité très strictes dans le cadre des projets de RF. Ces mesures devraient inclure au minimum ce qui suit, bien que cela puisse ne pas être suffisant dans tous les cas de figure :
     • Utiliser le chiffrement des données et d’autres outils de protection numérique pour sécuriser les données lorsqu’elles sont stockées et lorsqu’elles circulent entre les bases de données, les serveurs et les appareils des utilisateurs.
     • S’assurer que les dossiers et les équipements, y compris les disques durs, les serveurs et les appareils des utilisateurs, sont utilisés et stockés uniquement dans des lieux physiques sécurisés.
     • Tenir un journal de tous les accès et de toutes les utilisations des logiciels et des bases de données de RF.
     • Réévaluer et mettre à jour régulièrement les mesures de sécurité pour faire face aux nouvelles menaces et vulnérabilités en matière de sécurité.
     • Utiliser les contrats et les ententes d’échange de renseignements personnels pour veiller à ce que les tierces parties participant au projet se conforment aux pratiques exemplaires pertinentes en matière de sécurité des données.
123. Selon les exigences en matière de sécurité des données, les services de police peuvent être tenus de veiller à ce que les renseignements personnels qu’ils recueillent ou créent dans le cadre d’un projet de RF soient situés à l’intérieur des frontières géographiques du Canada. Dans certaines juridictions canadiennes, les services de police peuvent être explicitement tenus de procéder ainsi selon la loi ou les instruments de politique^{Note de bas de page 47}. Dans d’autres juridictions canadiennes, ils doivent s’assurer que les renseignements personnels communiqués à l’extérieur de leur territoire profiteront d’une protection équivalente^{Note de bas de page 48}.

Ouverture, transparence et accès aux renseignements personnels

124. Lorsque cela est possible, les personnes concernées et le public doivent être informés de l’objectif de la collecte de leurs renseignements personnels, y compris l’information permettant de savoir comment les renseignements peuvent être utilisés ou communiqués.
125. Cependant, dans le cadre d’interventions de services de police, il n’est pas toujours possible de permettre aux personnes d’accéder à de l’information exhaustive portant sur la collecte de leurs renseignements personnels, par exemple lorsque les personnes font l’objet d’une enquête en cours.
126. En général, les services de police devraient aviser les personnes concernées que leur image a été versée dans une base de données d’images faciales, sauf si un tel avis contrevient à l’objectif pour lequel l’image a été recueillie ou porte atteinte à l’utilisation envisagée. L’avis devrait préciser :
     • les critères utilisés pour justifier l’inclusion de l’image dans la base de données d’images faciales;
     • les conditions selon lesquelles l’image de la personne sera retirée de la base de données d’images faciales;
     • le fichier de renseignements personnels applicable à la collecte.
127. Également, les services de police devraient afficher un avis public sur l’utilisation de la RF si cette technologie est utilisée dans les espaces publics, sauf si un tel avis contrevient à l’objectif pour lequel les images faciales sont recueillies ou porte atteinte à l’utilisation envisagée. Un tel avis devrait :
     • être bien visible dans l’espace en question;
     • indiquer clairement l’utilisation de la RF dans cet espace;
     • contenir des liens ou des références à des renseignements supplémentaires sur le projet (p. ex. un code QR ou un hyperlien vers le résumé de l’EFVP).
128. Bien qu’il ne soit pas toujours possible d’aviser directement les personnes concernées, il est important que les services de police adoptent des mesures de transparence au niveau du programme pour les projets de RF. Ces mesures permettront d’informer le public des projets de RF et d’accroître la confiance du public à l’égard du fait que de tels projets sont mis en œuvre de manière responsable. Les éléments suivants devraient être rendus publics sur le site Web public des services de police, et par tout autre moyen de communication approprié :
     • la politique officielle des services de police sur l’utilisation de la RF, qui précise dans quelles situations ils utiliseront la RF et dans quelles situations ils ne l’utiliseront pas, ainsi que la manière dont les renseignements personnels seront traités;
     • une explication du projet en langage clair : les objectifs, les sources d’images faciales, le choix de la valeur de seuil, la durée prévue et les méthodes générales de fonctionnement;
     • un lien vers le résumé de l’EFVP;
     • les résultats de tout essai pour assurer l’exactitude ou détecter les biais dans le cadre du projet, ainsi qu’une description de la méthodologie utilisée pour réaliser cet essai;
     • de l’information sur l’acquisition du système de RF, y compris des renseignements sur les fournisseurs;
     • de l’information sur toute entente d’échange de renseignements personnels en vigueur;
     • les résultats ou résumés des consultations avec les parties prenantes;
     • les résumés annuels du programme, indiquant :
       • le nombre de recherches effectuées au cours de l’année écoulée
       • les mesures concernant l’efficacité du projet (p. ex. l’utilisation de la RF pour effectuer des arrestations ou obtenir des condamnations)
       • les statistiques sur la taille et la composition démographique de la base de données d’images faciales
       • toute modification substantielle apportée au projet.
129. Les personnes concernées ont généralement un droit d’accès à leurs renseignements personnels et un droit pour corriger ceux-ci. Elles peuvent aussi avoir un droit de retrait dans certaines situations. Les services de police devraient s’assurer qu’un système a été mis sur pied pour répondre aux demandes que pourraient formuler ces personnes. Ce système devrait permettre de répondre aux demandes d’accès dans les délais prescrits par la loi.

Conclusion

130. Les services de police doivent, d’une part, évaluer les risques liés à toute utilisation envisagée de la RF et, d’autre part, atténuer les préjudices éventuels en intégrant à la conception des projets proposés des mécanismes appropriés de protection de la vie privée. Si les services de police se tournent vers la RF, ils doivent s’assurer de protéger la vie privée durant toute la durée du projet. Même si les exigences légales déterminées varient d’une juridiction à l’autre, les recommandations que l’on retrouve dans le présent document d’orientation peuvent contribuer à faire en sorte que les utilisations proposées de la RF respectent les exigences légales, minimisent les risques d’atteinte à la vie privée et respectent le droit fondamental des Canadiens à la vie privée.

Résumé des recommandations

Voici un résumé abrégé des principales recommandations formulées dans le présent document d’orientation. Ce résumé est présenté à des fins de référence seulement; veuillez vous référer au document d’orientation pour y retrouver la version complète des recommandations.

Lorsqu’ils proposent, élaborent et mettent en œuvre des projets faisant appel à l’utilisation de la technologie de RF, nous recommandons aux services de police de^{Note de bas de page 49} :

• S’assurer qu’il existe une assise juridique pour chaque collecte, utilisation, conservation et communication de renseignements personnels.
  • Une assise juridique doit exister pour appuyer chacune des étapes de l’utilisation de la RF, y compris pour la phase d’entraînement d’un algorithme de RF, de la création d’une base de données d’images faciales et de la collecte d’images de comparaison.
  • S’assurer que toutes les tierces parties participant à la collecte ou à l’utilisation des renseignements personnels se conforment à la loi.
• Protection de la vie privée dès la conception.
  • Intégrer les mesures de protection de la vie privée aux projets proposés avant de faire appel à la technologie de RF.
  • Mener des EFVP pour s’assurer que les systèmes de RF répondent aux exigences légales et atténuent les risques d’atteinte à la vie privée.
  • Surveiller et réévaluer en continu les risques d’atteinte à la vie privée et l’efficacité des mesures de protection de la vie privée.
• S’assurer que les renseignements personnels sont exacts et à jour.
  • Mettre à l’essai et configurer les données et les systèmes comme il se doit afin de relever et de réduire les inexactitudes et les biais.
  • Veiller à ce qu’un « intervenant humain » participe à l’examen des correspondances issues de la RF.
• Limiter la collecte de renseignements personnels à ceux directement liés et nécessaires aux objectifs précis d’un projet.
• S’assurer que les renseignements personnels ne sont utilisés que pour l’objectif pour lequel ils ont été recueillis, ou à des fins qui s’inscrivent dans cet objectif.
  • Mettre en œuvre des contrôles administratifs, techniques et physiques visant à gérer l’accès aux données et aux logiciels de RF et l’utilisation de ceux-ci.
  • Recourir à des contrats et à des ententes d’échange de renseignements personnels pour limiter l’utilisation de tels renseignements à des tiers.
• Protéger les renseignements personnels en ayant recours à des mesures de protection qui sont appropriées compte tenu du caractère sensible de ces renseignements, et avoir recours à des contrats et à des ententes d’échange de renseignements personnels pour veiller à ce que les tierces parties soient tenues de faire de même.
• Ne pas conserver les renseignements personnels plus longtemps que nécessaire à l’atteinte des objectifs d’un projet.
  • Mettre en œuvre des protocoles sur la conservation qui prennent en compte les considérations applicables aux différentes composantes du système de RF, notamment les bases de données d’images faciales, les images de comparaison et les données d’entraînement.
  • S’assurer que les images sont retirées, détruites et/ou rendues inaccessibles dans le système de RF conformément aux protocoles sur la conservation, notamment en cas d’acquittement, d’une décision de non-condamnation ou d’un pardon.
  • Ne pas conserver les images de passants innocents ou d'autres personnes qui ne font pas l’objet d’une enquête.
• Mettre en œuvre des mesures s’articulant autour de l’ouverture et de la transparence, selon le cas, pour permettre aux particuliers et à la population d’être au fait du projet.
  • Mettre en œuvre des mesures de transparence au niveau du programme afin d’accroître la confiance du public à l’égard du fait que le projet est mis en œuvre de manière responsable.
  • Mettre en œuvre des politiques et des procédures pour répondre aux demandes d’accès dans la mesure du possible.
• Mettre en œuvre des mesures de responsabilisation efficaces.
  • Disposer d’un programme de gestion de la protection de la vie privée, avec une organisation, des politiques, des procédures et des systèmes clairs pour établir le partage des responsabilités en matière de protection de la vie privée, coordonner le travail dans ce domaine, gérer les risques liés à la protection de la vie privée et assurer la conformité aux lois sur la protection des renseignements personnels.
  • Utiliser le processus d’approvisionnement pour établir des exigences contractuelles à l’intention des fournisseurs de logiciels et de services de RF.
  • Tenir un journal de toutes les utilisations de la RF, y compris de toute communication de renseignements personnels à l’extérieur de l’organisation.
  • Veiller à ce que tout le personnel ayant accès à des systèmes de RF ait reçu la formation appropriée.

Le présent document d’orientation a été préparé conjointement par :

Commissariat à la protection de la vie privée du Canada
Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario
Commission d’accès à l’information du Québec
Commissariat à l’information et à la protection de la vie privée de la Nouvelle-Écosse
Bureau de l’Ombud du Nouveau-Brunswick
Bureau de l’Ombudsman du Manitoba
Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique
Commissariat à l’information et à la protection de la vie privée de l’Île-du-Prince-Édouard
Commissariat à l’information et à la protection de la vie privée de la Saskatchewan
Commissariat à l’information et à la protection de la vie privée de l’Alberta
Commissariat à l’information et à la protection de la vie privée de Terre-Neuve-et-Labrador
Commissariat à l’information et à la protection de la vie privée des Territoires du Nord-Ouest
Commissariat à l’information et à la protection de la vie privée du Yukon
Commissariat à l’information et à la protection de la vie privée du Nunavut

---