Une organisation utilise la biométrie à des fins d'authentification
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2004-281
(Paragraphe 5(3); principes 4.2, 4.3, 4.4 et 4.7 de l'annexe 1)
Plainte
Plusieurs employés se sont plaints que leur employeur les obligeait à consentir à la collecte de données biométriques les concernant, en l'occurrence leur empreinte vocale, pour qu'ils aient accès à un certain nombre d'applications de gestion de l'entreprise. Ces dernières servent à l'entrée de données liées au travail ainsi qu'au compte rendu des absences.
Résumé de l’enquête
Les applications de gestion en question sont accessibles via un portail qui utilise la technologie des mots de passe vocaux pour authentifier les employés de l'entreprise. Le système (applications et mots de passe vocaux) a été adopté afin de permettre aux employés sur le terrain d'entrer les données liées à leur travail de façon sûre, efficace et rentable. L'entreprise a choisi de fonctionner avec un système de reconnaissance vocale parce que tous les employés sur le terrain ont accès à des téléphones. D'autres membres du personnel se servent aussi du système et environ 20 p. 100 de l'effectif de l'entreprise est autorisé à s'enregistrer.
À cette fin, l'employé doit téléphoner et, pendant l'appel, il doit répéter plusieurs fois une série de chiffres. Le logiciel du système convertit les chiffres énoncés vocalement en une matrice de nombres qui représentent les caractéristiques comportementales et physiques de la façon dont parle la personne ainsi que son tractus aérien. L'empreinte vocale sert uniquement à authentifier l'employé lorsqu'il accède aux applications de gestion et elle ne joue aucun rôle dans celles-ci.
Quant aux raisons de la mise en place du système, l'entreprise a soutenu que la protection a été renforcée car seul le locuteur enregistré peut être authentifié. Un imposteur ne pourrait pas, par exemple, entrer un mot de passe. Compte tenu du nombre de données sur les clients que gère l'entreprise, il est extrêmement important d'empêcher les personnes non autorisées d'avoir accès à l'information. L'entreprise a déterminé que ce système offrait le niveau le plus élevé de protection en ce qui concerne les données sur les clients entrées au moyen des applications de gestion.
De plus, l'entreprise a affirmé que les coûts associés à la sécurité d'un tel système sont moindres que ceux liés à la gestion des systèmes de mots de passe traditionnels et que la rationalisation des méthodes de travail lui a permis d'être plus rentable (les applications de gestion rationalisent l'entrée de données, éliminant ainsi la nécessité de recourir aux méthodes fondées sur le papier).
L'entreprise a expliqué à ses employés par divers moyens la raison d'être et les utilisations du système de mots de passe vocaux et des applications. Comme mesure de sécurité, les empreintes vocales des employés sont sauvegardées dans une base de données protégée qui se trouve dans un endroit rigoureusement contrôlé. L'accès à la base de données est extrêmement limité et un nombre restreint de personnes sont autorisées à entendre ou à supprimer un enregistrement d'empreinte vocale. Ces personnes ne peuvent nullement modifier, interpréter ou remplacer l'enregistrement, et l'empreinte vocale ne peut faire l'objet d'une rétroconception pour synthétiser une voix. Il est donc impossible d'utiliser de façon frauduleuse la voix d'une personne. L'entreprise a également déclaré qu'en fait, il n'y avait aucune autre utilisation possible de l'empreinte vocale d'une personne sans qu'elle le sache et qu'elle y consente. L'empreinte vocale est éliminée dans le mois suivant la date à partir de laquelle l'employé n'est plus autorisé à utiliser le système.
Certains employés ont affirmé craindre que l'empreinte vocale ne soit utilisée pour les surveiller lorsqu'ils sont au téléphone ou pour identifier un employé en comparant sa voix à celles des empreintes vocales sauvegardées (authentification un à plusieurs). Cependant, le processus en place permet l'authentification un à un. En d'autres mots, la voix de l'employé est comparée à sa voix mémorisée à titre d'identificateur d'utilisateur pour confirmer son identité. L'entreprise ne peut l'utiliser à des fins d'authentification un à plusieurs.
En outre, l'empreinte vocale sert à identifier un employé uniquement lorsqu'il ouvre une session dans le système. Par exemple, elle n'a pas pour fonction d'identifier une personne qui utilise les applications de gestion accessibles via le portail même si celles-ci recourent à des méthodes traditionnelles de reconnaissance de la voix. De même, elle ne peut servir à identifier un participant à une conversation enregistrée.
Certains plaignants se sont aussi opposés à la collecte de renseignements relatifs aux congés au moyen de l'application du compte rendu des présences. Les employés qui s'absentent pour des raisons de maladie ou d'accident de travail se voient demander de motiver leur absence. Le gestionnaire de l'employé a accès à cette information. Même si l'entreprise a indiqué que les employés ne sont pas obligés de fournir ces renseignements, cela ne va pas de soi pour les utilisateurs de l'application.
Conclusions
Rendues le 3 septembre 2004
Application : Le paragraphe 5(3) stipule que l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Selon le principe 4.2, les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l'organisation avant la collecte ou au moment de celle-ci. Le principe 4.3 établit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Quant au principe 4.7, il stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
Voici les constatations de la commissaire adjointe à la protection de la vie privée :
- Lors de l'examen de la question du consentement dans le cas d'une exigence de poste qui empiète sur la vie privée, il faut se pencher sur les fins justifiant l'adoption de la mesure dans le cadre du test de la personne raisonnable, énoncé au paragraphe 5(3).
- L'employeur a donné trois raisons pour l'adoption des applications de gestion recourant à la technologie des mots de passe vocaux : protection, efficacité et rentabilité.
- La commissaire adjointe a convenu que le système était plus efficace et plus rentable que la gestion des mots de passe et les méthodes fondées sur le papier, et qu'il était logique de la part d'une entreprise de vouloir réaliser des économies et d'améliorer son efficacité afin d'affronter la concurrence et de rester en affaires. Cependant, l'argument le plus convaincant cependant était que le mot de passe vocal permettait d'assurer la protection des données. L'entreprise a évalué le risque associé à la gestion d'un grand nombre de données sur les clients et a conclu que le système offrait la plus grande protection contre un accès non autorisé. Une telle approche visait à protéger les renseignements personnels des clients et à répondre aux attentes de ceux-ci à cet égard.
- La commissaire adjointe a souligné que l'objet de la Loi est de trouver un équilibre entre le droit d'une personne à la protection des renseignements personnels la concernant et la nécessité de l'organisation de recueillir, d'utiliser ou de communiquer des renseignements personnels qu'à des fins acceptables dans les circonstances. En évaluant cet équilibre, elle s'est demandée si la perte de protection de la vie privée, liée à l'enregistrement de l'empreinte vocale et à son utilisation, était proportionnelle aux avantages qui en découleraient probablement pour l'entreprise.
- Elle a reconnu que l'empreinte vocale était une atteinte à la protection des renseignements personnels. L'entreprise recueillait des données sur les caractéristiques comportementales et physiques qui font l'unicité de la voix d'une personne. Cependant, la commissaire adjointe n'a pas cru pas que l'empreinte vocale, en soi, dans le contexte des plaintes en question, dévoilait beaucoup de renseignements sur la personne.
- L'entreprise a démontré, à la satisfaction du Commissariat, que, sur le plan technique, elle ne pouvait utiliser l'empreinte vocale qu'à des fins d'authentification compte tenu de la configuration actuelle. Elle ne pouvait pas s'en servir pour la surveillance ou d'autres fins répréhensibles.
- Dans le cas de cette plainte, la commissaire adjointe a estimé que l'utilisation de l'empreinte vocale uniquement à des fins d'authentification un à un était sans conséquence.
- Quant à l'employeur, il estimait que si une tierce partie avait accès aux données sur ses clients, cela minerait considérablement la confiance de ces derniers envers la capacité de l'entreprise de protéger les renseignements personnels. Dans le contexte actuel où la concurrence est féroce, les clients n'hésiteraient pas à faire affaire avec une autre compagnie, ce qui pourrait entraîner des pertes énormes pour l'entreprise. Les économies réalisées par la modernisation des processus opérationnels ont leur importance dans le marché d'aujourd'hui.
- Comme l'empreinte vocale ne semble pas violer indûment la vie privée, la commissaire adjointe a été d'avis qu'un juste équilibre entre le droit à la vie privée des employés et les besoins de l'employeur avait été atteint. Cela ne signifie pas que toute mesure empiétant sur la vie privée qu'adopterait une entreprise serait jugée appropriée. La perte de protection de la vie privée doit être mise en balance avec les avantages et les raisons de la mesure doivent toujours s'appuyer sur un besoin défendable.
- Dans ce cas, selon la commissaire adjointe, une personne raisonnable estimerait probablement que les fins de l'entreprise dans les circonstances sont acceptables, conformément au paragraphe 5(3). L'entreprise avait informé les employés de ses fins et avait, de toute évidence, mis en place les mesures de sécurité appropriées, en conformité avec les principes 4.2 et 4.7.
- Pour ce qui est du consentement, en raison d'exigences relatives à leur poste, les employés sont obligés d'enregistrer certains renseignements liés à leur travail. Même si les plaignants voulaient avoir l'option d'utiliser un système de mots de passe plus traditionnel, la commissaire adjointe n'a pas cru que l'employeur avait l'obligation d'en fournir un. Les fins relatives au système de mots de passe vocaux étaient raisonnables et ont été expliquées aux employés, et un autre système ne garantirait pas le degré voulu de sécurité et ne permettrait pas d'arriver aux fins visées. Ayant jugé raisonnables la collecte et l'utilisation de données biométriques précises, dans les circonstances en question, la commissaire adjointe a estimé que l'entreprise avait respecté les exigences concernant le consentement énoncées par le principe 4.3.
Par conséquent, la commissaire adjointe a conclu que la partie de la plainte sur la création de l'empreinte vocale était non fondée.
Toutefois, à l'égard de l'application de consignation des absences, la commissaire adjointe a convenu que l'employé ne devrait pas avoir à donner la raison médicale de son absence. La pratique d'avoir à fournir ces renseignements à un gestionnaire semblait excessive et contraire au principe 4.4, lequel limite la collecte aux renseignements personnels nécessaires aux fins déterminées. L'entreprise a accepté de modifier l'application de manière à ce que les employés n'aient pas à préciser la raison pour laquelle ils se portent malades. La commissaire adjointe a demandé que l'entreprise lui fasse part des progrès réalisés à ce chapitre dans les 120 jours suivant la date des conclusions.
Par conséquent, la partie de la plainte concernant la collecte de renseignements personnels au moyen de l'application du compte rendu des absences a été résolue.
- Date de modification :