L’administrateur d’un examen revoit ses mesures visant à prévenir la fraude
Résumé de conclusions d’enquête de LPRPDE no 2010-007
Le 22 juin 2010
Une personne a déposé une plainte au Commissariat à propos de la collecte d’empreintes digitales et d’autres renseignements personnels par l’administrateur du Medical College Admission Test (MCAT) pour confirmer l’identité des candidats cherchant à passer l’examen. Cette personne prétend que la collecte d’empreintes digitales n’est pas nécessaire et elle soulève aussi des inquiétudes quant à la conservation des renseignements recueillies et les mesures de sauvegardes en place pour les protéger.
Leçons retenues : collecte de renseignements biométriques pour les examens d’admission dans les collèges et les universités; aperçu de trois enquêtes menées par le CPVP
Les trois enquêtes du Commissariat portant sur la collecte de renseignements biométriques pour les examens d’admission dans les collèges et les universités (le Law School Admission Test, le Graduate Management Admission Test et le Medical College Admission Test) ont souligné l’importance pour les organisations qui font passer des examens dont l’enjeu est grand de :
- pouvoir démontrer que la collecte de renseignements personnels, y compris de renseignements biométriques, leur est nécessaire pour, notamment, préserver l’intégrité de l’examen, se protéger contre le problème des personnes qui passent l’examen à la place des candidats inscrits et enquêter en cas d’inconduite présumée;
- communiquer clairement aux candidats à l’examen leurs pratiques en matière de traitement des renseignements personnels;
- recueillir uniquement les renseignements personnels dont ils ont besoin pour atteindre les objectifs identifiés;
- ne pas conserver les renseignements personnels plus longtemps qu’il est nécessaire;
- protéger comme il se doit les renseignements personnels recueillis.
Les trois affaires ont trait à des examens dont l’enjeu est grand et qui ont des conséquences importantes pour les personnes qui cherchent à entrer à l’université afin de se former à l’exercice d’une profession particulière.
Dans les trois affaires, les organismes sont parvenus, ou ne sont pas parvenus, à démontrer à la satisfaction du Commissariat, avec preuves à l’appui, qu’il existait un problème réel et démontrable de fraude, et que la nature et l’étendue des renseignements personnels recueillis et utilisés par l’organisation étaient nécessaires pour l’élimination ou la réduction efficace de la fraude. Par exemple, le GMAC a fourni la preuve que des tentatives de fraude et d’activités illégales avaient eu lieu à de nombreuses reprises par le passé et que son utilisation d’une technologie de reconnaissance du réseau veineux de la paume de la main s’était avérée efficace pour authentifier les candidats à l’examen et garantir qu’ils n’avaient pas passé le GMAT sous d’autres noms.
De plus, l’AAMC a présenté de la preuve convaincante qu’un risque important de fraude existait dans le contexte de l’administration du MCAT et, en particulier, que les candidats au MCAT utilisaient des moyens sophistiqués pour tricher. L’AAMC a fourni des exemples concrets et a démontré au Commissariat que la collecte d’empreintes digitales permettait de lutter contre le risque de fraude par les candidats à l’examen.
Dans la plainte relative au LSAT, le LSAC n’a pas pu fournir des exemples concrets de situations où il a dû examiner les empreintes digitales des candidats à l’examen. En l’absence de preuves tangibles de l’existence et de l’étendue d’activités frauduleuses dans le contexte du LSAT, l’ancienne commissaire adjointe a estimé que l’organisme n’avait pas besoin de recueillir les empreintes digitales pour atteindre efficacement son objectif, à savoir la protection de l’intégrité du LSAT, et qu’il n’avait d’ailleurs jamais eu à utiliser les empreintes dans le but pour lesquelles elles avaient été recueillies.
La collecte et l’utilisation de renseignements personnels, y compris de renseignements biométriques, dans des contextes différents et pour d’autres types d’examens, peuvent renvoyer à des considérations différentes pour ce qui est de déterminer la conformité à la LPRPDE.
Le type de technologie utilisée et les renseignements biométriques recueillis par l’organisme étaient aussi des considérations clés.
Dans la plainte visant le GMAC, l’organisation a opté pour une technologie de reconnaissance du réseau veineux de la paume de la main, qui reposait sur la conservation d’un gabarit numérique non réversible plutôt que les données biométriques originales. Pour sa part, l’AAMC a non seulement converti les images des empreintes digitales en un gabarit pour atteindre les objectifs identifiés, mais il a également donné une forte justification à l’égard de la conservation et la protection des images des empreintes.
En fin de compte, les organisations qui font passer des examens dont l’enjeu est grand doivent démontrer qu’ils ont besoin des renseignements demandés pour atteindre les objectifs identifiés, et ils doivent démontrer qu’ils recueillent le minimum de renseignements personnels.
Ils doivent aussi protéger les renseignements personnels comme il se doit, et conserver ces renseignements pendant une période de temps raisonnable.
Contexte
L’Association of American Medical Colleges (AAMC), qui administre l’examen, a fait savoir que la collecte d’empreintes digitales était nécessaire. Selon elle, la collecte d’empreintes digitales garantit l’intégrité du MCAT : elle empêche que l’examen soit passée par une personne autre que le candidat inscrit et permet de prévenir d’autres formes d’inconduite.
L’AAMC, par l’intermédiaire d’un tiers, recueillait des empreintes digitales et d’autres renseignements personnels des candidats au MCAT. Même si les empreintes digitales étaient converties en un gabarit numérique, l’AAMC conservait l’image des empreintes pour maintenir l’intégrité de sa base de données d’empreintes digitales.
Notre enquête a porté sur la communication des fins auxquelles les empreintes étaient recueillies, de la collecte et de la conservation des empreintes, ainsi que des mesures prises pour assurer leur protection.
S’appuyant sur les renseignements fournis au cours de l’enquête, la commissaire adjointe a estimé que l’AAMC pouvait obtenir le même résultat en utilisant des moyens portant moins atteinte à la vie privée. De plus, elle a déterminé que l’AAMC conservait trop longtemps les renseignements recueillis et que l’organisme devait mettre en place un programme garantissant la sécurité des renseignements. Pour la commissaire adjointe, les marchés de l’AAMC avec ses prestataires devaient aussi continuer de prévoir la protection des renseignements.
En réponse au rapport préliminaire des conclusions du Commissariat, l’AAMC a déclaré qu’elle apporterait des changements, notamment la clarification des informations communiquées aux candidats au sujet de la collecte de renseignements personnels. Elle a aussi accepté de limiter à cinq ans la durée pendant laquelle les renseignements personnels recueillis le jour de l’examen seraient conservés. De plus, l’AAMC a accepté les recommandations du Commissariat à la protection de la vie privée du Canada (CPVP) en ce qui a trait à la protection des renseignements.
L’AAMC a toutefois fait savoir qu’elle continuerait de recueillir les empreintes digitales et les photos des candidats, et qu’elle continuerait de balayer leur permis de conduite. Comme il existe un risque de corruption du gabarit, l’AAMC a aussi déclaré qu’elle se devait de conserver l’image des empreintes digitales.
Par conséquent, le Commissariat a conclu que la plainte demeurait fondée pour ce qui concerne la question de la collecte.
Demande à la Cour
La commissaire à la protection de la vie privée s’est donc adressée à la Cour fédérale en vue d’obtenir une ordonnance obligeant l’AAMC à utiliser des moyens portant moins atteinte à la vie privée pour assurer l’intégrité de l’examen.
Au cours de l’instance et lors de séances de médiation, l’AAMC a présenté d’autres éléments de preuve et arguments démontrant l’étendue du problème posé par les personnes qui se présentent à l’examen à la place de candidats inscrits; elle a aussi révélé l’existence d’autres formes d’inconduite et justifié la prise de mesures visant à réduire le risque de fraude.
La commissaire à la protection de la vie privée a été finalement satisfaite, au vu des éléments de preuve présentés, qu’il existait un risque important de fraude dans le contexte de l’administration du MCAT, permettant alors à l’AAMC à recueillir et à utiliser une quantité limitée de renseignements personnels pour protéger l’intégrité du MCAT, empêcher que des personnes passent l’examen à la place de candidats inscrits et enquêter en cas d’inconduite présumée pendant le déroulement de l’examen.
À la suite de séances de médiation supervisées par la Cour, la commissaire à la protection de la vie privée et l’AAMC se sont mis d’accord sur une résolution qui a permis de régler les questions soulevées dans la demande.
Règlement
L’AAMC a accepté de limiter les renseignements personnels qu’elle recueille. En particulier, l’organisation a accepté de cesser d’enregistrer les renseignements qui figurent sur les pièces d’identité officielles que les candidats lui présentent pour confirmer leur identité. Elle pourra continuer de valider les pièces d’identité en utilisant un dispositif de balayage électronique pour confirmer que les documents sont conformes aux gabarits connus.
L’AAMC a aussi accepté de recueillir et de conserver les données dactyloscopiques sous forme numérique seulement. Toutes les images des empreintes digitales recueillies seront converties en un gabarit numérique unique composé d’une chaîne de caractères alphanumériques; les données converties seront conservées en lieu sûr.
Les renseignements personnels des candidats seront conservés pendant une période maximale de cinq ans.
De l’avis de la commissaire, le résultat répond aux préoccupations concernant le respect tant de la vie privée que du besoin pour l’AAMC de protéger l’intégrité du MCAT.
Enquêtes connexes
Au cours des dernières années, le Commissariat à la protection de la vie privée a aussi enquêté sur la collecte de renseignements personnels dans le contexte de deux autres examens bien connus d’admission dans des collèges ou des universités.
Les enquêtes ont été ouvertes à la suite de plaintes portant sur la collecte de renseignements personnels des personnes qui passent le Law School Admission Test (LSAT) et le Graduate Management Admission Test (GMAT).
Enquête sur le LSAC (2008)
Un plaignant s’est élevé contre l’obligation pour les étudiants inscrits dans une université canadienne de donner leurs empreintes digitales pour passer le LSAT.
Le créateur de l’examen, le Law School Admission Council (LSAC), qui est établi aux États-Unis, a déclaré que la collecte des empreintes digitales visait à garantir l’authenticité des résultats de l’examen et à protéger l’intégrité de l’examen.
L’organisme a cependant reconnu que l’objectif principal était d’empêcher que des personnes autres que les candidats inscrits passent l’examen. Même s’il a déclaré qu’il utiliserait les empreintes en cas d’usurpation d’identité présumée, l’organisme a reconnu qu’il n’a jamais eu à le faire.
Le Commissariat a estimé que la collecte d’empreintes digitales n’avait pas permis d’atteindre efficacement l’objectif identifié, et que les empreintes n’avaient d’ailleurs jamais été utilisées dans le but pour lesquelles elles avaient été recueillies. Pour cette raison, l’atteinte à la vie privée s’avérait plus importante que l’avantage obtenu.
Le Commissariat a recommandé que le LSAC cesse de recueillir les empreintes digitales des étudiants au Canada. L’organisme a confirmé qu’il cesserait de recueillir les empreintes digitales, mais il a déclaré qu’il recueillerait à la place les photos des candidats à l’examen. De plus, il a annoncé qu’il se réservait le droit de rétablir la prise d’empreintes digitales à tout moment.
Le Commissariat a conclu que la collecte de photos portait moins atteinte à la vie privée que la collecte d’empreintes digitales et, dans l’affaire en question, qu’elle n’enfreignait pas les dispositions de la LPRPDE. Par conséquent, l’affaire a été considérée comme étant résolue.
Enquête sur le GMAC (2011)
Une femme s’est opposée à ce qu’un appareil balaie la paume de sa main avant de passer le Graduate Management Admission Test; elle a porté plainte auprès du Commissariat.
Le Graduate Management Admission Council (GMAC) possède et administre le GMAT. Par l’entremise d’un tiers, le GMAC authentifie les candidats à l’examen à l’aide d’un scanneur qui balaie la paume de la main; l’appareil trace le réseau veineux sous la peau de la main d’une personne. Les images obtenues sont immédiatement cryptées sous la forme de gabarits numériques, qui sont conservés séparément de tout autre renseignement identifiable. Les gabarits ne sont pas réversibles et aucune donnée biométrique sous sa forme originale n’est conservée par le GMAC.
Le GMAC a déclaré qu’il avait commencé, en 2006, à examiner des options pour remplacer le système d’identification au moyen des empreintes digitales qu’il utilisait, en réponse aux préoccupations exprimées par les étudiants, les organismes responsables de la protection des données et certains employés des centres d’examen concernant la collecte d’empreintes digitales.
De plus, l’organisme a expliqué que la vérification des pièces d’identité n’était pas totalement fiable, car les fraudeurs faisaient tout pour ressembler physiquement à une personne et usurper son identité.
Le GMAC a démontré de façon convaincante que, dans le contexte du GMAT, des tentatives d’activités illégales et de fraude avaient eu lieu à de nombreuses reprises par le passé; en particulier, des professionnels en matière d’examen ont passé le GMAT plusieurs fois sous différents noms. Le Commissariat a estimé que l’utilisation d’une technologie de reconnaissance du réseau veineux de la paume de la main était efficace pour l’authentification des candidats à l’examen et, par extension, la mise à l’écart des fraudeurs, ne portait pas exagérément atteinte à la vie privée et était proportionnelle aux avantages retirés.
Le Commissariat a conclu que la plainte était non fondée.
*Nota : Le présent résumé de conclusions est paru sous une forme anonyme dans le rapport annuel de 2011 du CPVP sur la LPRPDE.
Documents connexes
Pour obtenir de plus amples renseignements sur les enquêtes relatives au LSAT et au GMAT, veuillez vous reporter aux documents suivants :
- Résumé de conclusions d'enquête en vertu de la LPRPDE no 2008-389 : Enquête concernant le Law School Admission Council
- Résumé de conclusions d'enquête en vertu de la LPRPDE no 2011-012 : Une candidate au GMAT s'oppose à l'utilisation de la technologie de reconnaissance du réseau veineux de la paume de sa main
- Date de modification :