La semaine dernière, la Ronde a installé un système biométrique de lecture des empreintes digitales pour les abonnements saisonniers. Bien que les objectifs de la Ronde puissent être tout à fait louables, le processus n’a pas été validé comme tel par la Commission d’accès à l’information avant sa mise en place, tel que prescrit par la Loi concernant le cadre juridique des technologies de l’information (« LCCJTI ») [1]. La CAI n’a donc vraisemblablement pas eu le temps de vérifier si tout a été implanté en respectant les règles de la LCCJTI et le droit à la vie privée.
Il semble que les entreprises qui souhaitent mettre en place la biométrie comme moyen de reconnaissance de l’identité soient de plus en plus nombreuses. En effet, ces technologies sont séduisantes à plusieurs égards, notamment sur le plan économique, mais ne manquent pas de susciter des questionnements. Comme j’ai fait mon mémoire de maîtrise sur ce sujet, je juge intéressant ici de mettre de l’avant certains aspects légaux concernant cette pratique.
D’une part, les risques découlant du traitement des données biométriques sont importants. Ils vont concerner, notamment, le détournement d’usage des données, l’usurpation d’identité, la surveillance et la circulation internationale de l’information. Par exemple, le USA Patriot Act accorde au gouvernement américain, sous certaines conditions, de généreux pouvoirs d’accès à nos renseignements personnels. Ainsi, dès qu’une entreprise américaine collecte des empreintes digitales canadiennes, celles-ci se retrouvent à être sujettes aux lois américaines.
D’autre part, la biométrie est une technique ayant déjà été jugée comme portant presque toujours atteinte, dans une certaine mesure, au droit à la vie privée[2]. Ainsi, pour évaluer si l’utilisation d’un système biométrique est justifiée, il faut tenir compte des objectifs de l’entreprise derrière la mise en place de ce système. Les objectifs, bien qu’ils puissent être très avantageux pour l’entreprise, doivent être importants et concerner, dans la plupart des cas, la sécurité. Nous fournissons ici, à titre indicatif, une liste de questions auxquelles une organisation devrait être en mesure de répondre pour évaluer si la mise en place d’un système biométrique est justifiée [3] :
1. Est-il démontré que le système est nécessaire pour répondre à un besoin précis? Il s’agit ici du test de nécessité, consistant à démontrer que la mesure choisie est nécessaire eu égard aux finalités de l’organisation.
2. La mesure prise (en l’occurrence, l’empreintes digitale) répond-t-elle efficacement à ce besoin? L’organisation doit démontrer que la mise en place du système de reconnaissance biométrique sera efficace compte tenu du besoin en cause et du degré de certitude qu’apporte la saisie de la caractéristique biométrique. Le taux de défaillance du système sera un critère important[4].
3. La perte au chapitre de la vie privée est-elle proportionnelle à l’avantage obtenu? Le principe de proportionnalité exige des organisations qu’elles évaluent la perte relative à la vie privée et aux droits fondamentaux afin de déterminer précisément quels seront les technologies biométriques adéquates et les mesures à être saisies. Le degré d’intrusion pour la vie privée devra être proportionnel à l’avantage obtenu par la mise en place du système – plus les effets préjudiciables d’une mesure sont graves, plus l’objectif doit être important[5]. De plus, les mesures choisies « doivent être équitables et non arbitraires, être soigneusement conçues pour atteindre l’objectif en question et avoir un lien rationnel avec cet objectif »[6].
4. Existe-t-il un moyen moins envahissant d’arriver au même but? L’organisation devrait être en mesure de démontrer que la mise en place d’un système biométrique est le seul moyen nécessaire pour atteindre son objectif et qu’il n’existe pas d’autres systèmes moins intrusifs pour arriver au but fixé.
Par ailleurs, soulignons que l’empreinte digitale a déjà été jugée par le Commissariat à la protection de la vie privée du Canada comme portant davantage atteinte à la vie privée que certaines autres caractéristiques, comme l’empreinte vocale[7]. En effet, l’empreinte digitale ne fait pas l’unanimité en ce sens qu’elle comporte une connotation assez négative, en étant intimement liée au système pénal. De plus, l’empreinte digitale est une caractéristique qui laisse des traces, tout comme l’ADN, dans la vie quotidienne, ce qui rend ces dernières plus faciles à subtiliser.
Pour plus d’informations, contactez-nous au (450) 681-1681.
[2] CPVPC, « Rapport de conclusions d’enquête en vertu de la LPRPDE no 2008-389, Enquête concernant le Law School Administration Council », 29 mai 2008, para. 54.
[3] La Cour suprême, dans l’arrêt R. c. Oakes, [1986] 1 RCS 103, a fourni ce test d’évaluation afin de déterminer si l’atteinte à un droit fondamental se justifie dans une société libre et démocratique.
[4] CPVPC, « Des données au bout des doigts : La biométrie et les défis qu’elle pose à la protection de la vie privée », Documents d’orientation du CPVPC, p. 7, en ligne : https://www.priv.gc.ca/information/pub/gd_bio_201102_f.asp.