Document d’orientation sur les données biométriques

La Section du droit de la vie privée et de l’accès à l’information de l’Association du Barreau canadien a envoyé une lettre (disponible uniquement en anglais; les citations qui en sont tirées sont des traductions) au Commissariat à la protection de la vie privée du Canada (CPVP) en réaction à une consultation publique liée à la création d’un nouveau document d’orientation provisoire sur l’utilisation de technologies biométriques. L’objectif est de fournir des renseignements sur les obligations, considérations et pratiques exemplaires en matière de protection de la vie privée lors du traitement de données biométriques.

La première considération concerne une garantie que l’utilisation des données biométriques est réservée aux cas où il est approprié et objectif de le faire. « Le cadre exposé dans l’ébauche du document d’orientation, à la suite de l’affaire Turner c. Telus, est exhaustif, cohérent et réalisable », affirme la section dans la lettre.

Compte tenu de l’évolution attendue de ces technologies, il serait peu judicieux d’y intégrer des interdictions catégoriques, hormis l’utilisation de données biométriques constituant un manquement à une autre loi. « Le document d’orientation définitif du CPVP devrait inclure un énoncé sans équivoque qui stipule la possibilité que le traitement de données biométriques exige le respect d’autres lois au moment de décider si cette utilisation est appropriée ou non. »

Certaines situations requièrent l’utilisation de données biométriques ou de systèmes multimodaux recourant à deux attributs biométriques ou plus. « Les organisations devraient être exhortées à limiter le nombre d’attributs biométriques qu’elles recueillent, dit-on dans la lettre, mais la question à savoir si l’utilisation d’un système multimodal va trop loin dans la collecte de données dépendra du contexte ».

Étant donné le caractère délicat des données recueillies, il est particulièrement important que des garanties soient mises en place. La section de l’ABC recommande des méthodes de détection de fraude qui n’identifient pas directement des personnes. « L’approche à adopter par rapport aux garanties changera constamment, à mesure que les technologies évolueront, et les recommandations devraient refléter cette réalité. »

La plupart des organisations ont recours à des services de tiers pour gérer leurs données biométriques. « Le document d’orientation considère comme  acquis que les organisations ont le contrôle de la conception des technologies, ce qui n’est généralement pas le cas », souligne la section. Plusieurs de ces tiers sont établis aux États-Unis ou dans l’Union européenne. En gardant cela à l’esprit, le document d’orientation devrait « s’abstenir d’adopter une méthode prescriptive, accordant aux organisations (et aux fournisseurs de services tiers) la flexibilité d’évaluer les circonstances et de déterminer les meilleures mesures à mettre en œuvre pour chacune de leurs initiatives biométriques ».

Chaque organisation doit être dotée d’un solide plan de responsabilisation. La section de l’ABC recommande de se fier aux principes de base établis à l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques. « Un tiers peut s’occuper du signalement de manquements tout en tenant compte du caractère privé des renseignements des clients, fait remarquer la section. Cet aspect fait partie intégrante de la protection des informations biométriques et de l’identité des clients ».