Nouveau document du Commissariat à la protection de la vie privée sur le traitement des données biométriques dans le privé

Le 11 août 2025, le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») a publié un document d’orientation (le « document d’orientation ») à l’intention des organisations du secteur privé au sujet de leurs obligations en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») lorsqu’elles doivent traiter des renseignements biométriques. Le document d’orientation est issu d’un processus de consultation lancé par le Commissariat le 11 octobre 2023 et portant sur une version préliminaire du document.

En quoi consistent les renseignements biométriques?

À mesure que les risques liés à la sécurité technologique évoluent et que la puissance de traitement informatique atteint de nouveaux sommets, les technologies biométriques promettent des solutions uniques à un éventail de problèmes liés à l’identité et à la vérification. Selon le document d’orientation, la « biométrie » désigne « la quantification de caractéristiques humaines en termes mesurables » et comprend la biométrie physiologique (soit les caractéristiques biologiques, telles que les empreintes digitales et l’ADN, entre autres), ainsi que la biométrie comportementale (soit les caractéristiques qui distinguent les mouvements et des gestes d’une personne, telles que les habitudes de frappe au clavier ou la voix).

Les systèmes biométriques permettent d’extraire des caractéristiques d’échantillons biométriques (p. ex., une photographie ou un balayage du visage d’une personne, ou encore un enregistrement de sa voix) et de convertir les données extraites en un format (souvent un gabarit biométrique) qui peut être analysé et utilisé à une fin précise. Le document d’orientation précise que, aux fins de ce dernier, seules les données extraites sont considérées comme des renseignements biométriques. Les échantillons biométriques sous-jacents (p. ex., la photographie utilisée pour générer un gabarit biométrique) ne sont pas considérés comme des renseignements biométriques.

Comment les renseignements biométriques sont-ils utilisés?

Une utilisation courante de la technologie biométrique est la reconnaissance biométrique, laquelle consiste à comparer un gabarit d’un échantillon biométrique (souvent appelé un gabarit de « comparaison ») avec au moins un gabarit extrait d’autres échantillons biométriques. Lorsqu’un gabarit de comparaison est comparé à un seul autre gabarit afin de déterminer si ces deux gabarits sont rattachés à la même personne, il s’agit d’une utilisation de la technologie biométrique à des fins de vérification. Lorsqu’un gabarit de comparaison est comparé à plusieurs autres gabarits pour déterminer s’il correspond à l’un de ces derniers, il s’agit d’une utilisation de la technologie biométrique à des fins d’identification. La technologie biométrique peut également être utilisée pour estimer certains attributs propres à une personne (comme son âge, son sexe ou son degré de fatigue) en fonction de ses caractéristiques biométriques. Ce type de traitement biométrique est appelé classification biométrique.

Les renseignements biométriques sont-ils des renseignements personnels sensibles?

Selon le document d’orientation, les renseignements biométriques permettant d’identifier précisément une personne sont considérés comme des renseignements sensibles en toutes circonstances (y compris dans les cas où ils ne sont utilisés ou conservés que pendant de très courtes périodes), tandis que les renseignements biométriques qui ne permettent pas d’identifier précisément une personne (p. ex., la couleur des yeux) peuvent être sensibles ou non, selon les circonstances. De façon générale, les renseignements biométriques sont considérés comme sensibles dans les cas suivants : 1) s’ils sont, ou s’ils peuvent facilement être, combinés à d’autres renseignements qui permettraient d’identifier précisément une personne; 2) si une mauvaise utilisation de ces renseignements peut poser un risque élevé de préjudice pour une personne; 3) s’ils peuvent révéler d’autres catégories de renseignements qui sont considérés comme sensibles.

Survol du document d’orientation

Le document d’orientation s’appuie sur divers rapports de conclusions du Commissariat pour présenter les mesures à prendre et à éviter dans le cadre de l’utilisation des renseignements biométriques dans le secteur privé. Ces conseils s’articulent autour des dix principes énoncés à l’annexe 1 de la LPRPDE.

• Déterminer si les renseignements biométriques sont utilisés à des fins acceptables. Le document d’orientation précise clairement que les organisations ne doivent pas avoir recours à l’utilisation des renseignements biométriques si elles n’ont pas la certitude que cette utilisation est acceptable dans les circonstances. Si une organisation ne peut démontrer que le traitement envisagé des renseignements biométriques répond aux critères ci-après, le programme de biométrie en question ne devrait pas être mis en œuvre :
  • Besoin légitime – Les organisations doivent démontrer que le programme de biométrie est nécessaire pour répondre à un besoin précis et légitime. Les renseignements personnels ne doivent pas être recueillis dans un but spéculatif ou prospectif à déterminer ultérieurement.
  • Efficacité – Le programme de biométrie doit permettre de réaliser efficacement les fins établies. Les organisations devraient tenir compte de la validité scientifique ou technique du programme, de son exactitude et de ses taux d’erreur, ainsi que du risque que la technologie soit contournée ou compromise.
  • Atteinte à la vie privée minimale – Les organisations doivent évaluer s’il existe des solutions de rechange moins intrusives pour atteindre le même objectif et si des mesures peuvent être prises pour réduire l’intrusion dans la vie privée (p. ex., l’utilisation de renseignements biométriques moins sensibles ou la limitation du rôle de la biométrie dans le programme).
  • Proportionnalité – Les organisations devraient déterminer si les répercussions du programme biométrique sur la vie privée sont proportionnelles aux avantages obtenus.
• Obtenir le consentement pour traiter les renseignements biométriques. Les organisations doivent toujours obtenir un consentement valable pour la collecte, l’utilisation ou la communication de renseignements biométriques. Bien que le document d’orientation laisse entendre que le consentement obtenu pourrait être implicite dans certains cas, il est important de souligner que, dans la plupart des cas, le consentement doit être donné expressément, car les renseignements biométriques sont susceptibles d’être considérés comme des renseignements sensibles par le Commissariat. De plus, le traitement de la biométrie ne peut être une condition de service que dans des circonstances très précises; si la technologie biométrique est utilisée de manière non essentielle, les organisations doivent offrir des solutions de rechange à sa collecte. Le document d’orientation rappelle également aux organisations qu’elles doivent porter une attention particulière à la collecte de renseignements biométriques auprès de tiers (comme des fournisseurs de services ou des partenaires) et s’assurer que les parties qui communiquent ces renseignements sont autorisées par la loi à le faire. Les organisations qui exercent des activités au Canada doivent aussi savoir que, même si les renseignements biométriques d’une personne peuvent être accessibles au public, les dispenses des exigences de consentement prévues par la LPRPDE sont très limitées.
• Limiter la collecte de renseignements biométriques. Les organisations ne doivent recueillir que les renseignements personnels nécessaires aux fins déterminées. Les organisations doivent utiliser le moins de caractéristiques biométriques possible et limiter la capacité technique du système biométrique à celle requise pour réaliser les fins visées. Le document d’orientation suggère également que les organisations devraient privilégier les systèmes biométriques de vérification (soit une concordance d’un à un) plutôt que les systèmes biométriques d’identification (soit une concordance d’un à plusieurs) afin de limiter la collecte de renseignements biométriques et de laisser le contrôle du gabarit biométrique utilisé à la personne. Les organisations devraient également éviter de créer de grandes bases de données centralisées de gabarits (qui, à elles seules, créent des risques uniques en matière de sécurité). 
• Limiter l’utilisation, la communication et la conservation des renseignements biométriques. À quelques exceptions près, les renseignements biométriques ne doivent être utilisés qu’aux fins auxquelles ils ont été recueillis. Les organisations ne doivent pas analyser des renseignements biométriques pour en extraire des renseignements secondaires (p. ex., des caractéristiques) sans le consentement de la personne et ne doivent conserver les renseignements biométriques que pendant la période requise pour réaliser les fins visées. Une fois ces fins réalisées, les renseignements biométriques doivent être détruits de façon permanente, quel que soit l’endroit où ils se trouvent, y compris les appareils, le stockage infonuagique et les sauvegardes. À cette fin, le document d’orientation recommande de mettre en œuvre des processus pour s’assurer que les renseignements biométriques ne sont pas communiqués à des tiers, qu’ils ne sont pas transmis entre les différentes versions du système et qu’ils ne sont pas liés à d’autres renseignements personnels, comme un profil d’employé ou un compte d’utilisateur.
• Prendre des mesures de sécurité pour protéger les renseignements biométriques. Les organisations sont responsables de protéger les renseignements personnels qu’elles détiennent au moyen de mesures de sécurité correspondant au degré de sensibilité des renseignements. Ces mesures de sécurité doivent être examinées et mises à jour régulièrement. Le document d’orientation propose plusieurs caractéristiques de conception qui permettent de satisfaire à cette obligation, y compris la « biométrie annulable » (c’est-à-dire des gabarits biométriques qui déforment les données pour qu’elles ne puissent être reconverties en renseignements biométriques d’origine) et les technologies de chiffrement avancées. Le document d’orientation indique également que les organisations qui déploient des systèmes biométriques doivent contrôler et surveiller l’accès au système, ainsi qu’évaluer régulièrement ces systèmes afin d’y repérer les vulnérabilités.
• S’assurer de l’exactitude des renseignements biométriques. Les organisations sont tenues de s’assurer que le système biométrique respecte les normes d’exactitude pertinentes et de choisir des systèmes biométriques dont les taux d’erreur sont appropriés et acceptables dans les circonstances. Cela comprend la minimisation des écarts d’exactitude et d’efficacité entre les groupes sociodémographiques. Le document d’orientation suggère aux organisations de mettre à l’essai tout système biométrique avant sa mise en service et d’établir une procédure pour traiter les fausses correspondances.
• Mettre en place une structure de gouvernance et de responsabilité liée au système biométrique. Les organisations sont responsables de tous les renseignements personnels dont elles ont la gestion, y compris les renseignements traités par des tiers. Le document d’orientation précise que les organisations sont autorisées à faire appel à un tiers pour administrer leur système biométrique; toutefois, des moyens contractuels doivent être en place pour s’assurer de la protection de la vie privée dans la mesure requise pour les renseignements biométriques. Les organisations doivent également offrir à leurs employés une formation et des orientations adéquates, et veiller à ce qu’ils soient dûment supervisés, en ce qui concerne le traitement des renseignements biométriques. Elles devraient intégrer à leur structure de gouvernance générale la responsabilisation à l’égard de leur utilisation de la biométrie. Compte tenu de la sensibilité des renseignements biométriques, les organisations devraient mettre en place une structure de gouvernance solide des systèmes biométriques, établir des conditions de suspension de l’utilisation de la biométrie, intégrer l’examen manuel aux processus biométriques, élaborer des plans d’intervention en cas d’atteinte et intégrer la capacité de vérification des entrepreneurs.
• Faire preuve de transparence quant à la gestion des renseignements biométriques. Les organisations doivent faire preuve de transparence avec les personnes quant à leur gestion des renseignements personnels. Les politiques et les pratiques en matière de protection de la vie privée doivent être facilement accessibles aux personnes, sous une forme compréhensible, et doivent être fournies aux personnes avant qu’elles soient inscrites au système biométrique. L’utilisation spécifique des renseignements biométriques et les renseignements mis à la disposition de tiers (le cas échéant) doivent être expliqués. Dans la mesure du possible, les organisations devraient identifier spécifiquement les fournisseurs de services auxquels des renseignements biométriques sont transmis. Les organisations doivent fournir les coordonnées de la personne responsable des politiques de protection des renseignements personnels de l’organisation et à laquelle des demandes de renseignements ou des plaintes peuvent être adressées.

Développements récents au Québec

Au Québec, la collecte et l’utilisation de renseignements biométriques pour vérifier ou confirmer l’identité d’une personne sont strictement régies par la Loi concernant le cadre juridique des technologies de l’information (la « LCCJTI ») ainsi que par les diverses lois sur la protection des renseignements personnels applicables. La LCCJTI exige que les organisations obtiennent le consentement exprès d’une personne pour utiliser ses renseignements biométriques et que l’utilisation de ces renseignements se limite à ce qui est nécessaire dans le cadre de la vérification ou de la confirmation de l’identité de cette personne. La LCCJTI stipule également que les renseignements biométriques ne peuvent être utilisés à aucune autre fin et doivent être détruits dès que l’objet de la vérification ou de la confirmation de l’identité a été accompli ou que le motif de cette vérification ou confirmation n’existe plus. De plus, les organisations qui recueillent des renseignements biométriques afin de confirmer ou de vérifier l’identité d’une personne sont tenues d’en aviser la Commission d’accès à l’information du Québec (la « CAI »). Elles doivent également aviser la CAI de la création de toute base de données de caractéristiques biométriques au plus tard 60 jours avant la mise en service de cette dernière.

La CAI a publié un guide sur ces exigences, lesquelles suivent généralement le document d’orientation publié par le Commissariat. Les principes de la CAI soulignent l’importance d’obtenir le consentement de la personne concernée et insistent sur le fait que les personnes doivent être libres de refuser que leurs renseignements biométriques soient recueillis. L’utilisation de systèmes biométriques a également fait l’objet de deux décisions récentes de la CAI (voir notamment Commission d’accès à l’information du Québec - Metro Inc.), lesquelles mettent en évidence la surveillance réglementaire accrue à l’égard de l’utilisation de la biométrie, particulièrement en ce qui a trait à la nécessité et à la proportionnalité de ces outils pouvant porter davantage atteinte à la vie privée.