Aller au contenu

Biométrie

Le recours à la biométrie dans les organisations

Quiconque souhaite utiliser la biométrie a l'obligation de le divulguer à la Commission s'il :

  • Vérifie ou confirme l’identité au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques;

  • Crée une banque de caractéristiques ou de mesures biométriques – dans ce cas, la divulgation doit être faite au moins 60 jours avant la mise en service de la banque.


Veuillez remplir le formulaire de déclaration (PDF, 526 Ko). Pour connaître les principes à respecter et les obligations légales des organisations, vous pouvez consulter le guide d'accompagnement pour les organismes et les entreprises (PDF, 521 Ko).

Les types de biométrie

La biométrie permet d’identifier ou d’authentifier une personne grâce à ses caractéristiques uniques. Il en existe trois grandes catégories :

  • La biométrie morphologique, basée sur l’identification de traits physiques particuliers. Elle regroupe notamment la reconnaissance des empreintes digitales, de la forme de la main, du visage, de la rétine et de l’iris de l’œil;

  • La biométrie comportementale, basée sur l’analyse de certains comportements d’une personne, comme le tracé de sa signature, sa voix, sa démarche et sa façon de taper sur un clavier.

  • La biométrie biologique, basée sur l’analyse des traces biologiques d’une personne, comme l’ADN, le sang, la salive, l’urine et les odeurs.

Les caractéristiques ou les mesures biométriques issues de ces analyses sont des renseignements personnels, aussi appelés renseignements biométriques. Leur format peut être brut (image ou empreinte) ou codé (code ou gabarit chiffré). Les caractéristiques ou les mesures biométriques sont parfois regroupées et conservées dans des banques.

La nécessité des renseignements recueillis en biométrie

Comment évaluer si la collecte de renseignements biométriques est nécessaire?

Les organismes publics et les entreprises privées doivent s’assurer que la collecte de renseignements biométriques est nécessaire.

Le recours à la biométrie doit donc viser à résoudre une situation problématique et à poursuivre un objectif important, légitime et réel. Voici quelques questions à vous poser avant la collecte :

  • Pourquoi les renseignements biométriques sont-ils recueillis?
  • Quel est l’objectif poursuivi par le recours à la biométrie?
  • S’agit-il d’un problème concret, réel et documenté?

La commodité n’est pas un critère

Ainsi, il est important de bien identifier la situation. L’utilité et la commodité (c’est plus simple, c'est plus pratique) ne justifient pas la collecte de caractéristiques ou de mesures biométriques. De plus, il faut évaluer l’ampleur et l’importance du problème et identifier les éléments concrets prouvant son existence ou la probabilité qu’il survienne.

Le niveau élevé d’intrusion dans la vie privée doit être pris en compte

Afin de respecter le critère de nécessité, il faut notamment tenir compte des autres moyens possibles et des conséquences de la biométrie chez les personnes concernées. La nature sensible des renseignements biométriques doit être prise en considération. Ce sont des caractéristiques distinctives, des identifiants uniques composés d’informations intimes. Leur collecte constitue un degré d’intrusion élevé dans la vie privée des individus.

Le consentement ne peut pas suffire

Même avec un consentement, le critère de nécessité doit impérativement être respecté pour commencer une collecte de renseignements biométriques.

En effet, les caractéristiques ou les mesures biométriques ne peuvent être saisies sans que la personne concernée en ait connaissance. Des renseignements biométriques ne peuvent donc être recueillis à l’insu de cette personne.

La collecte doit être limitée

En plus d'être nécessaire, la collecte de renseignements biométriques doit être limitée au minimum de caractéristiques ou de mesures permettant de relier une personne à l’action qu’elle pose. Par exemple, s’il est possible de vérifier l’identité de la personne à l’aide de l’empreinte digitale d’un seul doigt, le fait de recueillir l’empreinte des dix doigts ne respecte pas cette exigence.

Une évaluation des facteurs relatifs à la vie privée est recommandée

Une évaluation des facteurs relatifs à la vie privée peut faciliter l’analyse de la nécessité de la collecte. La Commission recommande aux organisations de faire cette évaluation dès le début d’un projet de biométrie, qui est par ailleurs obligatoire pour tout projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels.

Consultez le guide d'accompagnement pour réaliser une EFVP (PDF, 1 108 Ko) pour vous aider dans cette démarche.

Le consentement à l'utilisation de la biométrie

Il est interdit d’exiger que la vérification ou la confirmation de l’identité d’une personne soit faite au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques. La personne doit fournir un consentement valide (manifeste et exprès, libre, éclairé, spécifique et limité dans le temps), et un autre moyen de collecte que la biométrie doit être prévue en cas d’absence de consentement.

Qu’est-ce qu’un consentement valide?

Pour être valide, le consentement obtenu doit être :

  • Manifeste et exprès. Il doit être explicite, sans équivoque et donné par un geste positif manifestant clairement l’accord de la personne. Le meilleur moyen est la signature d’un document;
  • Libre. Il doit être donné sans être influencé par une contrainte ou une pression indue;
  • Éclairé. Il doit être donné en toute connaissance de cause, avec toutes les informations nécessaires pour mesurer sa portée;
  • Spécifique. Il doit être limité à des objectifs clairement circonscrits;
  • Limité dans le temps. Il doit être donné pour une période temporelle prédéfinie.

Les personnes concernées doivent recevoir une information exhaustive et vous devez obligatoirement répondre à leurs questions.

La Commission propose un modèle de formulaire de consentement (DOCX, 63,9 Ko). Celui-ci doit être adapté aux spécificités du système biométrique envisagé. Consultez cet exemple remodelé par une entreprise fictive (PDF, 251 Ko).

Prévoir un autre moyen de collecter les renseignements

Puisque les personnes doivent être libres de refuser la collecte de leurs renseignements biométriques ou de retirer leur consentement, une autre solution (p. ex. cartes d’accès, jetons uniques, etc.) doit être prévue.

La biométrie au travail

Au travail, les employés sont-ils parfois obligés d’enregistrer leurs heures de travail à l’aide de leurs empreintes digitales? L’accès à des locaux est-il contrôlé par un outil qui reconnaît la forme de leurs mains? Si c’est le cas, l’employeur utilise de la biométrie.

Qu’est-ce que c’est?

La biométrie permet d’identifier ou d’authentifier une personne grâce à ses caractéristiques uniques (corporelles, comportementales ou biologiques). Le plus souvent, les systèmes biométriques se fondent sur :

  • les empreintes digitales;
  • la forme de la main;
  • la reconnaissance faciale;
  • la reconnaissance vocale.

Est-ce légal?

L’utilisation d’un système biométrique peut être légale, notamment si l’employeur a pu démontrer que la collecte de renseignements biométriques est nécessaire dans les circonstances

Les lois québécoises imposent plusieurs obligations aux employeurs en matière de biométrie et donnent des droits. En effet, les renseignements biométriques sont des renseignements personnels sensibles et intimes, qui identifient une personne de manière unique.

Ces lois sont les suivantes :

Quelles sont les obligations de l’employeur?

  • Utiliser la biométrie uniquement lorsque cela est nécessaire et s’assurer que la collecte et l’utilisation de renseignements sensibles sont proportionnelles à l’objectif visé;
  • Recueillir le consentement manifeste et exprès (par écrit), libre, éclairé, spécifique et limité dans le temps avant de collecter les renseignements biométriques d’une personne.
  • Offrir un autre moyen d’identification pour les personnes qui ne souhaitent pas que leurs renseignements biométriques soient recueillis;
  • Limiter la collecte de renseignements biométriques au minimum requis permettant d'identifier la personne;
  • Mettre en place des mesures de sécurité appropriées pour protéger les renseignements biométriques, notamment en limitant leur accès;
  • Déclarer l'utilisation de la biométrie à la Commission. S’il y a création d’une banque de caractéristiques et de mesures biométriques, l’employeur doit faire cette déclaration au moins 60 jours à l’avance;
  • Détruire les renseignements biométriques une fois qu’ils ne sont plus utiles – par exemple, si la personne quitte l’emploi ou si elle retire son consentement;
  • Permettre d’exercer des droits d’accès aux renseignements personnels et à la rectification de ceux-ci.

Quels sont les droits de l’employé?

  • Le droit de refuser la collecte : l’employeur ne peut pas exiger l’identification à l’aide d’une caractéristique biométrique. Ce choix doit être libre et un consentement accordé peut être retiré en tout temps. Dans ces cas, l’employeur doit permettre d’utiliser un autre moyen d’identification.
  • Le droit d’accès : l’employé a un droit d’accès à ses renseignements biométriques.
  • Le droit de rectification : si ces renseignements sont inexacts, incomplets ou équivoques, ou si l’employeur n’est pas autorisé par la loi à les recueillir, à les communiquer ou à les conserver, l’employé peut demander leur rectification.

Que faire si l’employé est inquiet de l’utilisation de la biométrie par son employeur?

Des questions? Contactez-nous!

Votre avis nous intéresse

Avez-vous trouvé les informations que vous cherchiez ?
Les informations sur cette page sont-elles claires, faciles à comprendre ?

Évitez d’inscrire des renseignements personnels. Notez que vous ne recevrez pas de réponse.

500 characters left