Comment évaluer si la collecte de renseignements biométriques est nécessaire?
Les organismes publics et les entreprises privées doivent s’assurer que la collecte de renseignements biométriques est nécessaire.
Le recours à la biométrie doit donc viser à résoudre une situation problématique et à poursuivre un objectif important, légitime et réel. Voici quelques questions à vous poser avant la collecte :
- Pourquoi les renseignements biométriques sont-ils recueillis?
- Quel est l’objectif poursuivi par le recours à la biométrie?
- S’agit-il d’un problème concret, réel et documenté?
La commodité n’est pas un critère
Ainsi, il est important de bien identifier la situation. L’utilité et la commodité (c’est plus simple, c'est plus pratique) ne justifient pas la collecte de caractéristiques ou de mesures biométriques. De plus, il faut évaluer l’ampleur et l’importance du problème et identifier les éléments concrets prouvant son existence ou la probabilité qu’il survienne.
Le niveau élevé d’intrusion dans la vie privée doit être pris en compte
Afin de respecter le critère de nécessité, il faut notamment tenir compte des autres moyens possibles et des conséquences de la biométrie chez les personnes concernées. La nature sensible des renseignements biométriques doit être prise en considération. Ce sont des caractéristiques distinctives, des identifiants uniques composés d’informations intimes. Leur collecte constitue un degré d’intrusion élevé dans la vie privée des individus.
Le consentement ne peut pas suffire
Même avec un consentement, le critère de nécessité doit impérativement être respecté pour commencer une collecte de renseignements biométriques.
En effet, les caractéristiques ou les mesures biométriques ne peuvent être saisies sans que la personne concernée en ait connaissance. Des renseignements biométriques ne peuvent donc être recueillis à l’insu de cette personne.
La collecte doit être limitée
En plus d'être nécessaire, la collecte de renseignements biométriques doit être limitée au minimum de caractéristiques ou de mesures permettant de relier une personne à l’action qu’elle pose. Par exemple, s’il est possible de vérifier l’identité de la personne à l’aide de l’empreinte digitale d’un seul doigt, le fait de recueillir l’empreinte des dix doigts ne respecte pas cette exigence.
Une évaluation des facteurs relatifs à la vie privée est recommandée
Une évaluation des facteurs relatifs à la vie privée peut faciliter l’analyse de la nécessité de la collecte. La Commission recommande aux organisations de faire cette évaluation dès le début d’un projet de biométrie, qui est par ailleurs obligatoire pour tout projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels.
Consultez le guide d'accompagnement pour réaliser une EFVP (PDF, 1 108 Ko) pour vous aider dans cette démarche.