Comment évaluer si la collecte des renseignements personnels biométriques est nécessaire?
Les organismes publics et les entreprises privées doivent s’assurer que la collecte de renseignements personnels et biométriques est nécessaire.
Le recours à la biométrie doit donc viser à résoudre une situation problématique, poursuivre un objectif important, légitime et réel. Voici quelques questions à se poser:
- Pourquoi les renseignements biométriques sont-ils recueillis?
- Quel est l’objectif poursuivi en ayant recours à la biométrie?
- S’agit-il d’un problème concret, réel et documenté?
La commodité n’est pas un critère
Ainsi, il est important de bien identifier la situation. L’utilité ou la commodité (« c’est plus simple, plus pratique ») ne justifient pas la collecte de caractéristiques ou de mesures biométriques. De plus, il faut évaluer l’ampleur et l’importance du problème et identifier les éléments concrets prouvant son existence ou la probabilité qu’il se réalise.
Le niveau élevé d’intrusion dans la vie privée doit être pris en compte
Afin de respecter le critère de nécessité, il faut notamment tenir compte des autres moyens disponibles et des conséquences de la biométrie chez les personnes concernées. La nature sensible des renseignements biométriques doit être prise en considération. Ce sont des caractéristiques distinctives, des identifiants uniques composés d’informations intimes. Leur collecte constitue un degré d’intrusion élevé dans la vie privée des individus.
Le consentement ne peut pas suffire
Même avec un consentement, le critère de nécessité doit impérativement être respecté avant de commencer une collecte de renseignements biométriques.
En effet, la Loi concernant le cadre juridique des technologies de l’information stipule que les caractéristiques ou mesures biométriques ne peuvent être saisies sans que la personne concernée en ait connaissance. Des renseignements biométriques ne peuvent donc être recueillies à l’insu de cette personne.
La collecte doit être limitée
En plus de la nécessité, la Loi concernant le cadre juridique des technologies de l’information exige qu’on limite la collecte de renseignements biométriques au minimum de caractéristiques ou de mesures permettant de relier une personne à l’action qu’elle pose. Par exemple, s’il est possible de vérifier l’identité de la personne à l’aide de l’empreinte digitale d’un seul doigt, recueillir l’empreinte des dix doigts ne respecte pas cette exigence.
Une évaluation des facteurs relatifs à la vie privée est recommandée
Une évaluation des facteurs relatifs à la vie privée peut faciliter l’analyse de la nécessité de la collecte. La Commission recommande aux organisations de faire cette évaluation dès le début d’un projet de biométrie. Cette évaluation deviendra par ailleurs obligatoire à partir de septembre 2023 pour tout projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels.
Mise à jour : 20 septembre 2022