radio waves
Insights Header image
Insights Header image

3e partie | Le droit à la vie privée 101 – Obligations en vertu de la nouvelle loi 25 au Québec : Préparez-vous à utiliser les données biométriques en toute conformité

Sep 15, 2022 Balados Lecture de 5 min

Cette série de balados conçue pour les entreprises du secteur privé faisant affaire au Québec porte sur les exigences de la loi 25 qui entrera en vigueur le 22 septembre. Candice Hévin et Marie-Eve Jean, avocates au sein de notre groupe de la protection de la vie privée et des données, animent des discussions sur les changements au régime du secteur privé, soit les modifications à la Loi sur la protection des renseignements personnels dans le secteur privé.

Dans cet épisode, découvrez vos responsabilités en matière de données biométriques et vos obligations de divulgation auprès de l’organisme de réglementation de la protection de la vie privée du Québec.

Le contenu de ce balado ne fournit qu’un aperçu du sujet et ne serait en aucun cas interprété comme des conseils juridiques. L’auditeur ne doit pas se fonder uniquement sur ce balado pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

Transcription

Marie-Eve Jean : Bonjour et bienvenue à Cours 101 sur le droit à la vie privée, particulièrement, vos obligations sous la Loi 25. Il s’agit d’une série de balados qui vous aidera à vous préparer et vous conformer à la nouvelle législation du Québec en matière de protection de la vie privée et des renseignements personnels.

Candice Hévin : Mon nom est Candice Hévin.

Marie-Eve Jean : Et je suis Marie-Eve Jean.

Candice Hévin : Nous sommes toutes les deux avocates chez TRC-Sadovod et nous travaillons ensemble afin d’aider les entreprises qui opèrent au Québec à se conformer avec la législation québecoise en matière de protection de la vie privée et des renseignements personnels.

Marie-Eve Jean : Pour vous donner un peu de contexte, le Québec a adopté une nouvelle loi le 22 septembre 2021. Le projet de loi 64, vise à moderniser le régime de protection de la vie privée et des renseignements personnels dans les secteurs public et privé. Cette série de balados porte sur les changements à la législation du secteur privé, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels que nous référerons ici par la Loi 25.

Candice Hévin : Bien que la majorité des nouvelles exigences entrent en vigueur le 22 septembre 2023, certaines exigences clés entreront en vigueur cet automne, le 22 septembre. Quelques exigences prendront également effet à partir du 22 septembre 2024.

Marie-Eve Jean : Ce 3ème balados, porte sur les mesures qui impactent l’utilisation des données biométriques et qui entrent en vigueur le 22 septembre 2022. Donc, les données biométriques, c’est quoi exactement?

Candice Hévin : Ce sont des techniques qui sont utilisées pour analyser une ou plusieurs caractéristiques physiques ou morphologiques. Par exemple physiques comme les empreintes digitales, les traits du visage, l’iris ou la rétine de l’œil. Mais aussi comportementales, telle que la démarche d’une personne, ou biologiques, tel que l’ADN.

Marie-Eve Jean : Les données biométriques sont uniques et propres à chaque personne et c’est ce qui en fait des informations hautement sensibles et qualifiés sous la loi 25 de « renseignements personnels sensibles ».

Généralement les entreprises s’en servent dans le cadre d’automatisation des processus d’identification et d’authentification des personnes. Les exemples les plus courants vont être un horodateur utilisé par un employeur pour enregistrer le temps de travail de ses employés qui s’identifieront grâce à leur empreinte digitale; une reconnaissance faciale utilisée à la place d’une carte d’accès. Mais qui dit « renseignements personnels sensibles » dit risques.

Candice Hévin : Risque que ces renseignements qui sont permanents, distinctifs et uniques qui permettent d’identifier une personne : soient utilisés pour déduire des informations autres que l’identité d’une personne (une maladie) ou encore pour usurper l’identité d’une personne.

Mais un autre risque non négligeable est que si votre base de données biométriques ne se conforme pas à la loi et aux recommandations ou directives de la CAI, si celle constitue une atteinte à la vie privée, la CAI peut ordonner sa destruction de manière définitive.

Donc, que faire pour que votre base de données biométriques soit conforme? Trois étapes.

Marie-Eve Jean : Étape 1 : Effectuer une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) avant de créer une banque de caractéristiques ou de mesures biométriques ou un système biométrique. Dans l’EFVP on va s’interroger sur la nécessité, la finalité, la proportionnalité et les options :

  • La nécessité de collecter les données biométriques. Et non, le fait que ce soit bien plus pratique, n’est pas une justification en soi de la nécessité de la collecte.
  • La finalité doit être importante, légitime et réelle.
  • Les données collectées doivent être proportionnelles à l’usage (par exemple on va collecter une empreinte digitale plutôt que celle des cinq doigts de la main.
  • Par option, on entend une mesure alternative qui doit être prévue dans le cas où une personne refuserait de consentir à la collecte de ses données biométriques (la mesure alternative sera de lui donner un mot de passe personnalisé).

Candice Hévin : Étape 2 : Divulguer le projet à la CAI au plus tard 60 jours avant sa mise en service et aviser la CAI avant d’utiliser toute technique biométrique permettant de vérifier ou de confirmer l’identité d’une personne :

  • Cette déclaration doit être faite au plus vite car la CAI pourra requérir des ajustements au système de données biométriques ce qui retardera sa mise en service.
  • Précision importante : ne sont concernées que les bases de données biométriques qui sont utilisées (i) pour identifier ou authentifier des personnes (ii) spécifiquement par des moyens technologiques. Seules ces bases de données doivent être déclarées à la CAI. Par exemple une banque de photos statique n’aura pas besoin d’être déclarée à la CAI.
  • Une petite parenthèse ici, les clients souvent confus et nous demandent souvent qui exactement doit déclarer le système biométrique – celui qui crée ou celui qui utilise? En règle générale :  la déclaration du système biométrique est faite par l’entreprise qui utilisera le système (car c’est généralement elle qui détient et utilise les renseignements personnels) et non par l’entreprise qui l’a conçu. Même si l’entreprise qui conçoit le système peut être amenée à stocker les renseignements biométriques de ses clients. Attention, il ne s’agit pas là d’une règle absolue, cela se vérifiera parfois au cas par cas et compte tenu notamment du contexte et des obligations de la Loi 25, la CAI pourrait demander des renseignements supplémentaires au concepteur, si elle l’exige, après avoir analysé la déclaration de l’entreprise qui utilise le système biométrique.

Marie-Eve Jean : Étape 3 : Remplir les diverses obligations prévues par la Loi 25 pendant la mise en œuvre du projet (donc avant sa mise en service) :

  • Vous allez devoir obtenir le consentement manifesté de façon expresse des personnes concernées. Pour cela la CAI met à disposition sur son site Internet un modèle de formulaire de consentement à utiliser. Vous pouvez aussi toujours nous demander de vous aider dans la préparation et la rédaction de ce formulaire.
  • Confirmer l’identité des personnes.
  • Évaluer si d’autres moyens d’identification sont disponibles et les proposer, on retrouve ici notre « alternative » discutée plus tôt.
  • Respecter la finalité pour laquelle les données sont collectées.
  • Mettre en œuvre des mesures de confidentialité et de sécurité appropriées.
  • Assurer la destruction sûre et définitive des données. Lors de la destruction, vous devez être certains de supprimer à la fois l’image et le code crypté associé à l’image, car ils sont tous deux considérés comme des renseignements personnels sensibles.
  • Mettre en place un processus pour les demandes de droit d’accès et de rectification des utilisateurs.

Candice Hévin : Voilà, cela clos notre 3ème épisode. Nous avons plusieurs autres conseils et astuces concernant l’Évaluation des Facteurs relatifs à la Vie Privée, alors n’hésitez pas à nous contacter.

Marie-Eve Jean : Ne manquez pas les épisodes suivants que nous publierons dans les mois à venir, où nous discuterons de vos obligations entrant en vigueur à partir de septembre 2023. Vous écoutez Marie-Eve Jean.

Candice Hévin : Et Candice Hévin.

Marie-Eve Jean : De TRC-Sadovod. Ce fut un plaisir d’enregistrer pour vous, on se retrouve prochainement !

Perspectives (3 Posts)Voir Plus

Featured Insight

Loi 25 – Premier projet de règlement, à vos marques, prêts, partez!

Premier projet de règlement dans le cadre de la Loi 25 en matière de protection des renseignements personnels et incidents de confidentialité.

Lire plus
18 Juil, 2022
Featured Insight

Projet de loi no 64 : aide-mémoire à l’intention des entreprises

Le Québec modernise ses lois sur la protection des renseignements personnels. Cet aide-mémoire illustre les priorités et les échéances pour les entreprises.

Lire plus
7 Déc, 2021
Featured Insight

Adoption du projet de loi no 64 : modernisation du régime de protection de la vie privée

Une analyse en profondeur de la modernisation de 2021 du régime de protection de la vie privée du Québec.

Lire plus
25 Oct, 2021