TC Transcontinental a utilisé illégalement la reconnaissance faciale dans l’une de ses imprimeries, a statué la Commission d’accès à l’information. Il s’agit d’une décision rare sur le recours à la biométrie, la première depuis le renforcement législatif en 2022.
«C’est un signal d’alarme pour les entreprises», note Antoine Guilmain, codirecteur du groupe de pratique national Cybersécurité et protection des données chez Gowling WLG. « Ce n’est que le 10e décision et le 5e Arrêté de la Commission sur la biométrie depuis 2000. »
En 2020, dans le contexte de la pandémie de COVID-19, Imprimeries Transcontinental a implanté, dans son usine de Beauceville, en Chaudière-Appalaches, un système d’authentification comportant deux fonctionnalités, l’une de reconnaissance faciale et l’autre de mesure de température. Tout cela pour « limiter les risques de propagation du virus ».
Après la crise sanitaire, seul l’outil de reconnaissance faciale a été utilisé pour contrôler les allées et venues. Dans une décision rendue en décembre, bien que passée inaperçue, la Commission d’accès à l’information (CAI) a jugé que l’entreprise « n’a pas démontré la nécessité » de recueillir ces renseignements personnels pour atteindre son objectif de santé et de sécurité. .
Selon le Loi sur la protection des renseignements personnels dans le secteur privé (ou Loi sur la protection de la vie privée), les organismes publics et les entreprises privées qui collectent des « renseignements personnels sensibles » doivent s’assurer que cette collecte est « nécessaire ».
M.e Guilmain souligne que l’employeur avait obtenu le consentement des salariés pour collecter leurs données biométriques.
C’est un autre rappel de la Commission : l’obtention du consentement ne change rien au critère de nécessité.
M.e Antoine Guilmain, codirecteur du groupe de pratique national Cybersécurité et protection des données chez Gowling WLG
Depuis septembre 2022, toute création d’une banque de caractéristiques ou de mesures biométriques au Québec doit « être divulguée au plus tard 60 jours avant sa mise en service ». Ce nouveau délai a fait l’objet d’une modification du Loi portant cadre juridique des technologies de l’information.
TC Transcontinental dit avoir tourné le dos à la reconnaissance faciale en août 2024, quelques semaines avant la décision exigeant la destruction des données recueillies. Désormais, «aucune de nos 15 usines canadiennes n’utilise cette forme d’identification», assure François Taschereau, vice-président aux communications corporatives et aux affaires publiques.
Menaces terroristes ?
Outre les raisons sanitaires, TC Transcontinental a exprimé sa volonté de respecter les exigences de la certification « Partenariat Douanes-Commerce Contre le Terrorisme » (CTPAT), qui encadre la sécurité des chaînes d’approvisionnement du secteur privé face aux menaces terroristes. .
La Commission répond que le recours à la reconnaissance faciale est un moyen parmi d’autres pour adhérer à la certification, et non une obligation. « La norme CTPAT prévoit d’autres moyens moins intrusifs en termes de confidentialité qui permettraient d’atteindre l’objectif de contrôle de l’accès aux locaux de l’entreprise », peut-on lire dans la décision.
Pourquoi ne pas opter pour de simples « cartes d’identité » ? Ceux-ci « incluent[nt] risques de partage ou de copie de cartes, en plus de conduire à plus de gestion interne en cas de perte et d’échange de ces cartes », a fait valoir Imprimeries Transcontinental dans une réponse à la Commission d’accès à l’information.
Ces inconvénients constituent un problème courant dans la gestion d’une entreprise, selon la Commission. Quant aux risques invoqués, ils ne constituent pas « une situation réelle et une justification suffisante », soutient-elle.
La décision du comité de surveillance est conforme aux positions de principe de la CAI, selon l’avocat Antoine Guilmain, qui suit attentivement les dossiers biométriques. « Nous avons un scénario où nous souhaitons utiliser la biométrie dans un contexte d’impression, pour tous les salariés et dans tous les locaux. C’est assez spécial», dit-il.
Forte croissance
Les informations biométriques «ont un caractère immuable qui en fait une information particulièrement sensible en cas d’incident de confidentialité et l’utilisation malveillante de ces informations peut avoir des conséquences graves pour les personnes concernées», rappelle la CAI dans sa décision contre Imprimeries Transcontinental.
Cela arrive à un moment où le recours aux banques de mesures biométriques connaît une forte croissance au Québec. Au cours de l’exercice 2023-2024, 124 entités ont déclaré la collecte de ces données sensibles, en hausse de 60 % par rapport à l’année précédente (78), selon les données de la Commission révélées par La presse en octobre dernier.
Depuis 2022, l’organisme gouvernemental s’inquiète d’une « certaine banalisation » des implications de la biométrie en matière de protection des informations personnelles.
La dernière décision du CAI à ce sujet remonte à 2022, lorsque l’Auberge du lac Sacacomie a été contrainte de cesser de recueillir la forme des visages de ses employés, en plus de devoir détruire les données qu’elle avait recueillies.
