En février, la Commission d’accès à l’information (CAI) a interdit à une entreprise québécoise qui gère des chaînes d’épiceries et de pharmacies de créer une banque de données regroupant des images du visage de ses clientes et clients sans leur consentement. L’entreprise voulait s’en servir pour mettre en place un système de reconnaissance faciale visant à contrôler le vol à l’étalage et la fraude. Cela dit, l’année dernière, plus de 120 organisations au Québec ont déclaré à la CAI qu’elles collectent des données biométriques. Est-ce légal? Et comment faire respecter votre droit à la vie privée?
La CAI est l’organisme gouvernemental québécois qui s’assure que votre droit à la vie privée est respecté. Elle peut surveiller les entreprises privées et les organismes publics au Québec, décider s’ils respectent la loi et leur ordonner de la respecter. Une entreprise privée qui ne respecte pas une décision de la CAI risque une amende pouvant aller jusqu’à 25 millions de dollars ou 4 % de son chiffre d’affaires mondial.
Qu’est-ce que la biométrie?
La biométrie permet de vous identifier à partir de caractéristiques uniques de votre corps, comme vos empreintes digitales, votre ADN, votre voix ou votre rétine. Vous partagez peut-être des données biométriques au quotidien : par exemple, en déverrouillant votre téléphone avec votre empreinte digitale ou votre visage, en vous identifiant auprès de votre institution financière avec votre voix ou en donnant vos empreintes digitales pour gérer vos heures et votre paie au travail.
Les données biométriques sont des renseignements personnels sensibles. Elles sont directement liées à votre identité et à votre vie privée. Pensez à faire preuve de prudence avant de les partager.
Quelles sont les règles?
Les entreprises privées et les organismes publics doivent respecter des règles strictes pour collecter et utiliser vos données biométriques légalement.
Au Québec, les organisations doivent informer la Commission d’accès à l’information (CAI) avant de collecter des données biométriques dans une banque de données et avant d’utiliser des données biométriques pour identifier des personnes. La CAI peut enquêter et décider si la collecte ou l’utilisation prévues respectent la loi et le droit à la vie privée.
De plus, les organisations doivent obtenir votre consentement. Vous avez le droit de savoir que vos données biométriques seront collectées dans une banque de données et de comprendre comment elles seront utilisées. Si une organisation veut utiliser vos données pour une autre raison que celle à laquelle vous avez consenti, elle doit généralement vous redemander votre accord.
Mais ce n’est pas tout! Lorsqu’une organisation crée une banque de données biométriques, elle doit aussi avoir une raison sérieuse. C’est-à-dire que la banque de données biométriques doit être nécessaire pour régler un problème réel et important. Par exemple, la CAI a décidé que la collecte des empreintes digitales de clientes et de clients pour leur permettre de passer plus rapidement à la caisse d’un commerce n’est pas une raison sérieuse.
Si l’un de ces critères n’est pas respecté, la CAI peut interdire à une entreprise privée ou un organisme public de collecter ou d’utiliser des données biométriques.
Faites respecter votre droit à la vie privée
Vous avez des droits et des recours pour protéger vos renseignements personnels et faire respecter votre droit à la vie privée.
Si vous avez des doutes sur l’utilisation de vos données biométriques, vous pouvez contacter l’organisation concernée. Vous pouvez aussi porter plainte à la Commission d’accès à l’information (CAI).