Section surveillance

Informations sur la décision

Contenu de la décision

Commission daccès à linformation du Québec Dossier : 1018507-S Nom de lentreprise : Les 3 Piliers Inc. Date : 14 février 2020 Membre : M e Cynthia Chassigneux DÉCISION DÉCISION en vertu de la Loi concernant le cadre juridique des technologies de linformation1 et de la Loi sur la protection des renseignements personnels dans le secteur privé 2 APERÇU [1] Lentreprise a déclaré 3 à la Commission daccès à linformation (la Commission) son intention de constituer une banque de caractéristiques biométriques à partir des empreintes digitales de ses clients afin que ceux-ci puissent payer leurs achats. [2] Lentreprise mentionne que la mise en place de ce système de paiement par empreinte digitale permettra aux personnes « de payer simplement en déposant leur doigt sur le lecteur dempreinte, chaque empreinte sera reliée à un dossier et le client sera facturé [de] la totalité de ses achats par prélèvement automatique une fois par mois » 4 . [3] En mettant en place ce système, lentreprise souhaite minimiser son impact sur lenvironnement en réduisant lempreinte écologique de ses 1 RLRQ, c. C-1.1, la Lccjti. 2 RLRQ, c. P-39.1, la Loi sur le privé. 3 Voir le Formulaire de déclaration dune banque de caractéristiques ou de mesures biométriques et le document intitulé « Consentement et conditions générales dutilisation » transmis par lentreprise le 3 mai 2018. Ce document a été modifié plusieurs fois en cours danalyse. 4 Réponse de lentreprise en date du 28 mai 2018.
1018507-S Page : 2 opérations, prévenir la fraude et réduire le temps dattente aux caisses 5 . [4] Partant, la Commission doit déterminer si le projet de lentreprise respecte les législations applicables en matière de biométrie et de protection des renseignements personnels. Plus précisément, la Commission doit déterminer si le fait de constituer une banque de caractéristiques biométriques à partir des empreintes digitales de ses clients est nécessaire à lentreprise pour répondre aux objectifs quelle poursuit. La Commission est davis que non. DROIT APPLICABLE [5] Lentreprise est légalement constituée au Québec 6 . Elle est donc soumise non seulement à la Loi concernant le cadre juridique des technologies de linformation (Lccjti), mais aussi à la Loi sur le privé. [6] En effet, lorsquune entreprise a lintention de créer une banque de caractéristiques ou de mesures biométriques, elle doit la déclarer à la Commission conformément à la Lccjti. 45. La création dune banque de caractéristiques ou de mesures biométriques doit être préalablement divulguée à la Commission daccès à linformation. De même, doit être divulguée lexistence dune telle banque quelle soit ou ne soit pas en service. […] [7] Sur réception de cette déclaration, la Commission examine, entre autres, les finalités poursuivies par lentreprise, les caractéristiques ou mesures biométriques saisies et versés dans la banque et les mécanismes pris pour assurer la protection des renseignements personnels, incluant les caractéristiques ou mesures biométriques enregistrées ou qui seront enregistrées dans cette banque. [8] Cet examen se fait au regard de la Lccjti et de la Loi sur le privé. [9] La Lccjti encadre le recours à des procédés permettant de saisir des caractéristiques ou des mesures biométriques pour vérifier ou confirmer lidentité dune personne. Elle prévoit ainsi que le recours à de tels procédés ne peut se faire sans le consentement des personnes concernées ou encore que leur identité ne peut être établie quen faisant appel à un minimum de caractéristiques ou 5 Voir le Formulaire de déclaration dune banque de caractéristiques ou de mesures biométriques, les différentes versions du document intitulé « Consentement et conditions générales dutilisation » transmis durant lanalyse du présent dossier et la réponse de lentreprise en date du 28 mai 2018. Ces objectifs ont été réitérés par lentreprise dans sa réponse transmise en date du 25 octobre 2019. 6 Lentreprise est enregistrée au registraire des entreprises sous le numéro 1166221243.
1018507-S Page : 3 mesures biométriques. [10] Elle encadre également lutilisation et la destruction des caractéristiques ou mesures biométriques saisies. 44. Nul ne peut exiger, sans le consentement exprès de la personne, que la vérification ou la confirmation de son identité soit faite au moyen dun procédé permettant de saisir des caractéristiques ou des mesures biométriques. Lidentité de la personne ne peut alors être établie quen faisant appel au minimum de caractéristiques ou de mesures permettant de la relier à laction quelle pose et que parmi celles qui ne peuvent être saisies sans quelle en ait connaissance. Tout autre renseignement concernant cette personne et qui pourrait être découvert à partir des caractéristiques ou mesures saisies ne peut servir à fonder une décision à son égard ni être utilisé à quelque autre fin que ce soit. Un tel renseignement ne peut être communiqué quà la personne concernée et seulement à sa demande. Ces caractéristiques ou mesures ainsi que toute note les concernant doivent être détruites lorsque lobjet qui fonde la vérification ou la confirmation didentité est accompli ou lorsque le motif qui la justifie nexiste plus. [11] La Loi sur le privé établit des règles à légard des renseignements personnels sur autrui quune personne recueille, détient, utilise ou communique à loccasion de lexploitation dune entreprise 7 . [12] Parmi ces règles, la Loi sur le privé prévoit, entre autres, quune personne qui exploite une entreprise doit avoir un intérêt sérieux et légitime pour constituer un dossier sur autrui. Elle prévoit également quune entreprise ne doit recueillir que les renseignements personnels nécessaires à lobjet du dossier quelle constitue sur autrui : 4. Toute personne qui exploite une entreprise et qui, en raison dun intérêt sérieux et légitime, peut constituer un dossier sur autrui doit, lorsquelle constitue le dossier, inscrire son objet. Cette inscription fait partie du dossier. 5. La personne qui recueille des renseignements personnels afin de constituer un dossier sur autrui ou dy consigner de tels renseignements ne doit recueillir que les renseignements nécessaires à lobjet du dossier. Ces renseignements doivent être recueillis par des moyens 7 Loi sur le privé, article 1.
1018507-S Page : 4 licites. [13] Elle prévoit aussi quune entreprise ne peut refuser de fournir un service si la collecte des renseignements personnels nest pas nécessaire à la conclusion ou à lexécution du contrat. 9. Nul ne peut refuser dacquiescer à une demande de bien ou de service ni à une demande relative à un emploi à cause du refus de la personne qui formule la demande de lui fournir un renseignement personnel sauf dans lune ou lautre des circonstances suivantes: 1° la collecte est nécessaire à la conclusion ou à lexécution du contrat; 2° la collecte est autorisée par la loi; 3° il y a des motifs raisonnables de croire quune telle demande nest pas licite. En cas de doute, un renseignement personnel est réputé non nécessaire. [14] À la suite de cet examen, tant en vertu de la Lccjti que de la Loi sur le privé, la Commission peut émettre des recommandations, rendre des ordonnances, suspendre ou interdire la mise en service dune banque de caractéristiques ou mesures biométriques ou encore en ordonner la destruction, après avoir fourni loccasion à la personne souhaitant mettre en place une telle banque de présenter ses observations. Lccjti 45. […] La Commission peut rendre toute ordonnance concernant de telles banques afin den déterminer la confection, lutilisation, la consultation, la communication et la conservation y compris larchivage ou la destruction des mesures ou caractéristiques prises pour établir lidentité dune personne. La Commission peut aussi suspendre ou interdire la mise en service dune telle banque ou en ordonner la destruction, si celle-ci ne respecte pas ses ordonnances ou si elle porte autrement atteinte au respect de la vie privée. Loi sur le privé 83. Au terme dune enquête relative à la collecte, à la détention, à la communication ou à lutilisation de renseignements personnels par une personne qui exploite une entreprise, la Commission peut, après lui avoir fourni loccasion de présenter ses observations, lui recommander ou lui ordonner lapplication de toute mesure corrective propre à assurer la protection des
1018507-S Page : 5 renseignements personnels. Elle peut fixer des délais pour lexécution des mesures quelle ordonne. AVIS DINTENTION [15] Au terme de lanalyse du Formulaire de déclaration dune banque de caractéristiques ou de mesures biométriques rempli par lentreprise et après avoir pris connaissance de lensemble des documents contenus au dossier, la Commission transmet à lentreprise, conformément à la Loi sur le privé, un avis dintention afin dobtenir ses observations. [16] Dans cet avis, la Commission informe lentreprise quà la lumière des informations dont elle dispose, elle pourrait conclure que lentreprise ne respecte pas larticle 5 de la Loi sur le privé en collectant des caractéristiques biométriques, soit les empreintes digitales de ses clients pour leur permettre de payer leurs achats en plus de prévenir la fraude et de réduire le temps dattente aux caisses. [17] La Commission informe également lentreprise quelle pourrait conclure quelle ne respecte pas larticle 9 de la Loi sur le privé en refusant de communiquer électroniquement aux clients qui le souhaitent leurs factures sils ne transmettent pas leurs empreintes digitales. [18] La Commission demande alors à lentreprise de démontrer : la nécessité de recueillir les empreintes digitales des clients pour répondre aux objectifs poursuivis; que latteinte au droit à la vie privée, consécutive à la collecte des empreintes digitales, est proportionnelle à ces objectifs et que les avantages issus de la collecte de ces empreintes surpassent latteinte à la vie privée des clients; ce qui justifie que lentreprise refuse aux clients qui nont pas signé ses conditions générales dutilisation et fourni leurs empreintes digitales la possibilité de recevoir électroniquement leurs factures, alors que la collecte de ces empreintes ne semble pas nécessaire à la conclusion ou à lexécution du contrat. [19] La Commission indique également à lentreprise quelle pourrait lui interdire de mettre en service une telle banque de caractéristiques biométriques. OBSERVATIONS DE LENTREPRISE [20] Lentreprise répond à la Commission. Relativement à larticle 5 de la Loi sur le privé, lentreprise réitère que :
1018507-S Page : 6 « lobjectif principal poursuivi par [elle] est de réduire son empreinte écologique en introduisant un programme qui permettra lélimination de factures papier et dont limplantation aura elle-même un impact le plus limité possible sur lenvironnement. Se faisant, elle doit aussi sassurer que limpact sur lexpérience client en magasin sera minime, voire nul, et que la sécurité de ses clients est assurée. En résumé, comme vous le soulignez dans lAvis [dintention], [lentreprise] souhaite implanter un système qui soit (i) écologique; (ii) efficace; et (iii) sécuritaire » 8 . [21] Relativement à larticle 9 de la Loi sur le privé, lentreprise indique avoir « revu son système et [quelle] mettra en place une alternative pour les clients qui ne souhaitent pas donner leur empreinte digitale » 9 . [22] À cette fin, elle soumet une nouvelle version du document « Consentement et conditions générales dutilisation » dans laquelle il est possible de lire que « Afin de permettre votre identification rapide, vous pourrez vous identifier à laide de caractéristiques biométriques, soit votre empreinte digitale (les « Caractéristiques biométriques »). Si vous préférez ne pas fournir vos Caractéristiques biométriques, vous pourrez vous identifier en donnant votre numéro de membre et en produisant 2 pièces didentité, dont une avec photo » 10 . [notre soulignement] [23] La Commission constate que lentreprise entend offrir une mesure alternative aux clients qui souhaitent effectuer le paiement de leurs achats sans fournir leurs empreintes digitales et recevoir leur facture par courriel. Elle comprend que ces clients, en plus de donner leur numéro de membre, devront produire deux pièces didentité, dont une avec photo. Elle comprend que la présentation de ces pièces didentité servira uniquement à valider lidentité de la personne qui se présente à la caisse et à sassurer que cette personne est bien celle qui est sur la photo. Elle comprend aussi que lentreprise ne collectera pas les numéros inscrits sur ces pièces didentité et ne conservera daucune façon une copie de ces pièces. [24] Cette modification tient compte de décisions antérieures rendues par la Commission quant au recours aux pièces didentité à des fins de validation de lidentité dune personne, à savoir quune entreprise peut demander à ses clients de présenter une pièce didentité, avec ou sans photo, sans en colliger le 8 Réponse de lentreprise en date du 25 octobre 2019. 9 Réponse de lentreprise en date du 25 octobre 2019. 10 « Consentement et conditions générales dutilisation » transmis le 25 octobre 2019, clause 1 alinéa 2.
1018507-S Page : 7 contenu 11 . Par conséquent, la présente décision ne portera pas sur cet aspect de lavis dintention. ANALYSE [25] Une entreprise qui entend collecter les empreintes digitales de ses clients doit justifier la nécessité de cette collecte. Pour ce faire, elle doit démontrer le caractère légitime, important et réel de cette collecte et la proportionnalité de latteinte à la vie privée quelle constitue en lien avec les objectifs quelle poursuit 12 . [26] Dans ce contexte, il est pertinent dexaminer la nature et la sensibilité des caractéristiques biométriques formées à partir dempreintes digitales. a. La nature et la sensibilité des caractéristiques biométriques formées à partir dempreintes digitales [27] La Loi sur le privé prévoit que tout renseignement qui concerne une personne physique et permet de lidentifier est un renseignement personnel 13 . [28] En lespèce, même si la photographie du doigt prise au moment de linscription nest pas conservée, que les points placés par le logiciel dinscription sont numérisés, transformés en code par un algorithme et que seul ce code est conservé sur le serveur local de lentreprise 14 , cela nen constitue pas moins une information qui permet didentifier les clients qui placeront leur doigt sur lappareil de reconnaissance digitale lors de leurs achats. [29] Du fait de cette identification, les clients pourront recevoir leur facture électronique à la fin de chaque mois, le code étant associé à leurs nom, prénom et adresse courriel. [30] Or, les caractéristiques biométriques formées à partir des empreintes digitales constituent des renseignements personnels 15 , au même titre que les 11 Voir notamment, X. et Loca-Meuble, CAI 081110, 1 er octobre 2013; X. c. Skyventure Montréal, CAI 101888, 16 septembre 2013; Star Bar (9142-1891 Québec inc.), CAI 1006426, 9 mars 2015; Hunt Personnel, CAI 1005625, 13 août 2015. 12 Laval (Société de transport de la Ville de) c. X., [2003] C.A.I. 667 (C.Q.); Grenier c. Centre hospitalier universitaire de Sherbrooke, [2010] QCCQ 9397; Synergie Hunt International inc. c. Trinque Tessier, 2017 QCCQ 13747. 13 Loi sur le privé, article 2. 14 « Consentement et conditions générales dutilisation » transmis le 25 octobre 2019, clause 3 et 5. Pareille mention se trouvait également dans les versions antérieures du document. 15 Lentreprise reconnaît cette affirmation. Il est permis de lire dans le document « Consentement et conditions générales dutilisation » transmis le 25 octobre 2019 : « afin de permettre votre identification rapide, vous pourrez vous identifier à laide de caractéristiques biométriques, soit votre empreinte digitale (les « Caractéristiques biométriques »). […] Ainsi, afin de bénéficier des services, vous (i) devrez obligatoirement fournir [à lentreprise] vos nom, prénom et une
1018507-S Page : 8 nom, prénom et adresse courriel que lentreprise collecterait auprès des personnes qui accepteront ses conditions générales dutilisation afin de payer leurs achats selon les modalités offertes par lentreprise. [31] En effet, même si une empreinte digitale est transformée en code par le biais dun algorithme, la caractéristique que lon qualifie de biométrique nen demeure pas moins un renseignement personnel à partir du moment cette caractéristique permet didentifier une personne physique, et ce, quelle que soit la nature de son support et quelle que soit la forme sous laquelle elle est accessible 16 . [32] À ce titre, il est généralement reconnu que les applications utilisées lors de la mise en service dune banque de caractéristiques ou de mesures biométriques, « dépendent dune comparaison entre une nouvelle mesure saisie et une autre préalablement enregistrée dans un système. Il y a donc une première capture ou saisie biométrique qui doit être faite et conservée afin de pouvoir identifier ou authentifier lindividu subséquemment. Cette première capture se nomme « phase denrôlement » (ou dinscription). Cest à cette étape que la donnée brute est collectée, pour ensuite être stockée dans une base de données ou sur un support […]. Lors de létape suivante, appelée phase de reconnaissance ou de comparaison, la donnée biométrique est collectée de nouveau pour être comparée à la donnée préenregistrée lors de la phase denrôlement. Notons que cette opération est répétée toutes les fois la reconnaissance de lidentité doit avoir lieu » 17 . [33] De plus, comme une empreinte digitale est propre à chaque individu, étant entendu quil sagit dune « marque en relief laissée par le bout dun doigt lorsquil est pressé sur une surface » 18 , la caractéristique biométrique qui est constituée à partir dune telle marque est tout aussi distinctive. [34] En plus dêtre distinctive, cette marque est permanente. En effet, contrairement à un mot de passe, une empreinte digitale peut être communiquée adresse courriel et (i) pourrez, à votre choix, fournir vos Caractéristiques biométriques (collectivement les « Renseignements personnels »), et à ce titre, vous acceptez de nous fournir des informations exactes et complètes et de les mettre à jour lorsquil y a lieu. […] Vos Caractéristiques biométriques […] sont un renseignement personnel aux termes de la loi et Marché 3 Piliers sengage donc à ce que les mécanismes de sécurité en assurent la confidentialité, de même que pour tout autre Renseignement personnel que vous nous communiquerez ». Pareille mention se trouvait également dans les versions antérieures du document. 16 Loi sur le privé, article 1 alinéa 2. 17 Julie M. GAUTHIER, Le droit de la biométrie au Québec : sécurité et vie privée, Montréal, Éditions Yvon Blais, 2015, pp. 13 et 14. 18 OFFICE QUÉBÉCOIS DE LA LANGUE FRANÇAISE, Fiche terminologique.
1018507-S Page : 9 sans que lon sen rende compte et surtout elle ne peut être modifiée 19 . Elle est en ce sens « le seul élément biométrique qui soit omniprésent : que lon aille, il est impossible de ne pas laisser des traces de sa présence […]. À cet égard, lempreinte digitale est presque aussi redoutable que les traces dADN » 20 . [35] Leur divulgation en cas dincident de sécurité ou leur utilisation à des fins malveillantes, par exemple, peut avoir de lourdes conséquences pour la personne concernée. Le caractère unique, distinctif et permanent de ce renseignement peut entraîner un vol ou une fraude à lidentité et compromettre son utilisation pour la personne concernée. Contrairement à une carte ou un secret partagé, on ne remplace pas une empreinte digitale. [36] Ainsi, comme la déjà souligné la Commission 21 , le recours à la biométrie peut sembler une solution technologique simple et efficace afin didentifier une personne. Toutefois, elle soulève plusieurs enjeux en matière de protection des renseignements personnels du fait quelle utilise des renseignements personnels sensibles, dont les empreintes digitales comme en lespèce. [37] Cela implique par conséquent, que les dispositions prévues dans la Loi sur le privé doivent, au même titre que pour tout autre renseignement personnel, être respectées 22 afin de limiter les risques quant à la collecte et lutilisation de ce type de renseignements que celui-ci soit conservé sous sa forme brute ou quil soit codé comme en lespèce. b. La collecte des empreintes digitales est-elle nécessaire pour répondre aux objectifs poursuivis par lentreprise ? [38] Lappréciation de la nécessité de collecter un renseignement personnel se fait en deux temps 23 . Dune part, il convient de considérer la finalité de la collecte. Dautre part, il convient de se demander si latteinte au droit à la vie privée que peut constituer cette collecte est proportionnelle aux objectifs poursuivis. 19 COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTÉS, « Biométrie à disposition des particuliers : quels sont les principes à respecter », 10 avril 2018, https://www.cnil.fr/fr/biometrie-disposition-de-particuliers-quels-sont-les-principes-respecter. 20 COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTÉS, 21 e Rapport dactivité, La Documentation française, Paris, 2001, p. 102. . Voir également, COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Des données au bout des doigts : la biométrie et les défis quelle pose à la protection de la vie privée, Février 2011. 21 COMMISSION DACCÈS À LINFORMATION, La biométrie au Québec, Janvier 2016. 22 Il est à noter que certaines législations vont même jusquà en interdire le traitement, sauf si certaines conditions sont remplies. Voir notamment, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à légard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), article 9. 23 Précité, note 12.
1018507-S Page : 10 Les objectifs poursuivis par lentreprise et leur caractère légitime, important et réel [39] Pour conclure que la collecte dun renseignement personnel est nécessaire, lentreprise doit démontrer que le fait de recourir aux empreintes digitales de ses clients revêt un caractère légitime, important et réel pour atteindre les objectifs quelle poursuit. [40] Lentreprise a ainsi indiqué, notamment dans ses dernières observations 24 , que lobjectif poursuivi par limplantation dun tel système de paiement est principalement celui de réduire son empreinte écologique. [41] Elle a également indiqué quun tel système de paiement lui permettra daméliorer lexpérience client en réduisant le temps de passage aux caisses et de prévenir la fraude. [42] La Commission doit tenir compte de ces trois objectifs pour se prononcer sur la nécessité, pour lentreprise, de recueillir les empreintes digitales de ses clients afin quils paient leurs achats selon les modalités quelle leur offre. [43] Même si la Commission peut comprendre quune entreprise veuille faire sa part pour réduire son impact écologique, les éléments mis de lavant par lentreprise pour justifier les raisons pour lesquelles elle entend collecter les empreintes digitales de ses clients ne démontrent pas le caractère légitime, important et réel des enjeux quelle souhaite résoudre par cette collecte. Réduction de lempreinte écologique [44] En ce qui concerne la réduction de lempreinte écologique, lentreprise précise quelle prône « la vision zéro déchet ». Elle précise alors que : « il y a dune part une réduction de lutilisation du plastique par lélimination des cartes elle-même, mais en plus nous réduisons lutilisation du papier. À chaque achat que le client fera, une copie de sa facture lui sera envoyé par courriel, donc nul besoin dimprimer ces factures, qui soyons honnête se retrouve la plupart du temps aux poubelles. » 25 . « outre lélimination de plusieurs factures papier, la mise en place du système de paiement au moyen de lempreinte digitale est celle qui aurait limpact environnemental le plus restreint puisque seul un appareil de lecture est requis. […] Au final, lidentification par lempreinte digitale, comme les autres solutions possibles, requiert lajout dune composante 24 Réponse de lentreprise en date du 25 octobre 2019 dont une partie est reproduite au paragraphe 18 de la présente décision. Voir également, la réponse de lentreprise en date du 28 mai 2018. 25 Réponse de lentreprise en date du 28 mai 2018.
1018507-S Page : 11 informatique supplémentaire aux systèmes de caisses de la Société. Par contre, cest le seul nouveau bien introduit dans la chaine de consommation. Ceci permet lélimination du plastique qui serait nécessaire à la fabrication de carte de membre. Dans le cas des cartes RFID, il faut aussi considérer que celles-ci contiennent des circuits imprimés et nécessitent donc encore plus de ressources. » 26 [45] Bien que la Commission convienne de limportance de réduire lempreinte écologique des activités des entreprises, force est de constater quen lespèce, lentreprise na pas présenté les gains environnementaux projetés en raison de limplantation dun système constitué à partir des empreintes digitales de ses clients et na pas démontré leffet de cette implantation sur son empreinte écologique. Il ne suffit pas de faire des affirmations, il faut les accompagner déléments probants et factuels. [46] Ainsi, en ce qui a trait aux factures imprimées, lentreprise a la possibilité de produire des factures électroniques, comme elle entend le faire pour les clients qui refuseront de fournir leurs empreintes digitales. Quant aux cartes de membres, lentreprise ne semble pas avoir envisagé limplantation dune autre solution qui nimpliquerait pas la mise en service dun système biométrique, comme lidentification des clients par la consultation dautres pièces didentité. La Commission ne peut donc reconnaître le caractère légitime, important et réel de la collecte de renseignements personnels projetée. Prévenir la fraude [47] En ce qui concerne la fraude, lentreprise ne fait quindiquer : qu'en utilisant un tel système de paiement par empreinte digitale, « nous pourrons nous assurer que la personne qui effectue les achats est bel et bien la bonne et prévenir le vol didentité. Avoir une carte de membre ne serait pas assez sécuritaire, car elle peut être égarée facilement et utilisée par une autre personne. Notre client pourra magasiner en toute confiance en sachant que seuls les achats effectués par lui-même lui seront facturés » 27 ; que « les modes de paiement électronique instantanés (les MPEI) qui sont mis à la disposition du public PayPass », « Apple Pay », « Google Pay », etc.) comportent certaines limitations qui les rendent incompatibles avec les objectifs » 28 ; que le système quelle entend « mettre en place est plus sécuritaire que les autres MPEI. En effet, les limitations quant au montant des transactions 26 Réponse de lentreprise en date du 25 octobre 2019. 27 Réponse de lentreprise en date du 28 mai 2018. 28 Réponse de lentreprise en date du 25 octobre 2019.
1018507-S Page : 12 quil est possible deffectuer au moyen des MPEI découlent du fait quil ny a pas de réelle vérification de lidentité du payeur, seulement la validation de la carte ou de lappareil qui est utilisé » 29 . [48] Or, la Commission considère que les éléments mis de lavant par lentreprise ne permettent pas de conclure que la fraude est une problématique au sein de lentreprise, faute déléments factuels et probants. De plus, lalternative offerte par lentreprise aux clients qui ne consentent pas à la prise de leurs empreintes digitales, soit la présentation dune carte de membre avec deux pièces didentité avec photo, permettrait de contrer les risques encourus par la perte ou le vol de la carte de membre. Réduire le temps dattente aux caisses [49] En ce qui concerne la réduction du temps dattente aux caisses, elle mentionne uniquement que « lidentification par lempreinte digitale permet non seulement de ne pas allonger le temps de traitement dune transaction, il permet même de laméliorer puisque les clients nont pas à fouiller pour retrouver une carte dans leur poche/sac/portefeuille ». [50] Or, la Commission considère que les éléments mis de lavant par lentreprise ne permettent pas de conclure que le temps dattente aux caisses est une problématique au sein de lentreprise. [51] Ainsi relativement aux objectifs poursuivis par lentreprise, à la lumière de ce qui précède, la Commission considère que les éléments expliquant les raisons pour lesquelles lentreprise entend collecter les empreintes digitales de ses clients ne contiennent aucun élément concret démontrant le caractère légitime, important et réel de ces objectifs justifiant la collecte des empreintes digitales. Les affirmations faites par lentreprise sapparentent davantage à des questions de commodité. [52] La Commission considère donc que la première partie du test de nécessité nest pas rencontré. Elle en arrive à la même conclusion pour la seconde partie du test, soit la proportionnalité de la collecte. Voilà pourquoi. La proportionnalité de la collecte pour répondre aux objectifs poursuivis par lentreprise [53] Après avoir pris en considération les finalités poursuivies par lentreprise, la Commission doit se prononcer sur la proportionnalité de la collecte pour répondre à ces objectifs. [54] Pour ce faire, lentreprise devait convaincre la Commission que lutilisation 29 Réponse de lentreprise en date du 25 octobre 2019.
1018507-S Page : 13 projetée est rationnellement liée à chaque objectif. Or, aucun des arguments de lentreprise quant à la réduction de son empreinte écologique, à la prévention de la fraude et à la réduction du temps dattente aux caisses, ne permet den arriver à une telle conclusion au regard de ce qui précède. [55] Lentreprise devait également convaincre la Commission que latteinte à la vie privée est minimisée et que la collecte est nettement plus utile à lentreprise que préjudiciable à la personne concernée. [56] Or, dans ses observations, lentreprise ne présente aucun argument permettant dapprécier en quoi latteinte au droit à la vie privée consécutive à la collecte des empreintes digitales serait proportionnelle aux objectifs quelle poursuit, ni en quoi les avantages issus de cette collecte surpassent latteinte à la vie privée des clients. [57] De plus, considérant le fait que les empreintes digitales et les caractéristiques biométriques constituées à partir des empreintes sont distinctives, uniques et permanentes ou encore les risques et les préjudices encourus en termes de confidentialité et de sécurité de ce type de renseignements pour les personne concernée, la Commission considère que lentreprise na pas rencontré son fardeau quant à la démonstration de la minimisation de latteinte à la vie privée que constitue cette collecte. [58] En effet, lentreprise na pas démontré en quoi dautres solutions, comme lalternative quelle entend proposer, portant moins atteinte à la vie privée de ses clients que la collecte de leur empreinte digitale et la constitution dune banque de caractéristiques biométriques, ne lui permettraient pas datteindre les objectifs quelle poursuit. La sensibilité de ces renseignements, notamment les conséquences préjudiciables importantes pour les personnes concernées susceptibles de résulter de leur divulgation ou de leur utilisation malveillante, sont des éléments importants à considérer dans lappréciation de la nécessité de cette collecte. [59] De plus, même si lentreprise précise avoir mis en place des mesures de sécurité pour protéger ses serveurs, elle indique néanmoins ne pas avoir réalisé danalyse de risques et dimpacts au regard de la sécurité et de la protection des renseignements personnels quelle collecte 30 . [60] Ainsi, les risques et les conséquences de cette collecte pour les personnes concernées surpassent de manière importante les avantages pour lentreprise. [61] La Commission considère alors que la collecte des empreintes digitales pour répondre aux objectifs poursuivis par lentreprise est disproportionnée. 30 Formulaire de déclaration dune banque de caractéristiques ou de mesures biométriques transmis le 3 mai 2018.
1018507-S Page : 14 [62] La collecte des empreintes digitales pour répondre aux objectifs poursuivis par lentreprise nest donc pas nécessaire au sens de la Loi sur le privé. CONCLUSION [63] Dans ces circonstances, à la lumière de ce qui précède, la Commission considère que lentreprise na pas démontré la nécessité de recueillir les empreintes digitales de ses clients pour atteindre ses objectifs. [64] La simplicité, la rapidité et lefficacité mises de lavant par lentreprise dans ses différentes réponses, ni même le fait que cette collecte se fera avec le consentement des personnes concernées ne justifient pas la nécessité pour elle de recueillir des données aussi sensibles que les empreintes digitales de ses clients pour réduire son empreinte écologique, diminuer lattente aux caisses ou prévenir la fraude. [65] Ainsi, la Commission conclut que la collecte des empreintes digitales de ses clients pour leur permettre de recevoir, une fois par mois, par courriel, leur facture pour le paiement de leurs achats ne respecte pas larticle 5 de la Loi sur le privé. Ces renseignements ne sont pas nécessaires à lobjet du dossier. POUR CES MOTIFS, LA COMMISSION : [66] INTERDIT à lentreprise de mettre en service sa banque de caractéristiques biométriques constituée à partir des empreintes digitales de ses clients afin que ceux-ci puissent payer leurs achats et recevoir, une fois par mois, par courriel, une facture pour sen acquitter. «Original signé» Cynthia Chassigneux Membre de la Commission, section de surveillance
 Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.