Commission d’accès à l’information du Québec Dossier : 1018507-S Nom de l’entreprise : Les 3 Piliers Inc. Date : 14 février 2020 Membre : M e Cynthia Chassigneux DÉCISION DÉCISION en vertu de la Loi concernant le cadre juridique des technologies de l’information1 et de la Loi sur la protection des renseignements personnels dans le secteur privé 2 APERÇU [1] L’entreprise a déclaré 3 à la Commission d’accès à l’information (la Commission) son intention de constituer une banque de caractéristiques biométriques à partir des empreintes digitales de ses clients afin que ceux-ci puissent payer leurs achats. [2] L’entreprise mentionne que la mise en place de ce système de paiement par empreinte digitale permettra aux personnes « de payer simplement en déposant leur doigt sur le lecteur d’empreinte, chaque empreinte sera reliée à un dossier et le client sera facturé [de] la totalité de ses achats par prélèvement automatique une fois par mois » 4 . [3] En mettant en place ce système, l’entreprise souhaite minimiser son impact sur l’environnement en réduisant l’empreinte écologique de ses 1 RLRQ, c. C-1.1, la Lccjti. 2 RLRQ, c. P-39.1, la Loi sur le privé. 3 Voir le Formulaire de déclaration d’une banque de caractéristiques ou de mesures biométriques et le document intitulé « Consentement et conditions générales d’utilisation » transmis par l’entreprise le 3 mai 2018. Ce document a été modifié plusieurs fois en cours d’analyse. 4 Réponse de l’entreprise en date du 28 mai 2018.
1018507-S Page : 2 opérations, prévenir la fraude et réduire le temps d’attente aux caisses 5 . [4] Partant, la Commission doit déterminer si le projet de l’entreprise respecte les législations applicables en matière de biométrie et de protection des renseignements personnels. Plus précisément, la Commission doit déterminer si le fait de constituer une banque de caractéristiques biométriques à partir des empreintes digitales de ses clients est nécessaire à l’entreprise pour répondre aux objectifs qu’elle poursuit. La Commission est d’avis que non. DROIT APPLICABLE [5] L’entreprise est légalement constituée au Québec 6 . Elle est donc soumise non seulement à la Loi concernant le cadre juridique des technologies de l’information (Lccjti), mais aussi à la Loi sur le privé. [6] En effet, lorsqu’une entreprise a l’intention de créer une banque de caractéristiques ou de mesures biométriques, elle doit la déclarer à la Commission conformément à la Lccjti. 45. La création d’une banque de caractéristiques ou de mesures biométriques doit être préalablement divulguée à la Commission d’accès à l’information. De même, doit être divulguée l’existence d’une telle banque qu’elle soit ou ne soit pas en service. [...] [7] Sur réception de cette déclaration, la Commission examine, entre autres, les finalités poursuivies par l’entreprise, les caractéristiques ou mesures biométriques saisies et versés dans la banque et les mécanismes pris pour assurer la protection des renseignements personnels, incluant les caractéristiques ou mesures biométriques enregistrées ou qui seront enregistrées dans cette banque. [8] Cet examen se fait au regard de la Lccjti et de la Loi sur le privé. [9] La Lccjti encadre le recours à des procédés permettant de saisir des caractéristiques ou des mesures biométriques pour vérifier ou confirmer l’identité d’une personne. Elle prévoit ainsi que le recours à de tels procédés ne peut se faire sans le consentement des personnes concernées ou encore que leur identité ne peut être établie qu’en faisant appel à un minimum de caractéristiques ou 5 Voir le Formulaire de déclaration d’une banque de caractéristiques ou de mesures biométriques, les différentes versions du document intitulé « Consentement et conditions générales d’utilisation » transmis durant l’analyse du présent dossier et la réponse de l’entreprise en date du 28 mai 2018. Ces objectifs ont été réitérés par l’entreprise dans sa réponse transmise en date du 25 octobre 2019. 6 L’entreprise est enregistrée au registraire des entreprises sous le numéro 1166221243.
1018507-S Page : 3 mesures biométriques. [10] Elle encadre également l’utilisation et la destruction des caractéristiques ou mesures biométriques saisies. 44. Nul ne peut exiger, sans le consentement exprès de la personne, que la vérification ou la confirmation de son identité soit faite au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques. L’identité de la personne ne peut alors être établie qu’en faisant appel au minimum de caractéristiques ou de mesures permettant de la relier à l’action qu’elle pose et que parmi celles qui ne peuvent être saisies sans qu’elle en ait connaissance. Tout autre renseignement concernant cette personne et qui pourrait être découvert à partir des caractéristiques ou mesures saisies ne peut servir à fonder une décision à son égard ni être utilisé à quelque autre fin que ce soit. Un tel renseignement ne peut être communiqué qu’à la personne concernée et seulement à sa demande. Ces caractéristiques ou mesures ainsi que toute note les concernant doivent être détruites lorsque l’objet qui fonde la vérification ou la confirmation d’identité est accompli ou lorsque le motif qui la justifie n’existe plus. [11] La Loi sur le privé établit des règles à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à l’occasion de l’exploitation d’une entreprise 7 . [12] Parmi ces règles, la Loi sur le privé prévoit, entre autres, qu’une personne qui exploite une entreprise doit avoir un intérêt sérieux et légitime pour constituer un dossier sur autrui. Elle prévoit également qu’une entreprise ne doit recueillir que les renseignements personnels nécessaires à l’objet du dossier qu’elle constitue sur autrui : 4. Toute personne qui exploite une entreprise et qui, en raison d’un intérêt sérieux et légitime, peut constituer un dossier sur autrui doit, lorsqu’elle constitue le dossier, inscrire son objet. Cette inscription fait partie du dossier. 5. La personne qui recueille des renseignements personnels afin de constituer un dossier sur autrui ou d’y consigner de tels renseignements ne doit recueillir que les renseignements nécessaires à l’objet du dossier. Ces renseignements doivent être recueillis par des moyens 7 Loi sur le privé, article 1.
1018507-S Page : 4 licites. [13] Elle prévoit aussi qu’une entreprise ne peut refuser de fournir un service si la collecte des renseignements personnels n’est pas nécessaire à la conclusion ou à l’exécution du contrat. 9. Nul ne peut refuser d’acquiescer à une demande de bien ou de service ni à une demande relative à un emploi à cause du refus de la personne qui formule la demande de lui fournir un renseignement personnel sauf dans l’une ou l’autre des circonstances suivantes: 1° la collecte est nécessaire à la conclusion ou à l’exécution du contrat; 2° la collecte est autorisée par la loi; 3° il y a des motifs raisonnables de croire qu’une telle demande n’est pas licite. En cas de doute, un renseignement personnel est réputé non nécessaire. [14] À la suite de cet examen, tant en vertu de la Lccjti que de la Loi sur le privé, la Commission peut émettre des recommandations, rendre des ordonnances, suspendre ou interdire la mise en service d’une banque de caractéristiques ou mesures biométriques ou encore en ordonner la destruction, après avoir fourni l’occasion à la personne souhaitant mettre en place une telle banque de présenter ses observations. Lccjti 45. [...] La Commission peut rendre toute ordonnance concernant de telles banques afin d’en déterminer la confection, l’utilisation, la consultation, la communication et la conservation y compris l’archivage ou la destruction des mesures ou caractéristiques prises pour établir l’identité d’une personne. La Commission peut aussi suspendre ou interdire la mise en service d’une telle banque ou en ordonner la destruction, si celle-ci ne respecte pas ses ordonnances ou si elle porte autrement atteinte au respect de la vie privée. Loi sur le privé 83. Au terme d’une enquête relative à la collecte, à la détention, à la communication ou à l’utilisation de renseignements personnels par une personne qui exploite une entreprise, la Commission peut, après lui avoir fourni l’occasion de présenter ses observations, lui recommander ou lui ordonner l’application de toute mesure corrective propre à assurer la protection des
1018507-S Page : 5 renseignements personnels. Elle peut fixer des délais pour l’exécution des mesures qu’elle ordonne. AVIS D’INTENTION [15] Au terme de l’analyse du Formulaire de déclaration d’une banque de caractéristiques ou de mesures biométriques rempli par l’entreprise et après avoir pris connaissance de l’ensemble des documents contenus au dossier, la Commission transmet à l’entreprise, conformément à la Loi sur le privé, un avis d’intention afin d’obtenir ses observations. [16] Dans cet avis, la Commission informe l’entreprise qu’à la lumière des informations dont elle dispose, elle pourrait conclure que l’entreprise ne respecte pas l’article 5 de la Loi sur le privé en collectant des caractéristiques biométriques, soit les empreintes digitales de ses clients pour leur permettre de payer leurs achats en plus de prévenir la fraude et de réduire le temps d’attente aux caisses. [17] La Commission informe également l’entreprise qu’elle pourrait conclure qu’elle ne respecte pas l’article 9 de la Loi sur le privé en refusant de communiquer électroniquement aux clients qui le souhaitent leurs factures s’ils ne transmettent pas leurs empreintes digitales. [18] La Commission demande alors à l’entreprise de démontrer : • la nécessité de recueillir les empreintes digitales des clients pour répondre aux objectifs poursuivis; • que l’atteinte au droit à la vie privée, consécutive à la collecte des empreintes digitales, est proportionnelle à ces objectifs et que les avantages issus de la collecte de ces empreintes surpassent l’atteinte à la vie privée des clients; • ce qui justifie que l’entreprise refuse aux clients qui n’ont pas signé ses conditions générales d’utilisation et fourni leurs empreintes digitales la possibilité de recevoir électroniquement leurs factures, alors que la collecte de ces empreintes ne semble pas nécessaire à la conclusion ou à l’exécution du contrat. [19] La Commission indique également à l’entreprise qu’elle pourrait lui interdire de mettre en service une telle banque de caractéristiques biométriques. OBSERVATIONS DE L’ENTREPRISE [20] L’entreprise répond à la Commission. Relativement à l’article 5 de la Loi sur le privé, l’entreprise réitère que :
1018507-S Page : 6 « l’objectif principal poursuivi par [elle] est de réduire son empreinte écologique en introduisant un programme qui permettra l’élimination de factures papier et dont l’implantation aura elle-même un impact le plus limité possible sur l’environnement. Se faisant, elle doit aussi s’assurer que l’impact sur l’expérience client en magasin sera minime, voire nul, et que la sécurité de ses clients est assurée. En résumé, comme vous le soulignez dans l’Avis [d’intention], [l’entreprise] souhaite implanter un système qui soit (i) écologique; (ii) efficace; et (iii) sécuritaire » 8 . [21] Relativement à l’article 9 de la Loi sur le privé, l’entreprise indique avoir « revu son système et [qu’elle] mettra en place une alternative pour les clients qui ne souhaitent pas donner leur empreinte digitale » 9 . [22] À cette fin, elle soumet une nouvelle version du document « Consentement et conditions générales d’utilisation » dans laquelle il est possible de lire que « Afin de permettre votre identification rapide, vous pourrez vous identifier à l’aide de caractéristiques biométriques, soit votre empreinte digitale (les « Caractéristiques biométriques »). Si vous préférez ne pas fournir vos Caractéristiques biométriques, vous pourrez vous identifier en donnant votre numéro de membre et en produisant 2 pièces d’identité, dont une avec photo » 10 . [notre soulignement] [23] La Commission constate que l’entreprise entend offrir une mesure alternative aux clients qui souhaitent effectuer le paiement de leurs achats sans fournir leurs empreintes digitales et recevoir leur facture par courriel. Elle comprend que ces clients, en plus de donner leur numéro de membre, devront produire deux pièces d’identité, dont une avec photo. Elle comprend que la présentation de ces pièces d’identité servira uniquement à valider l’identité de la personne qui se présente à la caisse et à s’assurer que cette personne est bien celle qui est sur la photo. Elle comprend aussi que l’entreprise ne collectera pas les numéros inscrits sur ces pièces d’identité et ne conservera d’aucune façon une copie de ces pièces. [24] Cette modification tient compte de décisions antérieures rendues par la Commission quant au recours aux pièces d’identité à des fins de validation de l’identité d’une personne, à savoir qu’une entreprise peut demander à ses clients de présenter une pièce d’identité, avec ou sans photo, sans en colliger le 8 Réponse de l’entreprise en date du 25 octobre 2019. 9 Réponse de l’entreprise en date du 25 octobre 2019. 10 « Consentement et conditions générales d’utilisation » transmis le 25 octobre 2019, clause 1 alinéa 2.
1018507-S Page : 7 contenu 11 . Par conséquent, la présente décision ne portera pas sur cet aspect de l’avis d’intention. ANALYSE [25] Une entreprise qui entend collecter les empreintes digitales de ses clients doit justifier la nécessité de cette collecte. Pour ce faire, elle doit démontrer le caractère légitime, important et réel de cette collecte et la proportionnalité de l’atteinte à la vie privée qu’elle constitue en lien avec les objectifs qu’elle poursuit 12 . [26] Dans ce contexte, il est pertinent d’examiner la nature et la sensibilité des caractéristiques biométriques formées à partir d’empreintes digitales. a. La nature et la sensibilité des caractéristiques biométriques formées à partir d’empreintes digitales [27] La Loi sur le privé prévoit que tout renseignement qui concerne une personne physique et permet de l’identifier est un renseignement personnel 13 . [28] En l’espèce, même si la photographie du doigt prise au moment de l’inscription n’est pas conservée, que les points placés par le logiciel d’inscription sont numérisés, transformés en code par un algorithme et que seul ce code est conservé sur le serveur local de l’entreprise 14 , cela n’en constitue pas moins une information qui permet d’identifier les clients qui placeront leur doigt sur l’appareil de reconnaissance digitale lors de leurs achats. [29] Du fait de cette identification, les clients pourront recevoir leur facture électronique à la fin de chaque mois, le code étant associé à leurs nom, prénom et adresse courriel. [30] Or, les caractéristiques biométriques formées à partir des empreintes digitales constituent des renseignements personnels 15 , au même titre que les 11 Voir notamment, X. et Loca-Meuble, CAI 081110, 1 er octobre 2013; X. c. Skyventure Montréal, CAI 101888, 16 septembre 2013; Star Bar (9142-1891 Québec inc.), CAI 1006426, 9 mars 2015; Hunt Personnel, CAI 1005625, 13 août 2015. 12 Laval (Société de transport de la Ville de) c. X., [2003] C.A.I. 667 (C.Q.); Grenier c. Centre hospitalier universitaire de Sherbrooke, [2010] QCCQ 9397; Synergie Hunt International inc. c. Trinque Tessier, 2017 QCCQ 13747. 13 Loi sur le privé, article 2. 14 « Consentement et conditions générales d’utilisation » transmis le 25 octobre 2019, clause 3 et 5. Pareille mention se trouvait également dans les versions antérieures du document. 15 L’entreprise reconnaît cette affirmation. Il est permis de lire dans le document « Consentement et conditions générales d’utilisation » transmis le 25 octobre 2019 : « afin de permettre votre identification rapide, vous pourrez vous identifier à l’aide de caractéristiques biométriques, soit votre empreinte digitale (les « Caractéristiques biométriques »). [...] Ainsi, afin de bénéficier des services, vous (i) devrez obligatoirement fournir [à l’entreprise] vos nom, prénom et une
1018507-S Page : 8 nom, prénom et adresse courriel que l’entreprise collecterait auprès des personnes qui accepteront ses conditions générales d’utilisation afin de payer leurs achats selon les modalités offertes par l’entreprise. [31] En effet, même si une empreinte digitale est transformée en code par le biais d’un algorithme, la caractéristique que l’on qualifie de biométrique n’en demeure pas moins un renseignement personnel à partir du moment où cette caractéristique permet d’identifier une personne physique, et ce, quelle que soit la nature de son support et quelle que soit la forme sous laquelle elle est accessible 16 . [32] À ce titre, il est généralement reconnu que les applications utilisées lors de la mise en service d’une banque de caractéristiques ou de mesures biométriques, « dépendent d’une comparaison entre une nouvelle mesure saisie et une autre préalablement enregistrée dans un système. Il y a donc une première capture ou saisie biométrique qui doit être faite et conservée afin de pouvoir identifier ou authentifier l’individu subséquemment. Cette première capture se nomme « phase d’enrôlement » (ou d’inscription). C’est à cette étape que la donnée brute est collectée, pour ensuite être stockée dans une base de données ou sur un support [...]. Lors de l’étape suivante, appelée phase de reconnaissance ou de comparaison, la donnée biométrique est collectée de nouveau pour être comparée à la donnée préenregistrée lors de la phase d’enrôlement. Notons que cette opération est répétée toutes les fois où la reconnaissance de l’identité doit avoir lieu » 17 . [33] De plus, comme une empreinte digitale est propre à chaque individu, étant entendu qu’il s’agit d’une « marque en relief laissée par le bout d’un doigt lorsqu’il est pressé sur une surface » 18 , la caractéristique biométrique qui est constituée à partir d’une telle marque est tout aussi distinctive. [34] En plus d’être distinctive, cette marque est permanente. En effet, contrairement à un mot de passe, une empreinte digitale peut être communiquée adresse courriel et (i) pourrez, à votre choix, fournir vos Caractéristiques biométriques (collectivement les « Renseignements personnels »), et à ce titre, vous acceptez de nous fournir des informations exactes et complètes et de les mettre à jour lorsqu’il y a lieu. [...] Vos Caractéristiques biométriques [...] sont un renseignement personnel aux termes de la loi et Marché 3 Piliers s’engage donc à ce que les mécanismes de sécurité en assurent la confidentialité, de même que pour tout autre Renseignement personnel que vous nous communiquerez ». Pareille mention se trouvait également dans les versions antérieures du document. 16 Loi sur le privé, article 1 alinéa 2. 17 Julie M. GAUTHIER, Le droit de la biométrie au Québec : sécurité et vie privée, Montréal, Éditions Yvon Blais, 2015, pp. 13 et 14. 18 OFFICE QUÉBÉCOIS DE LA LANGUE FRANÇAISE, Fiche terminologique.
1018507-S Page : 9 sans que l’on s’en rende compte et surtout elle ne peut être modifiée 19 . Elle est en ce sens « le seul élément biométrique qui soit omniprésent : où que l’on aille, il est impossible de ne pas laisser des traces de sa présence [...]. À cet égard, l’empreinte digitale est presque aussi redoutable que les traces d’ADN » 20 . [35] Leur divulgation en cas d’incident de sécurité ou leur utilisation à des fins malveillantes, par exemple, peut avoir de lourdes conséquences pour la personne concernée. Le caractère unique, distinctif et permanent de ce renseignement peut entraîner un vol ou une fraude à l’identité et compromettre son utilisation pour la personne concernée. Contrairement à une carte ou un secret partagé, on ne remplace pas une empreinte digitale. [36] Ainsi, comme l’a déjà souligné la Commission 21 , le recours à la biométrie peut sembler une solution technologique simple et efficace afin d’identifier une personne. Toutefois, elle soulève plusieurs enjeux en matière de protection des renseignements personnels du fait qu’elle utilise des renseignements personnels sensibles, dont les empreintes digitales comme en l’espèce. [37] Cela implique par conséquent, que les dispositions prévues dans la Loi sur le privé doivent, au même titre que pour tout autre renseignement personnel, être respectées 22 afin de limiter les risques quant à la collecte et l’utilisation de ce type de renseignements que celui-ci soit conservé sous sa forme brute ou qu’il soit codé comme en l’espèce. b. La collecte des empreintes digitales est-elle nécessaire pour répondre aux objectifs poursuivis par l’entreprise ? [38] L’appréciation de la nécessité de collecter un renseignement personnel se fait en deux temps 23 . D’une part, il convient de considérer la finalité de la collecte. D’autre part, il convient de se demander si l’atteinte au droit à la vie privée que peut constituer cette collecte est proportionnelle aux objectifs poursuivis. 19 COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS, « Biométrie à disposition des particuliers : quels sont les principes à respecter », 10 avril 2018, https://www.cnil.fr/fr/biometrie-disposition-de-particuliers-quels-sont-les-principes-respecter. 20 COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS, 21 e Rapport d’activité, La Documentation française, Paris, 2001, p. 102. . Voir également, COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Des données au bout des doigts : la biométrie et les défis qu’elle pose à la protection de la vie privée, Février 2011. 21 COMMISSION D’ACCÈS À L’INFORMATION, La biométrie au Québec, Janvier 2016. 22 Il est à noter que certaines législations vont même jusqu’à en interdire le traitement, sauf si certaines conditions sont remplies. Voir notamment, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), article 9. 23 Précité, note 12.
1018507-S Page : 10 − Les objectifs poursuivis par l’entreprise et leur caractère légitime, important et réel [39] Pour conclure que la collecte d’un renseignement personnel est nécessaire, l’entreprise doit démontrer que le fait de recourir aux empreintes digitales de ses clients revêt un caractère légitime, important et réel pour atteindre les objectifs qu’elle poursuit. [40] L’entreprise a ainsi indiqué, notamment dans ses dernières observations 24 , que l’objectif poursuivi par l’implantation d’un tel système de paiement est principalement celui de réduire son empreinte écologique. [41] Elle a également indiqué qu’un tel système de paiement lui permettra d’améliorer l’expérience client en réduisant le temps de passage aux caisses et de prévenir la fraude. [42] La Commission doit tenir compte de ces trois objectifs pour se prononcer sur la nécessité, pour l’entreprise, de recueillir les empreintes digitales de ses clients afin qu’ils paient leurs achats selon les modalités qu’elle leur offre. [43] Même si la Commission peut comprendre qu’une entreprise veuille faire sa part pour réduire son impact écologique, les éléments mis de l’avant par l’entreprise pour justifier les raisons pour lesquelles elle entend collecter les empreintes digitales de ses clients ne démontrent pas le caractère légitime, important et réel des enjeux qu’elle souhaite résoudre par cette collecte. Réduction de l’empreinte écologique [44] En ce qui concerne la réduction de l’empreinte écologique, l’entreprise précise qu’elle prône « la vision zéro déchet ». Elle précise alors que : • « il y a d’une part une réduction de l’utilisation du plastique par l’élimination des cartes elle-même, mais en plus nous réduisons l’utilisation du papier. À chaque achat que le client fera, une copie de sa facture lui sera envoyé par courriel, donc nul besoin d’imprimer ces factures, qui soyons honnête se retrouve la plupart du temps aux poubelles. » 25 . • « outre l’élimination de plusieurs factures papier, la mise en place du système de paiement au moyen de l’empreinte digitale est celle qui aurait l’impact environnemental le plus restreint puisque seul un appareil de lecture est requis. [...] Au final, l’identification par l’empreinte digitale, comme les autres solutions possibles, requiert l’ajout d’une composante 24 Réponse de l’entreprise en date du 25 octobre 2019 dont une partie est reproduite au paragraphe 18 de la présente décision. Voir également, la réponse de l’entreprise en date du 28 mai 2018. 25 Réponse de l’entreprise en date du 28 mai 2018.
1018507-S Page : 11 informatique supplémentaire aux systèmes de caisses de la Société. Par contre, c’est là le seul nouveau bien introduit dans la chaine de consommation. Ceci permet l’élimination du plastique qui serait nécessaire à la fabrication de carte de membre. Dans le cas des cartes RFID, il faut aussi considérer que celles-ci contiennent des circuits imprimés et nécessitent donc encore plus de ressources. » 26 [45] Bien que la Commission convienne de l’importance de réduire l’empreinte écologique des activités des entreprises, force est de constater qu’en l’espèce, l’entreprise n’a pas présenté les gains environnementaux projetés en raison de l’implantation d’un système constitué à partir des empreintes digitales de ses clients et n’a pas démontré l’effet de cette implantation sur son empreinte écologique. Il ne suffit pas de faire des affirmations, il faut les accompagner d’éléments probants et factuels. [46] Ainsi, en ce qui a trait aux factures imprimées, l’entreprise a la possibilité de produire des factures électroniques, comme elle entend le faire pour les clients qui refuseront de fournir leurs empreintes digitales. Quant aux cartes de membres, l’entreprise ne semble pas avoir envisagé l’implantation d’une autre solution qui n’impliquerait pas la mise en service d’un système biométrique, comme l’identification des clients par la consultation d’autres pièces d’identité. La Commission ne peut donc reconnaître le caractère légitime, important et réel de la collecte de renseignements personnels projetée. Prévenir la fraude [47] En ce qui concerne la fraude, l’entreprise ne fait qu’indiquer : • qu'en utilisant un tel système de paiement par empreinte digitale, « nous pourrons nous assurer que la personne qui effectue les achats est bel et bien la bonne et prévenir le vol d’identité. Avoir une carte de membre ne serait pas assez sécuritaire, car elle peut être égarée facilement et utilisée par une autre personne. Notre client pourra magasiner en toute confiance en sachant que seuls les achats effectués par lui-même lui seront facturés » 27 ; • que « les modes de paiement électronique instantanés (les MPEI) qui sont mis à la disposition du public (« PayPass », « Apple Pay », « Google Pay », etc.) comportent certaines limitations qui les rendent incompatibles avec les objectifs » 28 ; • que le système qu’elle entend « mettre en place est plus sécuritaire que les autres MPEI. En effet, les limitations quant au montant des transactions 26 Réponse de l’entreprise en date du 25 octobre 2019. 27 Réponse de l’entreprise en date du 28 mai 2018. 28 Réponse de l’entreprise en date du 25 octobre 2019.
1018507-S Page : 12 qu’il est possible d’effectuer au moyen des MPEI découlent du fait qu’il n’y a pas de réelle vérification de l’identité du payeur, seulement la validation de la carte ou de l’appareil qui est utilisé » 29 . [48] Or, la Commission considère que les éléments mis de l’avant par l’entreprise ne permettent pas de conclure que la fraude est une problématique au sein de l’entreprise, faute d’éléments factuels et probants. De plus, l’alternative offerte par l’entreprise aux clients qui ne consentent pas à la prise de leurs empreintes digitales, soit la présentation d’une carte de membre avec deux pièces d’identité avec photo, permettrait de contrer les risques encourus par la perte ou le vol de la carte de membre. Réduire le temps d’attente aux caisses [49] En ce qui concerne la réduction du temps d’attente aux caisses, elle mentionne uniquement que « l’identification par l’empreinte digitale permet non seulement de ne pas allonger le temps de traitement d’une transaction, il permet même de l’améliorer puisque les clients n’ont pas à fouiller pour retrouver une carte dans leur poche/sac/portefeuille ». [50] Or, la Commission considère que les éléments mis de l’avant par l’entreprise ne permettent pas de conclure que le temps d’attente aux caisses est une problématique au sein de l’entreprise. [51] Ainsi relativement aux objectifs poursuivis par l’entreprise, à la lumière de ce qui précède, la Commission considère que les éléments expliquant les raisons pour lesquelles l’entreprise entend collecter les empreintes digitales de ses clients ne contiennent aucun élément concret démontrant le caractère légitime, important et réel de ces objectifs justifiant la collecte des empreintes digitales. Les affirmations faites par l’entreprise s’apparentent davantage à des questions de commodité. [52] La Commission considère donc que la première partie du test de nécessité n’est pas rencontré. Elle en arrive à la même conclusion pour la seconde partie du test, soit la proportionnalité de la collecte. Voilà pourquoi. − La proportionnalité de la collecte pour répondre aux objectifs poursuivis par l’entreprise [53] Après avoir pris en considération les finalités poursuivies par l’entreprise, la Commission doit se prononcer sur la proportionnalité de la collecte pour répondre à ces objectifs. [54] Pour ce faire, l’entreprise devait convaincre la Commission que l’utilisation 29 Réponse de l’entreprise en date du 25 octobre 2019.
1018507-S Page : 13 projetée est rationnellement liée à chaque objectif. Or, aucun des arguments de l’entreprise quant à la réduction de son empreinte écologique, à la prévention de la fraude et à la réduction du temps d’attente aux caisses, ne permet d’en arriver à une telle conclusion au regard de ce qui précède. [55] L’entreprise devait également convaincre la Commission que l’atteinte à la vie privée est minimisée et que la collecte est nettement plus utile à l’entreprise que préjudiciable à la personne concernée. [56] Or, dans ses observations, l’entreprise ne présente aucun argument permettant d’apprécier en quoi l’atteinte au droit à la vie privée consécutive à la collecte des empreintes digitales serait proportionnelle aux objectifs qu’elle poursuit, ni en quoi les avantages issus de cette collecte surpassent l’atteinte à la vie privée des clients. [57] De plus, considérant le fait que les empreintes digitales et les caractéristiques biométriques constituées à partir des empreintes sont distinctives, uniques et permanentes ou encore les risques et les préjudices encourus en termes de confidentialité et de sécurité de ce type de renseignements pour les personne concernée, la Commission considère que l’entreprise n’a pas rencontré son fardeau quant à la démonstration de la minimisation de l’atteinte à la vie privée que constitue cette collecte. [58] En effet, l’entreprise n’a pas démontré en quoi d’autres solutions, comme l’alternative qu’elle entend proposer, portant moins atteinte à la vie privée de ses clients que la collecte de leur empreinte digitale et la constitution d’une banque de caractéristiques biométriques, ne lui permettraient pas d’atteindre les objectifs qu’elle poursuit. La sensibilité de ces renseignements, notamment les conséquences préjudiciables importantes pour les personnes concernées susceptibles de résulter de leur divulgation ou de leur utilisation malveillante, sont des éléments importants à considérer dans l’appréciation de la nécessité de cette collecte. [59] De plus, même si l’entreprise précise avoir mis en place des mesures de sécurité pour protéger ses serveurs, elle indique néanmoins ne pas avoir réalisé d’analyse de risques et d’impacts au regard de la sécurité et de la protection des renseignements personnels qu’elle collecte 30 . [60] Ainsi, les risques et les conséquences de cette collecte pour les personnes concernées surpassent de manière importante les avantages pour l’entreprise. [61] La Commission considère alors que la collecte des empreintes digitales pour répondre aux objectifs poursuivis par l’entreprise est disproportionnée. 30 Formulaire de déclaration d’une banque de caractéristiques ou de mesures biométriques transmis le 3 mai 2018.
1018507-S Page : 14 [62] La collecte des empreintes digitales pour répondre aux objectifs poursuivis par l’entreprise n’est donc pas nécessaire au sens de la Loi sur le privé. CONCLUSION [63] Dans ces circonstances, à la lumière de ce qui précède, la Commission considère que l’entreprise n’a pas démontré la nécessité de recueillir les empreintes digitales de ses clients pour atteindre ses objectifs. [64] La simplicité, la rapidité et l’efficacité mises de l’avant par l’entreprise dans ses différentes réponses, ni même le fait que cette collecte se fera avec le consentement des personnes concernées ne justifient pas la nécessité pour elle de recueillir des données aussi sensibles que les empreintes digitales de ses clients pour réduire son empreinte écologique, diminuer l’attente aux caisses ou prévenir la fraude. [65] Ainsi, la Commission conclut que la collecte des empreintes digitales de ses clients pour leur permettre de recevoir, une fois par mois, par courriel, leur facture pour le paiement de leurs achats ne respecte pas l’article 5 de la Loi sur le privé. Ces renseignements ne sont pas nécessaires à l’objet du dossier. POUR CES MOTIFS, LA COMMISSION : [66] INTERDIT à l’entreprise de mettre en service sa banque de caractéristiques biométriques constituée à partir des empreintes digitales de ses clients afin que ceux-ci puissent payer leurs achats et recevoir, une fois par mois, par courriel, une facture pour s’en acquitter. «Original signé» Cynthia Chassigneux Membre de la Commission, section de surveillance
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.