Commission d’accès à l’information du Québec Dossier : Nom de l’Entreprise :
Date : 14 janvier 2021 Membre : M e Cynthia Chassigneux DÉCISION ENQUÊTE en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé 1 CONTEXTE [1] La Commission d’accès à l’information (la Commission) est saisie d’une plainte à l’endroit du « Marché d’alimentation Marcanio et fils inc. » (l’Entreprise) relative à la collecte de renseignements personnels lors du processus d’embauche 2 . [2] À la suite de la plainte, la Commission charge un analyste-enquêteur de sa section de surveillance de faire enquête 3 auprès de l’Entreprise. [3] Dans le cadre de cette enquête, l’analyste-enquêteur prend connaissance des documents transmis avec la plainte et remarque que l’Entreprise fait signer à ses employés un formulaire intitulé « HandPunch TM (D-13) ». Par ce formulaire, les employés consentent à ce que l’Entreprise collecte la forme de leur main, l’utilise et la conserve pour son système de gestion de temps et présences au travail.
[4] Comme ce système fait appel à de la biométrie, la section de surveillance de la Commission ouvre le présent dossier afin d’examiner la conformité de la banque de caractéristiques ou de mesures biométriques constituée par
1 RLRQ, c. P-39.1, la Loi sur le privé. 2 Dossier 1013521-S. Ce dossier est fermé en date du 20 octobre 2020. 3 Enquête menée conformément à l’article 81 de la Loi sur le privé.
1013956-S Marché d’alimentation Marcanio et fils inc.
1013956-S 2 l’Entreprise. Pour ce faire, l’Entreprise remplit et transmet, à la demande de la Commission, le Formulaire de déclaration d’une banque de caractéristiques ou de mesures biométriques (Formulaire de déclaration) ainsi que des documents complémentaires 4 . AVIS D’INTENTION DE LA COMMISSION ET OBSERVATIONS DE L’ENTREPRISE
[5] Au terme de l’analyse du Formulaire de déclaration, des documents communiqués et des réponses fournies par l’Entreprise à l’analyste-enquêteur de sa section de surveillance, la Commission transmet à l’Entreprise un avis d’intention.
[6] La Commission informe l’Entreprise qu’à la lumière des informations dont elle dispose, elle pourrait conclure qu’il n’est pas nécessaire pour l’Entreprise de collecter la forme de la main de ses employés pour atteindre l’objectif qu’elle poursuit et qu’à ce titre, elle ne respecte pas les articles 4, 5, 8 et 14 de la Loi sur le privé, mais aussi l’article 44 de la Loi concernant la cadre juridique des technologies de l’information 5 . [7] La Commission l’informe également qu’elle pourrait conclure que l’Entreprise ne respecte pas les articles 10 et 12 de la Loi sur le privé en ne disposant pas de politiques écrites quant à la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels, y compris des mesures biométriques.
[8] La Commission fait également recommandations qu’elle pourrait émettre à l’endroit de l’Entreprise.
[9] L’Entreprise, conformément à la Loi sur le privé 6 , présente ses observations en ce qui concerne la nécessité de recueillir la forme de la main pour atteindre l’objectif qu’elle poursuit, le consentement donné par ses employés et les mesures prises afin d’assurer la sécurité des mesures biométriques. L’Entreprise transmet des documents au soutien de ses réponses 7 . 4 Formulaire de consentement « HandPunchTM (D-13) »; Foire aux questions (FAQ). 5 RLRQ, c. C-1.1, la LCCJTI. 6 Loi sur le privé, article 83. 7 Formulaire de consentement sur la cueillette, l’usage et la conservation de mesures biométriques (en date du 19 novembre 2020); NUCLEUS RESEARCH, Report – Schlage Handpunch, April 2009; NUCLEUS RESEARCH, Workforce management pays back $7.88 for every dollar spent, December 2011; SYNERION, Services infonuagiques – Politiques d’hébergement et de livraison.
mention des ordonnances et
1013956-S 3 ANALYSE [10] À la lumière des observations et documents transmis par l’Entreprise à la suite de son avis d’intention, la Commission examine le système de gestion de temps et présences basé sur la collecte et la lecture de la forme de la main des employés mis en place par l’Entreprise.
[11] Cette analyse se fait en vertu de la Loi sur le privé qui établit des règles relatives à la collecte, à l’utilisation, à la détention et à la communication de renseignements personnels à l’occasion de l’exploitation d’une entreprise 8 . Elle se fait également au regard de la LCCJTI qui prévoit certaines exigences en ce qui a trait notamment au consentement requis lorsqu’une entreprise vérifie ou confirme l’identité d’une personne physique au moyen d’un procédé permettant de saisir des caractéristiques ou de mesures biométriques 9 . 1. L’Entreprise est assujettie à la Loi sur le privé et à la LCCJTI [12] L’Entreprise exploite un commerce d’alimentation au Québec 10 . À ce titre, elle est soumise à la Loi sur le privé à l’égard des renseignements personnels sur autrui qu’elle recueille, détient, utilise ou communique à des tiers.
[13] Par ailleurs, l’Entreprise est également assujettie à la LCCJTI compte tenu du fait qu’elle a recours à un procédé permettant de saisir des caractéristiques ou des mesures biométriques pour contrôler les heures de présence au travail de ses employés. Conformément à cette loi 11 , l’Entreprise a déclaré, en cours d’enquête, le fait qu’elle utilise un tel système depuis 2010 12 . 2. La forme de la main est un renseignement personnel [14] La Loi sur le privé prévoit que les renseignements qui concernent une personne physique et qui permettent de l’identifier constituent des renseignements personnels et ce, quelles que soient la nature de leur support et la forme sous laquelle ils sont accessibles 13 . 8 Loi sur le privé, article 1. 9 LCCJTI, article 44. 10 L’Entreprise est enregistrée au registraire des entreprises sous le numéro 1146007167. 11 LCCJTI, article 45. 12 Réponse de l’Entreprise en date du 25 mai 2016 et la Commission a reçu le Formulaire de déclaration complété le 31 mai 2016. 13 Loi sur le privé, articles 1 et 2.
1013956-S [15] L’Entreprise indique utiliser un système de géométrie de la main pour contrôler les heures de présence au travail de ses employés cette technologie :
₋ ne reproduit pas le dessin de la main de l’employé; ₋ ne capte pas ses empreintes digitales; ₋ ne prend pas de photographie du dessus de la main; ₋ ne peut pas servir à détecter quelques autres informations que ce soit; ₋ ne fait qu’établir un lien avec le nom de l’employé inscrit au système et la géométrie de certains points sur le dessus de la main;
₋ n’emmagasine pas l’image de la main mais un gabarit de 9 octets qui est une représentation mathématique de cette image.
[16] Cependant, ce gabarit constitue un renseignement personnel, même si les images de la main prises au moment de l’enrôlement (inscription) ne sont pas conservées, qu’elles sont converties par un algorithme en une valeur mathématique et que seul ce gabarit est emmagasiné dans la banque constituée par l’Entreprise.
[17] En effet, le gabarit de la main enregistré dans la banque permet d’identifier une personne physique, soit l’employé. De plus, associé au nom et à l’identifiant de cet employé, le gabarit de la main permet de transmettre au service de paie les heures de présence au travail de chacun d’entre eux.
[18] Par conséquent, les dispositions prévues par la Loi sur le privé doivent être respectées afin de limiter les risques quant à la collecte et à l’utilisation de la forme de la main, que celle-ci soit conservée sous sa forme brute ou qu’elle soit codée comme en l’espèce.
[19] Considérant que la Loi sur le privé s’applique à la prise d’un gabarit de la main, la Commission doit analyser la nécessité de recueillir la forme de la main pour répondre aux objectifs poursuivis par l’Entreprise; le consentement donné par les employés; l’existence d’un mode alternatif et les mesures propres à assurer la sécurité des renseignements personnels.
14 Réponse de l’Entreprise en date du 25 mai 2016. 15 Voir les réponses et documents transmis par l’Entreprise en date des 31 mai 2016 (Foire aux questions (FAQ)), 21 décembre 2018 et 19 novembre 2020.
1013956-S 5 3. La collecte de la forme de la main est nécessaire pour répondre aux objectifs poursuivis par l’Entreprise
[20] La Loi sur le privé prévoit qu’une personne qui exploite une entreprise doit avoir un intérêt sérieux et légitime pour constituer un dossier sur autrui prévoit aussi que seuls les renseignements personnels nécessaires pour atteindre l’objectif poursuivi par l’entreprise doivent être recueillis entreprise ne peut pas déroger à ces exigences, même avec le consentement de la personne concernée.
[21] Ainsi, une entreprise qui entend collecter et utiliser des renseignements personnels doit justifier la nécessité de cette collecte.
[22] L’appréciation de la nécessité de recueillir un renseignement personnel se fait en deux temps 18 . D’une part, il convient de considérer les objectifs poursuivis par la collecte, ceux-ci doivent être importants, légitimes et réels. D’autre part, il convient de se demander si l’atteinte au droit à la vie privée que peut constituer cette collecte est proportionnelle à ces objectifs.
a. Les objectifs poursuivis par l’Entreprise et leur caractère important, légitime et réel
[23] Pour conclure que la collecte d’un renseignement personnel est nécessaire, l’Entreprise doit démontrer que le fait de recourir à un système de géométrie de la main revêt un caractère légitime, important et réel pour atteindre les objectifs qu’elle poursuit.
[24] Il ressort de la documentation soumise par l’Entreprise et de ses observations que le supérieur hiérarchique des employés ne peut être présent pour couvrir toutes les plages horaires sur lesquelles les employés qu’il supervise travaillent, compte tenu du nombre d’employés, des horaires variables de chacun d’eux variant de semaine en semaine et de leurs différentes aires de travail.
[25] Il en ressort également qu’avant de mettre en place un système de géométrie de la main, l’Entreprise faisait l’objet de vol de temps (fraude) et qu’elle a « mis fin à l’emploi de plusieurs employés spécifiquement pour cette raison » 19 . Elle indique avoir documenté ces fraudes, mais « les documents ont été détruits
16 Loi sur le privé, article 4. 17 Loi sur le privé, article 5. 18 Laval (Société de transport de la Ville de) c. X [2003] C.A.I. 667 CCQ; Grenier c. Centre hospitalier universitaire de Sherbrooke, [2010] QCCQ 9397; Synergie Hunt International inc. c. Trinque Tessier, 2017 QCCQ 13747; Les 3 Piliers inc., CAI 1018507-S, 14 février 2020. 19 Réponse de l’Entreprise en date du 19 novembre 2020.
1013956-S 6 au terme des délais prescrits » 20 . L’Entreprise rappelle que le système biométrique est en place depuis 2010 et que les documents liés à son commerce sont conservés pendant 7 ans 21 . [26] Il en ressort aussi qu’il y avait également des pertes de temps, aussi bien pour les employés que l’Entreprise, « en raison d’employés qui n’avaient pas leurs cartes pour toutes sortes de raisons et devaient requérir la présence d’un superviseur pour enregistrer leur temps dans l’horodateur ».
[27] C’est donc pour lutter contre ces phénomènes importants et réels que l’Entreprise recourt à un système de géométrie de la main pour enregistrer, de façon fiable, la présence des employés pendant leurs heures de travail.
[28] Il est tout à fait légitime pour l’entreprise de vouloir contrer les vols de temps (fraude) et la perte de temps. Les éléments concrets et factuels soumis par l’Entreprise démontrent les problématiques rencontrées avant la mise en place du système de géométrie de la main.
[29] Dès lors, la Commission considère que les objectifs poursuivis par l’Entreprise revêtent un caractère important, légitime et réel.
b. La proportionnalité de la collecte pour répondre aux objectifs poursuivis par l’Entreprise
[30] Après avoir pris en considération les objectifs poursuivis par l’Entreprise, la Commission doit se prononcer sur la proportionnalité de la collecte pour répondre à ces objectifs.
[31] Pour ce faire, l’Entreprise doit convaincre la Commission que l’utilisation projetée est rationnellement liée à chaque objectif. L’Entreprise doit également convaincre la Commission que l’atteinte à la vie privée est minimisée et que la collecte est nettement plus utile à l’Entreprise que préjudiciable aux employés.
[32] Il ressort de la documentation soumise par l’Entreprise et de ses observations que celle-ci a considérées la possibilité d’assigner des employés à la surveillance des entrées et sorties ou encore de mettre en place un système de caméra captant et enregistrant l’image des employés.
[33] Toutefois, compte tenu de l’environnement de travail rendant difficile le contrôle des heures de travail et des coûts inhérents à ces mesures, l’Entreprise
20 Ibid. 21 Ibid.
1013956-S 7 a décidé de ne pas les retenir et de recourir à un système de géométrie de la main.
[34] Elle indique d’ailleurs que ce système lui a permis d’éliminer le vol de temps (fraudes), les pertes de temps et d’avoir un « système efficace et fiable pour enregistrer les présences et émettre la paie » 22 . Elle précise aussi que cette technologie est « la moins intrusive tant dans son usage que dans le type de données biométriques recueillies » 23 . [35] Elle note aussi que, depuis 2010, les employés n’ont formulé aucune plainte quant à l’usage de cette technologie.
[36] Les éléments mis de l’avant par l’Entreprise démontrent que, compte tenu de l’environnement de travail, des mesures prises pour informer les employés et pour assurer la sécurité de leurs renseignements personnels, l’atteinte à la vie privée des employées est minimisée et que la collecte de la forme de la main des employés est nettement plus utile à l’Entreprise que préjudiciable aux employés. La Commission considère donc que la collecte est proportionnelle aux objectifs poursuivis par l’Entreprise.
[37] Dès lors, la Commission est d’avis que la collecte de la forme de la main est nécessaire pour répondre aux objectifs poursuivis par l’Entreprise.
4. Le consentement des employés est exprès et un mode alternatif est prévu en cas de refus
[38] La LCCJTI prévoit que la vérification ou la confirmation d’identité au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques doit se faire avec le consentement exprès de la personne concernée 24 . Cela implique que la personne qui exploite une entreprise doit : ₋ obtenir le consentement exprès de chacune des personnes concernées. Ce consentement doit être libre, éclairé 25 , spécifique et limité dans le temps 26 ; 22 Ibid. 23 Ibid. 24 LCCJTI, article 44. 25 Loi sur le privé, article 8. 26 Loi sur le privé, article 14.
1013956-S 8 ₋ prévoir une solution alternative pour vérifier ou confirmer l’identité, en cas de refus de la personne concernée ou en cas de retrait de son consentement 27 . [39] L’Entreprise a transmis, à la suite de l’avis d’intention, le nouveau formulaire de consentement 28 qui sera soumis à tous les employés. [40] Ce formulaire, lequel s’inspire de l’exemple disponible sur le site de la Commission 29 , contient des informations quant à l’objectif poursuivi, à la procédure utilisée pour la collecte des mesures biométriques, au fait que ces mesures font partie du dossier des employés, aux catégories de personnes qui y auront accès, à l’endroit et à la durée de conservation de ces mesures, aux droits d’accès ou de rectification offerts aux employés.
[41] Ce formulaire mentionne également que si les employés ne consentent pas à ce que l’Entreprise collecte la forme de leur main, un autre système pour l’enregistrement des heures de travail est proposé. Cet ajout fait écho à ce qui est mentionné dans le Formulaire de déclaration. La Commission prend donc acte que les employés qui ne consentent pas à la collecte de la forme de leur main, ou qui le retirent après coup, pourront, comme mentionné dans le Formulaire de déclaration, signer un document indiquant leurs heures d’entrées et sorties et le faire contresigner par leur supérieur immédiat.
[42] La Commission a pris connaissance de ce nouveau formulaire et considère qu’il remplit les exigences de la Loi.
5. Des mesures sont prises pour assurer la sécurité des caractéristiques biométriques
[43] La Loi sur le privé prévoit qu’une personne qui exploite une entreprise doit prendre des mesures de sécurité pour protéger les renseignements personnels tout au long de leur cycle de vie, soit de leur collecte à leur destruction 30 . Ces mesures doivent être raisonnables et tenir compte notamment de la sensibilité des renseignements, de leur qualité et de leur support.
27 COMMISSION D’ACCÈS À L’INFORMATION, Biométrie : principes à respecter et obligations légales des organisations. Guide d’accompagnement pour les organismes publics et les entreprises, Juillet 2020. 28 Réponse de l’Entreprise en date du 19 novembre 2020. 29 COMMISSION D’ACCÈS À L’INFORMATION, Exemple de formulaire de consentement sur la cueillette, l’usage et la conservation de caractéristiques ou mesures biométriques. 30 Loi sur le privé, article 10.
1013956-S 9 [44] Elle prévoit également qu’une fois l’objet du dossier accompli, une entreprise ne peut plus utiliser les renseignements personnels collectés, sauf avec le consentement de la personne concernée 31 . [45] La Commission est d’avis que l’Entreprise a mis en place des mesures de sécurité pour protéger la forme de la main de ses employés. En effet, la Commission retient la prétention voulant que le lecteur utilisé pour authentifier les employés au moment de l’enrôlement et lors de leurs entrées et sorties subséquentes ne donne accès à aucun renseignement personnel. Les mesures biométriques sont cryptées et leurs valeurs ne peuvent être transférées dans un autre système. Les mesures sont hébergées au Québec 32 . [46] De plus, la Commission retient que seules quelques personnes peuvent y avoir accès et, qu’à la fin de l’emploi le dossier est désactivé et les mesures biométriques automatiquement effacées 33 . [47] Toutefois, la Commission constate qu’en dehors des politiques produites par le fournisseur du système utilisé, l’Entreprise n’a pas établi ses propres politiques internes quant à la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels, y compris des mesures biométriques.
[48] L’adoption de politiques concernant la gestion et la protection des renseignements personnels collectés par une entreprise permet non seulement de limiter les risques d’utilisation ou de communication inappropriée de ces renseignements, mais aussi d’en encadrer la conservation et la destruction.
[49] L’adoption de telles politiques permet aussi de sensibiliser les personnes qui auront accès aux renseignements personnels des employés aux règles adoptées par leur entreprise à ce sujet. De plus, cela permet d’uniformiser les pratiques au sein d’une entreprise et de documenter celles-ci.
[50] En ce sens, la Commission est d’avis que l’Entreprise n’a pas pris toutes les mesures propres pour assurer la sécurité des renseignements personnels qu’elle recueille auprès de ses employés, incluant les mesures biométriques utilisées pour vérifier les heures d’entrée et de sortie des employés.
31 Loi sur le privé, article 12. 32 Réponse de l’Entreprise en date du 19 novembre 2020. 33 Ibid.
1013956-S 10 CONCLUSION [51] À la lumière de ce qui précède et de l’information dont elle dispose, la Commission est d’avis que l’Entreprise respecte les articles 4, 5, 8, 12 et 14 de la Loi sur le privé, mais aussi l’article 44 de la LCCJTI. En effet, la forme de la main recueillie par l’Entreprise est nécessaire à l’objectif qu’elle poursuit, les employés ont la possibilité d’exprimer un consentement exprès et un mode alternatif est prévu le cas échant.
[52] Bien que l’Entreprise ait mis en place des mesures de sécurité pour protéger la forme de la main de ses employés, la Commission considère que l’Entreprise ne respecte pas l’article 10 de la Loi sur le privé, en ne disposant pas de politiques écrites qui lui sont propres quant à la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels, y compris des mesures biométriques.
POUR CES MOTIFS, LA COMMISSION [53] RECOMMANDE à l’Entreprise d’adopter des politiques concernant la gestion et la protection des renseignements personnels et de les diffuser auprès des personnes qui, au sein de l’Entreprise, ont accès aux renseignements personnels des employés.
Original signé Cynthia Chassigneux Membre de la Commission, section de surveillance