Section surveillance

Québec Bureau 2.36 525, boulevard René-Lévesque Est Québec (Québec) G1R 5S9 Téléphone : 418 528-7741 Télécopieur : 418 529-3102

Montréal Bureau 900 2045, rue Stanley Montréal (Québec) H3A 2V4 Téléphone : 514 873-4196 Télécopieur : 514 844-6170

Commission d’accès à l’information du Québec Dossier : 1024350-S

Nom de l’Entreprise :

Date :

Membre :

Imprimeries Transcontinental inc.

Le 4 septembre 2024

M

e

Steeven Plante

DÉCISION

ENQUÊTE en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé 1 .

APERÇU

[1] Le 2 octobre 2020, la Commission d’accès à l’information du Québec (ci-après « la Commission ») a reçu de la société les Imprimeries Transcontinental inc. (ci-après « l’Entreprise ») une déclaration l’informant de la création d’une banque de caractéristiques ou de mesures biométriques (ci-après « la déclaration »);

[2] À l’origine, cette déclaration visait dans le contexte de la pandémie de la COVID-19 à mettre en place un système d’authentification (ci-après « le système ») comportant deux fonctionnalités afin de contrôler les accès aux locaux de l’Entreprise, soit une fonctionnalité de reconnaissance faciale ainsi qu’une fonctionnalité de prise de température corporelle;

[3] À l’époque de sa déclaration, l’objectif de l’Entreprise relativement à la mise en place de ce système était d’assurer, dans le cadre de la pandémie, la sécurité de ses employés ainsi que de ses locaux;

[4] Dans l’atteinte de cet objectif, l’Entreprise a équipé les entrées de son bâtiment de lave-mains automatiques et d’un système de reconnaissance faciale

1

RLRQ, c. P-39.1, la Loi sur le privé.

1024350-S

Page : 2

avec prise de température. Ces solutions sans contact visaient à limiter les risques de propagation du virus;

[5] Le 27 juin 2023, la Commission a été informée par l’Entreprise que la fonctionnalité de prise de température du système n’était plus utilisée depuis octobre 2022;

[6] L’Entreprise a informé la Commission que les données générées par cette fonctionnalité de prise de température avaient été détruites;

[7] De même, l’Entreprise a informé la Commission que seule la fonctionnalité de reconnaissance faciale du système était encore utilisée afin de contrôler les accès à ses locaux;

[8] Considérant que la fonctionnalité de prise de température corporelle n’est plus utilisée et que l’Entreprise confirme à la Commission que les données générées par cette fonctionnalité ont été supprimées, la présente décision ne porte que sur la fonctionnalité de reconnaissance faciale du système;

PRÉAVIS D’ORDONNANCE [9] Le 20 juin 2024, la Commission informe l’Entreprise par un préavis d’ordonnance qu’elle pourrait arriver à la conclusion qu’elle ne respecte pas la Loi sur le privé et donne à cette dernière un préavis du fait qu’elle pourrait lui ordonner de :

 CESSER de collecter des renseignements biométriques permettant la reconnaissance faciale;

 CESSER d’utiliser un système de reconnaissance faciale utilisant des mesures biométriques afin de contrôler les accès aux locaux de l’Entreprise;

 DÉTRUIRE les gabarits constitués et/ou codes obtenus par la conversion des photos de visages collectées.

[10] Conformément à l’article 83 de la Loi sur le privé, la Commission a fourni à l’Entreprise l’occasion de présenter ses observations en l’informant qu’elle disposait d’un délai 60 jours pour se faire et qu’à l’expiration de ce délai une décision pourrait être rendue en vertu de l’information contenue au dossier de la

1024350-S

Page : 3

Commission, et ce, même si l’Entreprise n’a pas formulé d’observations ou produit de documents supplémentaires 2 ;

[11] Suite au préavis d’ordonnance de la Commission, l’Entreprise n’a pas formulé d’observation ou produit de document supplémentaire;

[12] Considérant les informations obtenues au cours de l’enquête et à la lumière des observations et des documents contenus à son dossier, la Commission conclut que par l’utilisation d’un système de reconnaissance faciale afin de contrôler l’accès à ses locaux, l’Entreprise collecte des renseignements personnels de nature sensible et que cette collecte ne respecte pas la Loi sur le privé;

ANALYSE 1. L’Entreprise est assujettie à la Loi sur le privé [13] L’Entreprise est une société par actions inscrite au Registraire des entreprises du Québec dont le secteur d’activité déclaré est « impression commerciale »; 3

[14] Le siège social de l’Entreprise déclaré au Registraire des entreprises est situé au 3240-1 Place Ville-Marie à Montréal et l’établissement en cause dans la présente affaire est situé au 150, 181e rue à Beauceville;

[15] L’activité principale de l’Entreprise déclarée à ce registre est « Autres industrie d’impression commerciale » avec comme précision « Impression commerciale »;

[16] L’Entreprise exerce une activité économique organisée consistant en la production ou la réalisation de biens, elle exploite donc une entreprise au Québec 4 et à ce titre est soumise à la Loi sur le privé à l’égard des renseignements personnels qu’elle collecte, conserve, utilise ou communique à des tiers 5 ;

2. Les renseignements collectés sont des renseignements personnels biométriques de nature sensible

2 Tel qu’il appert de l’accuser réception du préavis de la Commission daté du 20 juin 2024 au dossier de la Commission. 3 L’Entreprise est enregistrée au Registraire des entreprises sous le numéro 1168064088. 4 Article 1525 du Code civil du Québec. 5 Loi sur le privé, article 1.

1024350-S

Page : 4

[17] Conformément à la Loi concernant le cadre juridique des technologies de l’information 6 , le 2 octobre 2020, l’Entreprise a déclaré à la Commission la création d’une banque de caractéristiques ou de mesures biométriques (ci-après « la banque ») à l’aide du formulaire de déclaration prévu à cet effet 7 ;

[18] Dans le cadre de cette déclaration, l’Entreprise indique à la Commission qu’en date du 1er septembre 2020 une banque a été créée et que cette dernière sera mise en service à compter du 23 septembre 2020;

[19] Le système mis en place par l’Entreprise est le système du fournisseur qui est un système de reconnaissance faciale et lecteur d’empreintes digitales qui comporte des fonctionnalités de prise de température corporelle et de détection de masque (ci-après « le système »);

[20] Selon l’information dont dispose la Commission, seule la fonctionnalité de reconnaissance faciale est actuellement utilisée par l’Entreprise;

[21] Afin de soutenir cette fonctionnalité de reconnaissance faciale, l’Entreprise procède selon le processus suivant:

 Obtention du consentement de l’employé à la collecte de mesures biométriques sur un formulaire prévu à cet effet;  Prise d’une photo de l’employé par un coordonnateur ou un formateur;  Transmission de la photo à un employé des ressources humaines via un serveur sécurisé;  Destruction de la photo de l’appareil photo;  Validation de la photo prise à l’aide d’une pièce d’identité déjà contenue au dossier de l’employé;  Dépôt de la photo dans le système qui est le logiciel qui soutient le fonctionnement du système;  Destruction de la copie de la photo reçue par serveur sécurisé 8 .

[22] Lors de la phase d’enrôlement et du transfert dans le système , la photo de la personne concernée est convertie en un code irréversible sur la base duquel la reconnaissance est effectuée

9

;

6 RLRQ, c. C-1.1, articles 44 et 45. 7 Certains éléments du formulaire ont été précisés les 5 mars 2021, 22 septembre 2021 et 27 juin 2023. 8 Document intitulé « Phase d’enrôlement ou d’inscription du système biométrique » reçu en date du 5 mars 2021. 9 Réponses reçues le 5 février 2021, question no. 29.

1024350-S

Page : 5

[23] Les données générées lors de cette codification sont jumelées à l’identité de la personne concernée ainsi qu’aux droits d’accès qui lui sont attribués;

[24] Une fois le système de reconnaissance faciale mis en fonction, soit lors de la phase de reconnaissance, l’employé se présente devant l’appareil, le système procède à la reconnaissance faciale à partir des données contenues dans le système et la porte se déverrouille pour un délai de deux secondes, si l’employé a accès à la porte en question 10 ;

[25] La Loi sur le privé prévoit que les renseignements qui concernent une personne physique et qui permettent de l’identifier constituent des renseignements personnels, et ce, quelles que soient la nature de leur support et la forme sous laquelle ils sont accessibles 11 ;

[26] La photo du visage d’une personne ainsi que sa codification en une représentation mathématique sont, en ce sens, des renseignements personnels puisqu’ils font connaitre quelque chose sur quelqu’un et permettent de distinguer cette personne par rapport à une autre 12 ;

[27] La codification de la forme ou de l’image du visage ne change pas le fait que l’Entreprise collecte des renseignements personnels, puisque cette codification vise précisément à distinguer une personne aux fins de l’identifier;

[28] L’image d’une personne ainsi que sa codification sont des renseignements intimes, propres et uniques à chaque personne. Par leur nature biométrique, ces renseignements personnels sont considérés de nature sensible 13 .

[29] L’Entreprise n’a pas démontré la nécessité de collecter des renseignements personnels de nature sensible

[30] La Loi sur le privé prévoit que la collecte de renseignements personnels ne peut être effectuée qu’en raison d’intérêt sérieux et légitime

14

;

[31] De plus, seuls les renseignements personnels nécessaires aux fins déterminées avant la collecte peuvent être recueillis

15

;

10 Réponses reçues le 5 février 2021, question no.10. 11 Loi sur le privé, articles 1 et 2. 12 Segal c. Centre de services sociaux de Québec, [1988] C.A.I. 315. 13 Loi sur le privé article 12. 14 Loi sur le privé, article 4. 15 Loi sur le privé article 4.

1024350-S

Page : 6

[32] L’Entreprise a le fardeau d’établir la nécessité des renseignements personnels qu’elle collecte dans le cadre de l’atteinte de ses objectifs;

[33] L’obligation d’avoir des fins déterminées, des intérêts sérieux et légitimes ainsi que la nécessité sont des règles impératives en vertu de la Loi sur le privé, de telle sorte qu’une Entreprise ne peut déroger à ces exigences, et ce, même avec le consentement de la personne concernée;

[34] Pour justifier la nécessité de la collecte qu’elle effectue, l’Entreprise doit démontrer:

 Le caractère légitime, important et réel de l’objectif qu’elle poursuit par cette collecte;

et  La proportionnalité de l’atteinte à la vie privée que constitue cette collecte en lien avec les objectifs qu’elle poursuit 16 ;

a. L’objectif poursuivi par l’Entreprise est légitime, mais la preuve de son caractère important et réel n’a pas été établie

[35] À l’origine du projet, les objectifs de l’Entreprise ont été formulés de la manière suivante :

« Avec la venue de la pandémie (COVID-19) nous devons assurer la sécurité de nos employés ainsi que la sécurité de notre bâtiment (approuvé C-TPAT). […] Nous avons décidé d’équiper nos entrées de lave-mains automatiques et d’un système de reconnaissance faciale avec prise de température, une solution sans contact (au lieu d’une carte d’identification personnelle) et contrôlée. Ces mesures sanitaires additionnelles en place nous assurent de limiter la propagation du virus dans notre usine. 17 »;

[36] Accessoirement à cet objectif, l’Entreprise fait référence au fait qu’elle désire respecter les exigences de la certification « Customs-trade partnership against terrorist » (ci-après « CTPAT »);

16 Laval (Société de transport de la Ville de) c. X., 2003 CanLII 44085 (C.Q.) ; Grenier c. Centre hospitalier universitaire de Sherbrooke [2010] QCCQ 9397 ; Synergie Hunt International inc. c. Trinque Tessier, 2017 QCCQ 13747 ; Les 3 Piliers inc., CAI 1018507-S, 14 février 2020. 17 Réponse reçue le 5 mars 2021, question no. 11.

1024350-S

Page : 7

[37] La Commission comprend de la mise à jour d’information reçue de l’Entreprise que seul l’objectif d’assurer la sécurité de son bâtiment demeure d’actualité 18 ;

i. Le caractère légitime de l’objectif poursuivi [38] La Commission considère que l’Entreprise est légitime de vouloir assurer la sécurité de ses installations et de prendre des mesures afin de contrôler les accès à ses locaux;

ii. Le caractère réel de l’objectif poursuivi [39] L’Entreprise a le fardeau d’établir le caractère réel de l’objectif qu’elle poursuit. Pour se faire, elle doit établir que l’objectif poursuivi est soutenu par des évènements particuliers ou problématiques qui justifient la nécessité de la collecte de renseignements personnels et non simplement par des faits de nature hypothétique;

[40] Selon les informations transmises à la Commission, outre la gestion des risques liés à la COVID-19, l’Entreprise n’a pas fait état d’évènement, de problématique ou d’enjeux de sécurité particuliers qui pourraient soutenir le caractère réel de la collecte des renseignements personnels de nature sensible en cause;

[41] L’Entreprise fait état de son objectif de respecter les normes établies par la certification CTPAT;

[42] La Commission comprend que la certification CTPAT est un programme pour lequel les adhésions sont faites sur une base volontaire et qui permet aux adhérents de collaborer avec le « U.S. Customs and Border Protection » afin de protéger leurs chaines de production, identifier les risques de sécurité et implémenter des mesures de sécurité et bonnes pratiques face à la lutte contre le terrorisme;

[43] L’obligation de contrôler les accès physiques des locaux de l’Entreprise est traitée au point 10.1 de cette norme qui indique

19

:

« S’il y a lieu, un système d’identification du personnel doit être mis en place aux fins d’identification positive et de contrôle d’accès. L’accès aux zones sensibles doit être limité en

18 Mise à jour d’information reçue le 27 juin 2023. 19 CTPAT, Critères minimaux de sécurité – fabricants étrangers, Mars 2020, CTPAT Foreign Manufacturers MSC 2020 French | U.S. Customs and Border Protection (cbp.gov)

1024350-S

Page : 8

fonction de la description de poste des employés ou des tâches qui leur sont assignées. Le dispositif d’accès d’un employé doit lui être retiré lorsqu’il quitte l’entreprise. » [Nos soulignés]

[44] Cette norme est accompagnée de conseils de mise en œuvre et spécifie au point 10.1 :





« Les dispositifs d’accès sont, entre autres : les badges d’identification des employés, les badges temporaires des visiteurs et des fournisseurs, les systèmes d’identification biométrique, les cartes clés de proximité, les codes et les clés.;

« D’une manière générale, une entreprise de plus de 50 employés devra recourir à un système d’identification » [Nos soulignés];

[45] La Commission comprend de ce critère et de ces conseils de mise en œuvre que l’utilisation d’un système d’identification biométrique telle que la reconnaissance faciale utilisée par l’Entreprise est un moyen suggéré et que ceci ne constitue pas une obligation afin d’adhérer à la norme;

[46] La Commission ne peut retenir l’argument de l’Entreprise à l’effet que le caractère réel de son objectif est soutenu par les exigences prévues à la norme CTPAT, cette exigence n’étant dans les faits qu’une suggestion de moyen;

[47] De plus, la norme CTPAT est une certification dont l’adhésion est faite sur une base volontaire et cette dernière prévoit d’autres moyens moins intrusifs sur le plan de la vie privée qui permettraient d’atteindre l’objectif de contrôler les accès des locaux de l’Entreprise;

[48] Dans le cadre des réponses transmises à la Commission, l’Entreprise fait aussi mention qu’elle a évalué la possibilité d’utiliser des cartes d’identification personnelles (CIP) comme autre moyen d’assurer le contrôle des accès à ses locaux, mais que cette solution comporte des risques de partage ou de copie des cartes, en plus d’entrainer plus de gestion interne dans les cas de perte et d’échange de ces cartes 20 ;

[49] Relativement à ce point, la Commission rappelle que la problématique qui sous-tend la collecte de renseignements doit être réelle et non simplement hypothétique. La Commission comprend qu’il s’agit ici uniquement d’un risque de partage ou de copie des cartes d’identification, donc d’une situation hypothétique et non d’une problématique réelle vécue au sein de l’Entreprise;

[50] Considérant les informations reçues de l’Entreprise, la Commission conclut que cette dernière n’a pas été en mesure de prouver que l’objectif sur la base duquel elle effectue la collecte de renseignements personnels revêt un caractère

20 Réponse reçue le 22 septembre 2021, question no. 9.

1024350-S

Page : 9

réel, ce dernier n’étant soutenu par aucune problématique particulière justifiant la collecte de renseignements personnels de nature sensible;

iii. Le caractère important de l’objectif poursuivi [51] À cette étape de l’analyse, la Commission doit déterminer si l’objectif poursuivi par l’Entreprise est suffisamment important pour justifier la collecte de renseignements personnels;

[52] Le fardeau d’établir l’importance du ou des objectifs poursuivis appartient à l’Entreprise qui procède à la collecte;

[53] Dans la présente affaire, outre la question de l’adhésion à la norme CTPAT et la question hypothétique de prêt et de copie de cartes d’identification, l’Entreprise n’a pas démontré à la Commission de situation particulière et suffisamment importante pour justifier la collecte des renseignements personnels de nature sensible qu’elle effectue;

[54] Sur ce volet, il faut que le ou les objectifs énoncés par l’Entreprise soient suffisamment importants pour justifier la collecte de renseignements personnels de nature sensible 21 et ne doivent pas constituer un ou des objectifs usuels, courants et intrinsèques à la gestion de toute entreprise, ce type d’objectif n’étant généralement pas suffisamment important pour justifier la collecte de renseignements de nature sensible 22 ;

[55] Le contrôle des accès aux locaux d’une entreprise relève davantage d’un objectif usuel et courant d’une entreprise. Il est possible que les activités d’une entreprise ou qu’une situation particulière justifie un niveau supérieur de sécurité que peut apporter les données de nature biométriques, par contre rien n’indique que ce soit le cas dans la présente affaire. L’Entreprise effectue ses opérations dans le domaine de l’imprimerie. Rien dans ce domaine d’activité ne peut laisser présumer de la nécessité d’un niveau de sécurité particulier et l’Entreprise n’en fait pas état dans ses réponses;

[56] À cet effet, la Commission en vient à la conclusion que l’Entreprise n’a pas été en mesure d’établir en quoi ses activités ou des évènements particuliers pouvaient requérir un niveau de sécurité supérieur et à démontrer le caractère important de l’objectif poursuivi;

21 R. c. Oakes [1986] 1 RCS 103, paragr. 69. 22 Enquête à l’égard de Bruneau Électrique inc., CAI dossier no 101556-S, 2021-09-30, paragr. 23 et Auberge du Lac Sacacomie, CAI dossier no 1024137-S, 2022-04-07, page 5.

1024350-S

Page : 10

[57] Quoiqu’il en soit, même si l’objectif de l’Entreprise était jugé suffisamment réel et important, la Commission en vient à la conclusion que l’atteinte à la vie privée que constitue cette collecte n’est pas proportionnelle à l’objectif poursuivi;

b. La collecte des renseignements personnels de nature sensible effectuée par l’Entreprise n’est pas proportionnelle à l’objectif poursuivi

[58] La collecte des renseignements personnels doit être proportionnelle à l’objectif poursuivi. L’atteinte à la vie privée que constitue cette collecte doit être minimisée et les avantages qu’elle procure doivent en surpasser l’atteinte.

[59] Pour évaluer le critère de la proportionnalité, il faut notamment tenir compte de la nature sensible des renseignements personnels en cause, des autres moyens à la disposition de l’Entreprise afin de répondre à la problématique identifiée et des conséquences de l’atteinte pour les personnes concernées 23 .

[60] C’est l’Entreprise qui a le fardeau d’établir la proportionnalité entre l’atteinte à la vie privée qui est commise par la collecte des renseignements personnels et les avantages du système mis en place;

[61] que;

Dans l’étude de cette proportionnalité, l’Entreprise a le fardeau d’établir

 La collecte effectuée est rationnellement liée l’objectif poursuivi;  L’atteinte à la vie privée que représente la collecte des renseignements personnels concernés est minimisée;

 La collecte de ces renseignements personnels est nettement plus utile à l’Entreprise que préjudiciable aux personnes concernées;

[62] Dans la présente affaire, considérant la nature biométrique et sensible des renseignements personnels en cause, la Commission conclut que la collecte effectuée par l’Entreprise n’est pas proportionnelle à l’objectif qui la sous-tend;

23 Laval (Société de transport de la Ville de) c. X [2003] C.A.I. 667 (C.Q.), Les 3 Piliers inc. CAI 1018507, 14 février 2020 et Enquête à l’égard de Bruneau Électrique inc., CAI 1015556-S, 30 septembre 2021.

1024350-S

Page : 11

i. L’atteinte que constitue la collecte des renseignements personnels concernés

[63] Les renseignements personnels collectés aux fins de la reconnaissance faciale sont des données biométriques qui se basent sur des caractéristiques intimes qui proviennent du corps des personnes concernées;

[64] Ceci en fait des renseignements personnels de nature sensibles 24 et de cette sensibilité découle un haut degré d’attente raisonnable en matière de vie privée;

ii. La collecte est rationnellement liée à l’objectif poursuivi [65] Selon les explications fournies par l’Entreprise, les renseignements personnels de nature biométrique collectés sont nécessaires au fonctionnement de la reconnaissance faciale du système en cause;

[66] La Commission ne remet pas en doute cette affirmation et conclue par conséquent que la collecte des renseignements biométriques liée au fonctionnement de la reconnaissance faciale du système est rationnellement liée à l’objectif de contrôler les accès aux locaux de l’Entreprise;

iii. L’atteinte à la vie privée que représente la collecte de renseignements personnels est minimisée

[67] Avant de collecter des renseignements personnels qui constituent une atteinte à la vie privée, l’Entreprise doit s’assurer de minimiser l’atteinte commise;

[68] Pour se faire, elle doit évaluer la possibilité d’utiliser d’autres moyens moins intrusifs afin de répondre à l’objectif visé;

[69] Les conseils de mise en œuvre de la norme CTPAT à laquelle se réfère l’Entreprise contient elle-même une liste de moyens qui permettraient à l’Entreprise de contrôler les accès à ses locaux, tout en limitant les possibilités d’atteindre à la vie privée des gens concernés;



Les badges d’identification des employés, les badges temporaires des visiteurs et des fournisseurs, les systèmes d’identification biométrique, les cartes clés de proximité, les codes et les clés. [Nos soulignés]

24 Loi sur le privé, article 12 alinéa 4, paragr. 2.

1024350-S

Page : 12

[70] L’Entreprise n’a pas été en mesure d’établir que ces moyens moins intrusifs ne pouvaient atteindre l’objectif fixé et en quoi la reconnaissance faciale devait être le moyen à privilégier;

[71] Tel que mentionné précédemment, le risque allégué par l’Entreprise concernant la copie ou le prêt des cartes d’identification personnelles est un risque hypothétique.