Données biométriques : La conformité aux lois sur la protection de la vie privée, en pratique

Les entreprises adoptent de plus en plus des technologies biométriques à diverses fins, allant du contrôle de l’accès aux espaces numériques et physiques à la vérification de l’identité en ligne, en passant par la détection de la confiance des clients et l’estimation de l’âge des utilisateurs sur les médias sociaux. Cette tendance augmente les risques de conformité dans tous les secteurs. Les entreprises qui exercent des activités au Canada doivent tenir compte des régimes de protection de la vie privée fédéral et provinciaux lorsqu’elles mettent en œuvre des systèmes biométriques. 

Voici cinq pratiques de conformité clés à l’intention des organisations qui utilisent la biométrie : 

1. Procéder à une évaluation des facteurs relatifs à la vie privée (une « ÉFVP »). Une bonne ÉFVP permet à une organisation de s’assurer de sa conformité aux exigences en matière de protection de la vie privée en évaluant la proportionnalité, la nécessité, les flux de données, la sécurité et les préjudices potentiels d’un système biométrique, tout en documentant les stratégies d’atténuation. Au Québec, les ÉFVP sont obligatoires; ailleurs au Canada, elles font partie des pratiques exemplaires. 
2. Évaluer la nécessité et les solutions de rechange. Bien que les exigences juridiques varient d’un territoire à l’autre, généralement, les lois canadiennes sur la protection de la vie privée permettent uniquement la collecte et l’utilisation de données biométriques lorsque cela est absolument nécessaire dans les circonstances. Les organisations devraient s’assurer de la nécessité d’avoir recours à un système biométrique avant son adoption et offrir des solutions de rechange à la collecte de données biométriques dans la mesure du possible.
3. Obtenir un consentement valable et clair. Puisque les données biométriques sont habituellement considérées comme sensibles, les organisations sont généralement tenues d’obtenir le consentement exprès des personnes dont elles recueillent et utilisent les données biométriques. Les organismes de réglementation s’attendent à ce que ce consentement soit franc, précis et distinct des autres modalités. Les organisations doivent communiquer clairement la nature des données recueillies, à quelle fin elles le sont, qui y aura accès ainsi que les risques connexes. 
4. Effectuer une vérification diligente du fournisseur. De nombreux outils biométriques sont fournis par des fournisseurs tiers. Il est essentiel de procéder à une vérification diligente avant de retenir les services d’un tel fournisseur. Cela comprend l’examen de ses pratiques en matière de protection de la vie privée, la mise en place de mesures de sécurité adéquates et l’intégration de modalités contractuelles portant sur le traitement et la conservation des données, la notification en cas d’atteinte à la sécurité des données, les contrôles d’accès et les droits d’audit.
5. Assurer la gouvernance de la confidentialité. Les organisations devraient mettre en œuvre de robustes cadres de protection de la vie privée qui leur permettent d’assurer leur conformité continue aux exigences en la matière. Cela comprend la formation des employés, l’élaboration de politiques et de procédures appropriées, la réalisation d’audits périodiques et la mise à jour des avis de confidentialité pour refléter l’utilisation des données biométriques. Les organismes de réglementation s’attendent à ce que les organisations fassent preuve de transparence et de responsabilité. 

Vous avez plus de cinq minutes? Visionnez notre webinaire (en anglais) sur ce sujet ou communiquez avec les auteurs pour en apprendre davantage.