De nombreuses entreprises de services financiers sont tenues en vertu de lois et de règlements de vérifier l’identité de leurs clients. Il existe des outils technologiques novateurs qui simplifient le processus de vérification de l’identité, certains de ces outils s’appuyant sur l’intelligence artificielle ou les caractéristiques biométriques. Il est toutefois important de s’assurer de les utiliser d’une façon qui est conforme aux lois sur la protection de la vie privée, ainsi qu’aux lois encadrant le secteur financier.
Dans le présent bulletin, nous présentons brièvement cinq pratiques exemplaires que peuvent mettre en œuvre les organisations pour s’assurer que leurs nouveaux processus visant à vérifier ou à confirmer l’identité d’une personne par voie numérique respectent les lois et les règlements.
1. Rester bien au fait des lois et des règlements applicables
La plupart des entreprises de services financiers exerçant des activités au Canada, notamment les banques, les caisses d’épargne et de crédit, les assureurs, les sociétés de fiducie, les sociétés de prêt et les maisons de courtage (ci-après, les « entités financières ») sont tenues de vérifier l’identité d’une personne physique ou morale en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes dans le cadre de certaines opérations.
Dans la mesure où pour vérifier l’identité d’une personne, il est nécessaire de traiter des renseignements personnels, plusieurs lois canadiennes sur la protection de la vie privée peuvent s’appliquer selon l’endroit où les entités financières exercent leurs activités. Au moment de procéder à une telle vérification, les entités financières pourraient, par exemple, devoir se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) ou à diverses lois provinciales, comme la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.
2. Tenir compte des règles en vigueur au Québec en ce qui concerne les données biométriques
Les données biométriques sont considérées comme des renseignements personnels sensibles et doivent être traitées conformément aux lois sur la protection de la vie privée applicables. Au Québec, la Loi concernant le cadre juridique des technologies de l’information (la « LCCJTI ») prévoit des exigences supplémentaires lorsque des caractéristiques ou des mesures biométriques sont recueillies et utilisées pour vérifier ou confirmer l’identité d’une personne. Les organisations qui envisagent d’utiliser un système biométrique à des fins d’identification doivent le déclarer à la Commission d’accès à l’information (la « CAI ») avant de commencer à utiliser ce système et doivent déclarer la création d’une banque de caractéristiques ou de mesures biométriques à la CAI au moins 60 jours avant la mise en service de celle-ci.
De plus, aux termes de la LCCJTI, une organisation qui compte utiliser des données biométriques pour vérifier ou confirmer l’identité d’une personne doit obtenir le consentement exprès de cette dernière (ce qui est conforme à l’exigence établie dans toutes les lois canadiennes sur la protection de la vie privée d’obtenir un consentement exprès pour le traitement de renseignements personnels sensibles). La CAI est également d’avis que les organisations doivent fournir une solution de rechange ne faisant pas appel à la biométrie pour vérifier l’identité.
3. Mettre en place des programmes de gestion rigoureux pour encadrer les fournisseurs de services
Les entités financières qui ont recours à des outils numériques de vérification de l’identité se tournent souvent vers des fournisseurs de services. Dans le cadre de leurs pratiques en matière de protection de la vie privée, les entités financières qui exercent des activités au Canada doivent avoir mis en place des programmes de gestion rigoureux visant leurs fournisseurs. Elles doivent par ailleurs signer avec eux des ententes en matière de protection des données qui prévoient des mesures de sécurité physiques, organisationnelles et administratives appropriées. Enfin, les entités financières sont tenues de veiller à ce que tous les renseignements personnels recueillis soient utilisés uniquement à des fins appropriées et légales.
Les entités financières devraient s’assurer que ces ententes intègrent directement les obligations qui leur incombent au Canada et, ainsi, ne se fondent pas seulement sur des cadres juridiques internationaux en matière de protection de la vie privée, lesquels pourraient ne pas être suffisants pour se conformer au droit canadien.
4. Limiter la collecte et la conservation des renseignements personnels
Les lois canadiennes sur la protection de la vie privée exigent que les organisations limitent les renseignements personnels que ces dernières recueillent à ce qui est nécessaire pour les fins déterminées. Elles exigent également que les organisations suppriment ou détruisent de façon sécuritaire les renseignements personnels une fois que les fins pour lesquelles ils ont été recueillis ont été réalisées.
Les entités financières peuvent de surcroît avoir des obligations en matière de tenue de dossiers qui les obligent à recueillir ou à conserver certains renseignements concernant l’identité d’une personne. Ces entités devraient s’assurer de connaître leurs obligations en la matière. Elles devraient aussi veiller à recueillir seulement les renseignements dont elles ont réellement besoin et à les conserver seulement aussi longtemps que nécessaire pour la réalisation des fins déterminées. Par exemple, si une entité financière est tenue d’examiner un document d’identification délivré par un gouvernement comme un permis de conduire, elle devrait envisager de recueillir et de conserver uniquement le numéro d’identification indiqué sur le document examiné ou encore, au lieu de conserver une photo du document, simplement consigner une note confirmant qu’un tel document a été examiné.
5. Obtenir un consentement qui est valable
Le type de renseignements personnels habituellement recueillis aux fins de vérification de l’identité, comme les identifiants fournis par un gouvernement, les caractéristiques biométriques et la date de naissance, est susceptible d’être considéré comme des renseignements personnels sensibles. Les lois canadiennes sur la protection de la vie privée exigent l’obtention d’un consentement exprès pour toute collecte, utilisation ou communication de renseignements personnels sensibles, à quelques exceptions près.
Pour s’assurer d’obtenir un consentement exprès valable aux fins de vérification de l’identité, les entités financières devraient fournir une explication claire et détaillée aux personnes concernées avant de demander leur consentement. Le fait de noyer une telle explication dans une politique sur la protection de la vie privée n’est pas considéré comme suffisant pour étayer une demande de consentement exprès. Des solutions, comme des encadrés informatifs ou des menus en cascade, peuvent s’avérer utiles pour veiller à ce que le consentement éventuellement obtenu soit valable, en plus d’être conforme aux exigences d’autres régimes réglementaires applicables.
Pour en savoir davantage, communiquez avec l’une des auteures du présent bulletin ou un autre membre de nos groupes Protection de la vie privée et des données ou Services financiers.
