une main qui tient une guitare

Article

Biométrie : nouvelles orientations du Commissariat à la protection de la vie privée du Canada et incidences sur les entreprises

18 septembre 2025

De l’environnement de bureau jusqu’à la file d’attente à la caisse enregistreuse, les outils biométriques sont désormais omniprésents : pointeuses à empreintes digitales pour enregistrer les employés, authentification vocale des clients, ou encore surveillance des planchers de vente au moyen de la reconnaissance faciale. Mais une question demeure : quelles règles encadrent leur utilisation?

Le 11 août 2025, le Commissariat à la protection de la vie privée du Canada (CPVP) a publié son Document d’orientation à l’intention des entreprises sur le traitement des renseignements biométriques (Document d’orientation). Destiné aux organisations du secteur privé qui déploient des initiatives biométriques, le Document d’orientation présente les principales considérations relatives aux obligations de protection de la vie privée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi que les pratiques exemplaires pour la gestion de ce type de renseignements.

L’essentiel du Document d’orientation

Le Document d’orientation a été conçu tant pour le secteur public que privé et fait suite à une consultation publique menée par le CPVP entre novembre 2023 et février 2024. Au cours de cet exercice, le CPVP a reçu 34 observations écrites et a rencontré 31 organisations afin de recueillir les points de vue des parties prenantes sur la version provisoire du Document (Document provisoire).

Le Document d’orientation tire sa raison d’être de ce que la version précédente, publiée en 2011, ne reflétait plus la réalité du nombre croissant d’organisations utilisant des technologies biométriques telles que la reconnaissance faciale ou la lecture d’empreintes digitales. Le CPVP a souligné que, bien que la biométrie puisse améliorer la sécurité et contribuer à la prestation de services, elle soulève également d’importants enjeux de vie privée, puisque les renseignements biométriques sont intimement liés au corps de la personne et peuvent révéler des données sensibles. Le CPVP a donc jugé nécessaire de fournir des indications actualisées afin d’aider les organisations à utiliser ces technologies dans le respect de la vie privée.

Bien que le Document d’orientation n’ait pas force de loi en soi, l’usage intentionnel des termes devrez et devriez tout au long du texte illustre son poids pratique. En réalité, même les passages où figure le mot devriez impliquent souvent une exigence qui, si elle n’est pas respectée, pourrait mener à un rapport d’enquête en vertu de la LPRPDE. Par exemple, le fait que le CPVP applique des critères de caractère acceptable dans ses enquêtes signifie que les organisations doivent, plutôt que devraient, suivre ces critères.

Comparaison avec le Document provisoire

Le Document d’orientation du CPVP traite de façon plus approfondie que le Document provisoire le fonctionnement des systèmes biométriques. Il définit les principaux termes, distingue la reconnaissance de la classification et précise davantage ce qui constitue un renseignement biométrique. Nous examinons ces définitions et distinctions plus en détail ci-dessous.

Le Document d’orientation actualisé propose également une analyse plus nuancée de la sensibilité : un renseignement biométrique qui identifie de façon unique une personne est toujours considéré comme sensible, alors qu’un renseignement non identifiable peut ou non être sensible selon les risques qu’il présente ou selon ce qu’il révèle sur la personne concernée. Dans le Document provisoire, la sensibilité faisait partie intégrante du test du caractère acceptable, ce qui revenait à la traiter comme un élément de ce seuil. Le Document d’orientation considère désormais la sensibilité comme un facteur indépendant, tandis que le caractère acceptable est évalué au moyen de son propre test structuré, tel qu’exposé ci-dessous.

Le Document d’orientation du CPVP modifie aussi l’approche relative au consentement. Alors que le Document provisoire indiquait que l’utilisation de la biométrie nécessiterait « presque toujours » un consentement exprès, le document final parle plutôt d’« une forme de consentement appropriée ». Cela signifie que, si le consentement exprès demeure la règle générale pour les renseignements biométriques, il peut exister des contextes restreints où un consentement implicite suffirait pour des renseignements biométriques qui ne sont pas considérés comme sensibles.

Parallèlement, le Document d’orientation atténue certaines obligations catégoriques de type « devez / devrez » présentes initialement dans le Document provisoire, tout en en renforçant d’autres.

Par exemple, le Document provisoire imposait aux organisations de « devoir » recourir à la vérification avant l’identification, de limiter l’échange de renseignements à des tiers et d’informer systématiquement les personnes des transferts à des fournisseurs de services. Dans la version finale, ces exigences sont reformulées comme des obligations de type « devriez », accordées cette fois au conditionnel, ouvrant la voie à une application fondée sur les risques.

Inversement, d’autres attentes ont été renforcées : les organisations « doivent » désormais utiliser des systèmes biométriques conçus dans une optique de protection de la vie privée et elles « doivent » garantir à la fois l’exactitude technique et l’équité, y compris en minimisant les écarts de rendement entre groupes sociodémographiques.

Le Document d’orientation du CPVP revoit également la manière de présenter les mesures de sécurité. Le Document provisoire détaillait divers types d’attaques techniques comme celles par mystification ou par escalade. La version mise à jour élimine en grande partie cette taxonomie et propose plutôt une liste opérationnelle axée sur les résultats. Elle met l’accent sur des exigences telles que l’utilisation de gabarits annulables, le recours au chiffrement de bout en bout et la réalisation régulière de tests de vulnérabilité. Ce virage reflète la volonté du CPVP d’orienter les organisations vers des résultats de sécurité pratiques et mesurables, rendant ces sections plus accessibles et centrées sur la mise en œuvre pour les entreprises.

Interaction avec le Québec

Le Document d’orientation actualisé du CPVP s’aligne généralement sur le guide d’accompagnement de la Commission d’accès à l’information (CAI) concernant la biométrie et tient compte de récentes décisions de la CAI portant sur le traitement, par des organisations, de renseignements biométriques à des fins de prévention des pertes et de contrôle d’accès aux locaux commerciaux. Ces décisions illustrent l’intensification de la surveillance réglementaire entourant l’usage de la biométrie, en particulier quant à la nécessité et à la proportionnalité de ces outils plus intrusifs en matière de vie privée.

Il convient de noter que, bien que le Document d’orientation du CPVP ait un caractère consultatif, le Québec a établi des exigences plus prescriptives. Ainsi, même si la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé) n’encadre les renseignements biométriques qu’à travers la notion de renseignements personnels sensibles, la Loi concernant le cadre juridique des technologies de l’information (Loi sur les TI) prévoit expressément les obligations des organisations relativement à la collecte et au traitement de renseignements biométriques.

Par exemple, les organisations québécoises doivent, en plus d’obtenir le consentement exprès des personnes pour la collecte de leurs données biométriques, déclarer préalablement à la CAI l’utilisation d’un système biométrique pour la vérification ou la confirmation de l’identité d’une personne, et ce, même si aucune donnée biométrique n’est conservée dans une base de données. Cette déclaration doit être faite au plus tard 60 jours avant l’utilisation d’une banque de caractéristiques biométriques. La CAI exige également que les organisations réalisent une évaluation des facteurs relatifs à la vie privée (EFVP) avant le déploiement de tout système biométrique, alors que le CPVP ne l’impose pas formellement – mais la recommande fortement.

Notions clés

La « biométrie » est généralement interprétée comme étant la quantification de caractéristiques humaines en termes mesurables. Dans le contexte du Document d’orientation du CPVP, elle renvoie habituellement aux systèmes servant à identifier ou à vérifier l’identité de personnes au moyen de leurs renseignements biométriques, tels que les empreintes digitales, les motifs de l’iris ou de la rétine, la géométrie de la main ou du visage, ou encore l’empreinte vocale (c’est-à-dire la reconnaissance biométrique). Elle peut toutefois aussi englober de nouveaux systèmes qui analysent des renseignements biométriques afin de prédire certains attributs comme l’âge ou le sexe (sous le vocable de classification biométrique).

Il s’agit d’un point important, puisque les renseignements biométriques – c’est-à-dire des renseignements relatifs à des caractéristiques biométriques qui ont été extraits d’un échantillon biométrique – sont généralement considérés comme des renseignements personnels sensibles et, de ce fait, sont assujettis aux lois en matière de protection des renseignements personnels dans le secteur privé, peu importe la finalité de leur utilisation. Il est intéressant de noter que la définition de la biométrie retenue par le CPVP est plus large que celle de la CAI, ce qui permet une portée réglementaire accrue et une approche de sécurité plus souple et fondée sur les risques.

La vérification et l’identification constituent les deux principales fonctions de la biométrie (aussi appelées authentification et identification, respectivement, au Québec). Leur fonctionnement technique est distinct, ce qui peut entraîner des implications juridiques et des risques différents. La « vérification » consiste à vérifier ou à confirmer l’identité d’une personne (comparaison un à un), alors que l’« identification » consiste plutôt à rechercher une identité dans une banque de données afin de déterminer de qui il s’agit (comparaison un à plusieurs).

Par exemple, la vérification permet de confirmer qu’une personne est bien celle qu’elle prétend être, tandis que l’identification peut servir à autoriser ou refuser l’accès (c’est-à-dire que les renseignements biométriques captés ont été retrouvés dans une base de données). La fonction d’identification présente généralement davantage de risques, puisqu’elle suppose la mise en place d’une base de données de référence, ce qui n’est pas nécessairement le cas pour la fonction de vérification.

Que faire lors de la planification d’une initiative biométrique ?

1. Établissement de fins acceptables

Les organisations ne doivent traiter des renseignements biométriques que lorsque les circonstances établissent une fin acceptable et que le consentement a été obtenu. Pour évaluer le caractère acceptable, le CPVP applique un test en plusieurs volets :

  • Besoin légitime : l’organisation doit établir une raison d’utiliser les renseignements biométriques, clairement énoncée et liée à la poursuite d’un intérêt commercial.
  • Efficacité : l’organisation doit déterminer si l’initiative biométrique est efficace et fiable et démontrer qu’un plan clair est prévu pour en mesurer les résultats.
  • Atteinte à la vie privée minimale : l’organisation doit démontrer qu’il n’existe pas de moyens moins intrusifs permettant d’atteindre la fin sans recourir à la collecte, à l’utilisation ou à la communication de renseignements biométriques.
  • Proportionnalité : l’organisation doit établir que le gain en efficacité, en coûts ou en avantages opérationnels est proportionnel au degré accru d’intrusion par rapport à une solution non biométrique.

Le Document d’orientation du CPVP insiste sur le fait que les organisations ne devraient pas recourir à la biométrie : (1) si la fin visée se situe dans une zone interdite (par exemple, une fin causant un préjudice important ou impliquant du profilage); (2) si l’acceptabilité de la fin est incertaine dans les circonstances; ou (3) si l’organisation est incapable d’expliquer en quoi son traitement des renseignements biométriques satisfait au test susmentionné.

⚜ Exigences du Québec

Un test similaire mais plus rigoureux est appliqué au Québec pour évaluer le niveau de risque pour la vie privée découlant du traitement de renseignements biométriques. Comme le souligne le guide d’accompagnement de la CAI, la Loi sur le privé prévoit que la collecte de renseignements personnels doit reposer sur un motif sérieux et légitime et être limitée aux seuls renseignements nécessaires à cette fin. Il importe de noter que la CAI a réaffirmé à plusieurs reprises que cette exigence de nécessité ne peut être contournée, même si la personne concernée a consenti à la collecte et à l’utilisation de ses renseignements biométriques.

Pour évaluer le respect de ces obligations, la CAI applique un test en deux volets exigeant que les organisations démontrent que la collecte de renseignements personnels respecte les critères suivants :

    Il est intéressant de noter que les critères du CPVP offrent davantage de souplesse que ceux de la CAI, qui établit un cadre juridique complexifiant considérablement la mise en œuvre d’initiatives biométriques. En effet, la CAI impose simultanément aux organisations de démontrer la nécessité (plutôt que seulement l’efficacité) et de proposer une solution de rechange (ce que le CPVP n’exige pas). Cette double exigence crée un paradoxe pour les organisations québécoises : elles doivent prouver qu’il n’existe aucun autre moyen moins intrusif d’atteindre la fin poursuivie, tout en étant capables d’offrir une option non biométrique.

    2. Consentement

    Une fois une fin acceptable déterminée, les organisations doivent obtenir un consentement valable et éclairé pour le traitement de renseignements biométriques. Le consentement constitue un principe fondamental des lois canadiennes en matière de protection des renseignements personnels et il est requis pour la collecte, l’utilisation et la communication de tels renseignements, sous réserve d’exceptions limitées. Bien qu’un consentement implicite puisse être obtenu dans certains contextes, le consentement exprès doit généralement être recherché.

    En outre, en vertu de la LPRPDE, les organisations ne peuvent exiger le consentement comme condition de prestation de service que lorsque le traitement de renseignements personnels est essentiel à la fourniture de ce produit ou service; par exemple, lorsqu’un programme de sûreté aéroportuaire requiert l’empreinte digitale des voyageurs pour leur permettre un passage accéléré. Dans les autres cas, une solution de rechange doit être offerte. Une initiative biométrique qui ne se justifie que par sa plus grande commodité par rapport aux autres options est peu susceptible de satisfaire à cette exigence.

    ⚜ Exigences du Québec

    Cette exigence est assez similaire au Québec, où la Loi sur les TI impose aux organisations d’obtenir un consentement exprès avant d’utiliser la biométrie et où, selon le guide d’accompagnement de la CAI, un consentement valide suppose également qu’une solution non biométrique soit proposée. L’utilité ou la commodité ne constitue pas une justification.

    3. Minimisation des données

    Les organisations doivent limiter la collecte, l’utilisation, la communication et la conservation des renseignements personnels à ce qui est nécessaire pour atteindre la fin déterminée. À cet égard, le Document d’orientation du CPVP et le guide d’accompagnement de la CAI rappellent que les organisations ne devraient recueillir et utiliser que le minimum nécessaire de caractéristiques biométriques pour prouver ou vérifier l’identité d’une personne.

    Cela signifie favoriser la vérification (comparaison un à un) plutôt que l’identification (comparaison un à plusieurs) afin de réduire les besoins en données, restreindre les capacités techniques du système pour minimiser la surcollecte et veiller à ne pas extraire d’informations secondaires (comme l’état de santé ou l’origine ethnique) sans le consentement de la personne concernée. Les organisations devraient également privilégier des mécanismes permettant à l’individu de garder le plus grand contrôle possible sur son gabarit biométrique – comme c’est le cas avec Face ID d’Apple – afin d’éviter la création de banques centralisées vulnérables à des atteintes plus étendues à la vie privée en cas d’incident de sécurité.

    Enfin, les organisations doivent limiter la conservation de ces renseignements à ce qui est nécessaire pour réaliser la fin déclarée, après quoi ils doivent être détruits. À cette fin, elles ne devraient pas communiquer de renseignements biométriques à des tiers sauf si requises et devraient veiller à ce que leurs données ne soient pas transmises d’un système à l’autre.

    4. Mesures de sécurité

    La technologie biométrique est souvent utilisée comme mesure de sécurité en soi (c’est-à-dire que l’identifiant biométrique est la clé d’accès) et s’avère, par conséquent, vulnérable à des attaques potentielles.

    Ainsi, les organisations doivent mettre en œuvre des mesures matérielles, organisationnelles et technologiques pour se protéger contre les différentes formes d’atteintes possibles et déclarer sans délai toute atteinte au CPVP ainsi qu’aux personnes concernées. Par exemple, elles devraient recourir à des systèmes biométriques conçus selon les principes de protection de la vie privée intégrés à la conception, contrôler et surveiller l’accès aux systèmes et réaliser des tests et des évaluations de vulnérabilité.

    ⚜ Exigences du Québec

    Le guide de la CAI va encore plus loin en mettant l’accent sur le format des données (par exemple, privilégier les systèmes qui convertissent irréversiblement les images ou empreintes en code),  le support de conservation (comme une base de données décentralisée) et la localisation du serveur (par exemple, un serveur local sous contrôle exclusif).

    5. Exactitude

    Étant donné que les systèmes biométriques servent souvent à prendre des décisions concernant des personnes et que les faux positifs ou faux négatifs peuvent avoir des conséquences importantes, les organisations doivent veiller à ce que les renseignements personnels soient exacts, complets et à jour.

    À cette fin, le Document d’orientation du CPVP insiste sur la nécessité de choisir une technologie dont le taux d’exactitude est approprié et de réduire au maximum les écarts de performance entre groupes sociodémographiques – par exemple, en effectuant une vérification diligente rigoureuse des fournisseurs. Les organisations devraient également tester l’exactitude d’un système à l’aide de données pertinentes au niveau opérationnel avant le déploiement d’une initiative, surveiller de façon continue son exactitude et élaborer une procédure pour traiter les fausses correspondances.

    ⚜ Exigences du Québec

    Alors que le Document d’orientation du CPVP insiste sur l’importance de s’assurer que les systèmes biométriques respectent les standards pertinents en matière d’exactitude, le guide d’accompagnement de la CAI met plutôt l’accent sur les droits d’accès et de rectification, en faisant reposer cette responsabilité sur les individus.

    6. Responsabilité

    Puisque les organisations sont responsables des renseignements personnels sous leur contrôle, y compris ceux traités par des tiers, elles devraient mettre en place des politiques de gouvernance robustes, offrir des formations, désigner les responsabilités, réaliser des vérifications et prévoir des mécanismes contractuels avec leurs fournisseurs de services, en mettant l’accent sur toutes les mesures de sécurité applicables.

    Le CPVP recommande également d’intégrer une supervision humaine lorsque le système biométrique pourrait avoir un impact sur la capacité des personnes à accéder à des produits et services. Bien que cela ne soit pas prescrit comme au Québec, le CPVP encourage les organisations à réaliser une EFVP afin de démontrer leur conformité à la LPRPDE.

    ⚜ Exigences du Québec

    Les organisations exerçant au Québec doivent également mettre en œuvre ces politiques et pratiques en vertu de la Loi sur le privé, ainsi que les inclure dans leur déclaration à la CAI et dans leurs EFVP, afin de démontrer davantage leur conformité à cette loi.

    7. Transparence

    Les organisations doivent rendre leurs politiques et leurs pratiques encadrant les renseignements biométriques facilement accessibles aux personnes sous une forme compréhensible, ce qui inclut le nom, le titre et les coordonnées de la personne responsable de l’initiative.

    Elles devraient également être transparentes quant à leurs pratiques de conservation, préciser l’utilisation de fournisseurs de services et être prêtes à fournir des détails essentiels sur les décisions automatisées.

    ⚜ Exigences du Québec

    Bien que le guide de la CAI ne traite pas de cette exigence, les obligations mentionnées ci-dessus sont également prévues par la Loi sur le privé.

    Points à retenir

    Le Document d’orientation aborde les principales considérations pour les organisations lors de la planification et de la mise en œuvre d’initiatives biométriques :

    A. Avant la collecte de renseignements biométriques

    1. Déterminer la fin acceptable.
    2. Aucune obligation de réaliser une EFVP au début de l’initiative, bien que le CPVP la recommande et que le Québec l’impose.
    3. Aucune obligation de déclaration ou de notification à l’autorité réglementaire concernant l’utilisation de systèmes biométriques (contrairement aux exigences du Québec).

    B. Lors de la collecte de renseignements biométriques

    1. Limiter la collecte aux seuls renseignements nécessaires.
    2. Obtenir un consentement exprès, règle générale.

    C. Après la collecte de renseignements biométriques

    1. Limiter l’utilisation, la communication et la conservation à ce qui est nécessaire.
    2. Mettre en place des mesures de protection.
    3. Assurer l’exactitude du système et des renseignements.
    4. Faire preuve de responsabilité et de transparence.

    En somme, afin d’atténuer les risques juridiques, les organisations devraient envisager d’établir des lignes directrices encadrant l’utilisation des systèmes biométriques qui tiennent compte des obligations ci-dessus ainsi que des autres principes applicables à la protection des renseignements biométriques.

    Bien que ce ne soit pas obligatoire, il est également recommandé de réaliser une EFVP avant le déploiement d’un système biométrique. Cet exercice permet d’identifier les risques juridiques ainsi que les mesures de contrôle à mettre en place pour les atténuer. Ces mesures peuvent comprendre, par exemple, la réduction de la quantité de renseignements collectés, la remise d’un avis plus visible aux personnes concernées, le chiffrement des données en transit et au repos, ou encore la limitation de la durée de conservation. En ce sens, l’EFVP constitue une véritable feuille de route pour la mise en œuvre d’une solution respectueuse de la vie privée et peut aider à démontrer aux autorités réglementaires que l’organisation a fait preuve de diligence.

    Communiquez avec nous

    Le groupe Cybersécurité, protection de la vie privée et protection des renseignements personnels de BLG suit de près l’évolution du cadre juridique afin d’informer les organisations canadiennes des exigences en matière de protection de la vie privée dans divers contextes. Si votre organisation a des questions concernant la mise en œuvre de solutions biométriques, n’hésitez pas à communiquer avec les personnes-ressources ci-dessous ou tout autre membre de notre groupe.

    Les auteurs remercient Abby Shine, étudiante en droit, pour sa contribution à cet article.

    Principaux contacts

    Contenu connexe