Vincent Gautrais

Cassandre Legault est étudiante dansle cadre du cours DRT 6929E (Vie privée + numérique) 

Le 18 février 2025, la Commission d’accès à l’information (« CAI ») a rendu une ordonnance déterminante en interdisant le déploiement, par Metro Inc. (« Metro »), d’un système de reconnaissance faciale destiné à identifier les individus impliqués dans des vols à l’étalage. Cette mesure, qui constitue la première interdiction formelle de mise en service d’une banque de données biométriques en vertu de l’article 45 de la Loi concernant le cadre juridique des technologies de l’information (« LCCJTI »), marque un tournant décisif dans l’encadrement des technologies biométriques au Québec.

L’ordonnance de la CAI s’inscrit dans la continuité de l’affaire Imprimeries Transcontinental Inc. (septembre 2024), qui constituait la première décision de la section surveillance depuis l’entrée en vigueur des modifications substantielles apportées par la Loi 25. Cette décision avait déjà illustré l’approche prudente et restrictive de la CAI à l’égard des systèmes biométriques, en mettant l’accent sur des exigences strictes de nécessité et de proportionnalité. Avec la décision Metro, la CAI réaffirme cette position, en imposant un contrôle rigoureux sur l’utilisation de la reconnaissance faciale, consolidant ainsi un cadre juridique qui limite considérablement la mise en œuvre de ces outils par les entreprises québécoises.

Mise en contexte

Dans le cadre d’un projet pilote, Metro souhaitait déployer un système de reconnaissance faciale dans certaines de ses bannières afin de lutter contre le vol à l’étalage et la fraude. Le dispositif proposé reposait sur l’analyse des images captées par les caméras de surveillance installées aux entrées et sorties des établissements participants. Ces images étaient comparées à une base de données biométriques contenant les données d’individus ayant déjà été impliqués dans des infractions similaires et ayant fait l’objet d’une intervention policière. En cas de correspondance, une alerte était envoyée au personnel responsable afin qu’il puisse intervenir conformément aux procédures internes.

Metro soutenait que ce système ne relevait pas de l’article 44 de la LCCJTI, puisqu’il ne visait ni à vérifier ni à confirmer l’identité des individus, mais plutôt à détecter des correspondances avec une base de données préexistante. L’entreprise avançait également que le processus de reconnaissance faciale se déroulait en plusieurs étapes distinctes et que la collecte de renseignements biométriques ne survenait pas au moment de la comparaison, mais bien en amont, lors de l’enregistrement des images de surveillance. Ainsi, elle estimait que les trois critères de l’article 44 (validation de l’identité, recours à des moyens biométriques et saisie de mesures biométriques) n’étaient pas remplis simultanément, ce qui excluait l’application de cette disposition et, par conséquent, l’obligation d’obtenir un consentement exprès des individus concernés.

Par ailleurs, Metro invoquait l’article 12 de la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le privé »), affirmant que l’utilisation des images captées par les caméras de surveillance constituait une utilisation secondaire légitime de renseignements déjà collectés. Selon l’entreprise, cette réutilisation était compatible avec la finalité initiale de protection des établissements et des individus et ne nécessitait donc pas un nouveau consentement des personnes concernées.

Enfin, Metro invoquait le principe de proportionnalité, soutenant que l’atteinte à la vie privée des clients était limitée au regard des bénéfices attendus en matière de sécurité et de prévention des vols. L’entreprise mettait en balance son obligation de protéger ses employés et sa clientèle avec l’expectative de vie privée des personnes concernées, soutenant que les individus visés par le système étaient uniquement ceux ayant déjà commis des infractions et non l’ensemble des clients fréquentant les magasins.

Points à retenir

1.     Interprétation large et libérale de l’article 44 de la LCCJTI

D’abord, la CAI conclut que le projet de reconnaissance faciale de Metro constitue une vérification de l’identité au sens de l’article 44 de la LCCJTI, et qu’il est donc soumis aux exigences strictes de cette disposition, notamment l’obtention du consentement exprès des personnes concernées.

La CAI adopte une interprétation large et libérale de la notion de vérification de l’identité, estimant que l’objectif premier de l’article 44 est d’assurer la protection des renseignements personnels de nature biométrique. Pour interpréter les termes « vérification » et « confirmation » employés dans cette disposition, la CAI se réfère au Document d’orientation du Commissariat à la protection de la vie privée du Canada, lequel distingue l’identification de l’authentification. Elle assimile la vérification de l’identité à un processus d’identification, qui vise à établir l’identité d’une personne en comparant ses données biométriques à celles d’une base de données.

Rejetant l’interprétation restrictive avancée par l’entreprise, la CAI considère que le système projeté ne se limite pas à une simple détection de correspondances, mais qu’il procède effectivement à une identification des individus entrant dans un établissement en les associant à une base de données de personnes ayant fait l’objet d’une intervention policière. Elle précise que l’identification ne requiert pas nécessairement une confirmation nominative, mais peut également résulter d’un processus d’association à un groupe restreint d’individus préalablement répertoriés, ce qui correspond précisément au fonctionnement du système envisagé par Metro. À cet égard, elle affirme que :

« Le processus de reconnaissance faciale envisagé vise ultimement à identifier, au moment où une personne entre dans un établissement et parmi toutes les personnes qui y entrent, celles qui ont déjà fait l’objet d’une intervention policière concernant des évènements de vols à l’étalage ou de fraude […] » (CAI, par. 46).

La CAI adopte également une interprétation élargie de la notion d’identité, intégrant sa dimension numérique. Elle rejette la définition limitative avancée par Metro et considère que l’identité ne se limite pas aux informations d’état civil, mais comprend toute donnée permettant de distinguer une personne des autres. S’appuyant sur l’article 44 de la LCCJTI, la CAI insiste sur le fait que les caractéristiques biométriques d’un individu, y compris celles saisies dans un système de reconnaissance faciale, sont intrinsèquement liées à son identité. À ce titre, elle précise que :

« […] les […] systèmes de reconnaissance faciale projetés […] saisissent des renseignements biométriques concernant les personnes qui entrent dans les établissements de l’Entreprise et [..] ces renseignements font partie de l’ensemble des éléments qui permettent de reconnaitre une personne et de la distinguer d’une autre. Ce qui dans les faits correspond au sens littéral du terme “identité” » (CAI, par. 72).

Enfin, la CAI rejette la tentative de Metro de compartimenter les différentes étapes du processus de reconnaissance faciale pour éviter l’application de l’article 44 de la LCCJTI. Elle insiste sur la nécessité d’adopter une approche globale, tenant compte de l’effet combiné des opérations plutôt que de les examiner isolément. Elle précise ainsi que :

« […] dans le contexte de l’article 44 de la LCCJTI, il faut considérer l’effet combiné de l’ensemble des opérations effectuées par le système et considérer ces différentes phases comme étant interdépendantes » (CAI, par. 95).

En conséquence, la CAI conclut que le système de Metro constitue une vérification de l’identité au sens de la loi, que les caractéristiques biométriques qu’il exploite sont indissociables de l’identité des individus et que l’absence de consentement exprès justifie l’interdiction de sa mise en service.

2.     Première application des notions de finalités primaires et secondaires

Ensuite, la CAI rejette l’argument de Metro selon lequel l’article 12 de la Loi sur le privé lui permettrait d’utiliser à des fins secondaires et sans consentement les renseignements biométriques collectés. Elle établit une distinction claire entre la collecte d’images de vidéosurveillance et l’extraction de mesures biométriques à partir de ces images, considérant qu’il s’agit de deux collectes distinctes de renseignements personnels. Dès lors, la reconnaissance faciale ne peut être qualifiée d’utilisation secondaire d’images déjà captées, mais constitue plutôt une nouvelle collecte nécessitant un consentement exprès. À cet égard, la CAI rappelle que :

« […] il existe une distinction entre la voix d’une personne à titre de renseignement personnel et cette même voix à titre de renseignement personnel biométrique. Au même titre, une distinction doit être faite entre l’image du visage d’une personne et les caractéristiques ou mesures biométriques qui peuvent en être extraites » (CAI, par. 111).

La CAI souligne également que l’article 12 de la Loi sur privé est incompatible avec l’article 44 de la LCCJTI, qui impose la destruction des renseignements biométriques une fois que la finalité qui a justifié leur collecte cesse d’exister. Elle conclut :

« Cette règle de conservation particulière rend difficilement conciliable, dans le présent contexte, tout recours à l’article 12 de la Loi sur le privé » (CAI, par. 112).

Par conséquent, elle écarte la possibilité d’une conservation et d’une réutilisation sous prétexte d’une finalité compatible.

Enfin, la CAI considère que la vérification de l’identité réalisée au moyen de la reconnaissance faciale ne constitue pas une finalité secondaire, mais bien la finalité primaire du traitement envisagé. Metro invoquait que son système visait uniquement à prévenir les vols et la fraude ce qui, selon l’entreprise, entrait dans le champ d’application de l’article 12 (3) de la Loi sur le privé. La CAI rejette cet argument, affirmant que :

« […] dans la présente affaire la vérification de l’identité n’est pas une utilisation secondaire, mais consiste à l’objectif primaire de la collecte des caractéristiques ou mesures biométriques effectuée » (CAI, par. 113).

Ainsi, la CAI applique, pour la première fois, la distinction entre les notions de « finalités primaires » et de « finalités secondaires », introduites par ses Lignes directrices sur les critères de validité du consentement.

En adoptant cette approche, la CAI empêche l’entreprise de contourner les exigences légales relatives au consentement en assimilant la collecte de renseignements biométriques à une réutilisation des images captées par les caméras de surveillance. Cette interprétation consolide le cadre juridique québécois en matière de protection des renseignements personnels et réaffirme que l’implantation de technologies biométriques est assujettie aux règles strictes énoncées dans la LCCJTI.

3.     Proportionnalité et atteinte à la vie privée

Finalement, la CAI conclut que l’atteinte à la vie privée découlant du projet de reconnaissance faciale de Metro est particulièrement grave et ne saurait être justifiée. Contrairement à l’argument avancé par l’entreprise, elle écarte d’emblée l’application d’un test de proportionnalité entre l’atteinte aux droits des individus et les objectifs poursuivis. Elle rappelle que la question centrale en vertu de l’article 45 de la LCCJTI est de déterminer si la mise en service de la banque de caractéristiques biométriques constitue une atteinte au respect de la vie privée. La CAI conclut que l’absence de consentement exprès suffit à établir une telle atteinte, indépendamment de la finalité poursuivie. L’importance de cette violation est accentuée par la nature sensible des renseignements biométriques :

« […] la Commission considère que la constitution d’une banque de caractéristiques et de mesures biométriques ainsi que le fait d’exiger la vérification de l’identité au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques, et ce, sans obtenir le consentement exprès des personnes concernées alors que ce consentement est requis par la Loi, porte atteinte de manière importante à la vie privée de ces personnes » (CAI, par. 127).

La CAI souligne également que ces renseignements constituent des identifiants uniques, non révocables et non modifiables, ce qui accroît les risques liés à leur collecte et à leur conservation :

« Puisqu’ils ne sont pas révocables ni modifiables, leur divulgation en cas d’incident de sécurité ou leur utilisation à des fins malveillantes, par exemple, peut avoir de lourdes conséquences pour la personne concernée » (CAI, par. 128).

Elle insiste sur le fait que certains renseignements biométriques, comme les traits du visage, sont particulièrement « bavards », c’est-à-dire qu’ils sont susceptibles de révéler beaucoup plus de renseignements que l’identité de la personne, notamment des informations comportementales ou médicales.

Pour la CAI, l’absence d’une alternative à la reconnaissance faciale constitue également un facteur aggravant. Elle souligne que toute personne entrant dans un établissement visé est automatiquement soumise à la collecte et à la comparaison de ses renseignements biométriques, sans possibilité d’y échapper. L’impossibilité pour les clients et employés de refuser ce traitement sans renoncer à accéder aux lieux accentue l’atteinte à leur vie privée, transformant la reconnaissance faciale en une condition implicite d’accès aux établissements.

En conséquence, la CAI conclut que le système projeté constitue une atteinte majeure au droit à la vie privée, justifiant l’interdiction totale de sa mise en service en vertu de l’article 45 de la LCCJTI.

Conclusion

L’ordonnance de la CAI contre Metro constitue un jalon significatif dans l’encadrement des technologies biométriques au Québec. Par son approche rigoureuse, la CAI impose un cadre juridique qui complexifie considérablement l’implantation de systèmes de reconnaissance faciale, notamment en exigeant simultanément la démonstration de leur nécessité pour atteindre l’objectif poursuivi et l’offre d’une alternative en cas de refus des individus de se soumettre à la biométrie. Cette double exigence crée un paradoxe : les entreprises doivent prouver qu’aucune autre solution n’est envisageable pour justifier un recours à la biométrie, tout en proposant une solution de remplacement, ce qui invalide d’emblée leur justification initiale. De plus, l’impossibilité de mener un projet pilote sans autorisation préalable empêche toute collecte de données probantes permettant d’établir l’efficacité et la pertinence d’un tel système, rendant ainsi la démonstration de sa nécessité pratiquement irréalisable.

L’interprétation extensive de la CAI en matière de consentement impose également une contrainte qui limite fortement l’usage de la reconnaissance faciale. En exigeant un consentement exprès pour tout système comparant des renseignements biométriques à une base de données, elle empêche pratiquement son déploiement dans un cadre commercial et institutionnel, contrairement à la vidéosurveillance traditionnelle où le consentement implicite peut être reconnu.

Par ailleurs, la définition large de la notion d’« identité » retenue par la CAI étend les restrictions imposées aux technologies biométriques, bien au-delà de la reconnaissance faciale. En considérant que toute caractéristique biométrique permettant de distinguer une personne, même sans rattachement explicite à un nom, constitue une identification au sens de l’article 44 de la LCCJTI, la CAI inclut potentiellement d’autres technologies comme l’analyse vidéo comportementale dans ce cadre réglementaire. Une telle interprétation risque de freiner l’innovation en matière de sécurité et d’optimisation des environnements publics, limitant ainsi l’usage d’outils pourtant largement adoptés dans d’autres juridictions.

Enfin, la décision Metro confirme une tendance lourde en matière de réglementation des procédés biométriques au Québec. Hormis les cas justifiés par des impératifs de sécurité nationale, aucun système biométrique ne semble obtenir l’aval de la CAI, ce qui pose un enjeu fondamental quant à leur viabilité juridique sur le territoire québécois. Si une telle approche se maintient, elle pourrait dissuader les entreprises d’investir dans ces technologies et entraîner un décalage avec d’autres provinces et pays où leur utilisation est encadrée, mais permise. Dans ce contexte, il est probable que des acteurs du secteur privé, notamment des entreprises comme Metro, intensifient leurs pressions pour faire évoluer le cadre législatif, particulièrement avec le départ annoncé du ministre de la Cybersécurité et du Numérique. L’issue de ces débats déterminera si le Québec maintiendra une régulation strictement prohibitive ou s’il évoluera vers un équilibre plus nuancé entre protection des renseignements personnels et innovation technologique.

Ce contenu a été mis à jour le 10 mars 2025 à 10 h 59 min.