par
Me Jessie McKinnon
Articles du même auteur
09 Mar 2021

Chronique du CTI – Conclusion du CPVP et als. : Violation des lois en matière de renseignements personnels pour un dispositif de reconnaissance faciale

Par Me Jessie McKinnon

Jessie McKinnon, avocate, Essilor Canada

Le 2 février 2021, le Commissariat à la protection de la vie privée du Canada (le CPVP), en
collaboration avec la Commission d’accès à l’information du Québec (la CAI), le
Commissariat à l’information et à la protection de la vie privée de la
Colombie-Britannique (le CIPVP de la C.-B.) et le Commissariat à l’information
et à la protection de la vie privée de l’Alberta (le CIPVP de l’Alberta)
(collectivement les « Commissariats »), ont publié leur
rapport de conclusions d’enquête sur Clearview AI, Inc.
(Clearview AI).

Les faits

Clearview AI est une entreprise
basée aux États-Unis ayant commercialisé un dispositif de reconnaissance
faciale. Ce dispositif permet de prélever des images comportant notamment des
visages à partir de sites web publics, de stocker ces données, de créer des
identifiants biométriques, de permettre aux utilisateurs de télécharger une
image afin de la comparer à celles dans la base de données et de fournir une
liste de résultats d’images correspondantes. Destiné à l’origine pour les
organismes chargés de l’application de la loi, Clearview AI a également donné
accès au dispositif à plusieurs entités du secteur privé.

Clearview AI admet ne pas avoir
cherché à obtenir le consentement des individus apparaissant sur les images
récoltées.

Les enjeux

L’enquête conjointe des
Commissariats visait à statuer sur les questions suivantes :

·
Clearview AI avait-elle l’obligation d’obtenir
le consentement des Canadiens concernés pour procéder à la collecte,
l’utilisation et la communication de leurs renseignements personnels?

·
Le cas échéant, l’a-t-elle fait?

·
Clearview AI a-t-elle recueilli, utilisé et
communiqué des renseignements personnels à des fins qui sont raisonnables ou
qu’une personne raisonnable estimerait acceptables dans les circonstances et en
raison d’un intérêt légitime? (Par. 6)

Analyse

Concernant la notion de
consentement, les Commissariats ont conclu que Clearview AI avait l’obligation
en vertu de la loi canadienne et des lois provinciales en matière de
renseignements personnels applicables[i]
(les « Lois ») d’obtenir le consentement des individus concernés mais
a fait défaut de l’obtenir.

Les Commissariats font un rappel
des Lignes directrices pour l’obtention d’un
consentement valable
qu’ils ont publiés conjointement et qui stipulent
qu’« en règle générale, les organisations doivent obtenir un consentement
explicite de l’intéressé dans les cas suivants : i) les renseignements
recueillis, utilisés ou communiqués sont sensibles; ii) la collecte,
l’utilisation ou la communication de l’information ne répond pas aux attentes
raisonnables de l’intéressé; iii) la collecte, l’utilisation ou la
communication de l’information crée un risque résiduel important de préjudice
grave. » (par. 38).

En l’espèce, les données
recueillies étaient des données biométriques, qui sont considérées comme étant
sensibles dans presque tous les cas puisque intrinsèquement liés à la personne.
Notant qu’il peut tout de même exister des degrés de sensibilité différents au
sein de ce type de données, les Commissariats concluent que les renseignements
biométriques faciaux sont particulièrement sensibles.

Ensuite, les Commissariats se
sont intéressés à l’argument de Clearview AI voulant qu’elle n’avait pas à
demander de consentement puisque ces images étaient des renseignements auxquels
le public a accès. Ils ont conclu que les renseignements provenant de sites web
publics  puis utilisés à des fins non connexes
ne bénéficient pas des exceptions prévues aux Lois applicables concernant les
renseignements auxquels le public a accès.

Concernant la troisième question,
les Commissariats ont conclu que l’objectif de la collecte, de l’utilisation et
de la communication des renseignements personnels par Clearview AI n’était ni
approprié ni légitime. En effet, l’identification et la surveillance de masse
d’individus par une entité privée dans le cadre d’une activité commerciale ne
saurait être considérée acceptable, raisonnable ou légitime par une personne
raisonnable selon les Lois, d’autant plus qu’elles sont sans rapport avec les
fins pour lesquelles les images ont été publiées à l’origine.

Commentaires

Déjà en
2017
, le CPVP soulevait l’inadaptation de la définition de « renseignements
auxquels le public a accès » aux nouvelles technologies et invitait le
Parlement à étudier attentivement le sujet afin de « trouver un équilibre
entre les droits fondamentaux [de] l’individu et ceux de la société ».

Ainsi, malgré que les conclusions
des Commissariats aient pu en faire sourciller quelques-uns, et dans l’attente
que les notions de « renseignements auxquels le public a accès » et
de « publications » soient clarifiées et mises au goût du jour dans
la législation, les Commissariats apportent une certaine clarté quant à leur
position sur le sujet de la technologie de reconnaissance faciale et nous
rappellent l’importance du consentement en matière de renseignements personnels
lorsque les fins pour lesquelles ils sont récoltés sont sans rapport avec
celles pour lesquelles les renseignements personnels ont été publiés.

Il est également intéressant de
noter qu’en date de rédaction de ce billet, la
page web du CPVP sur les défis qu’apporte la biométrie en matière de protection
de la vie privée
indique que l’orientation du Commissariat au sujet de la
biométrie fait l’objet d’une mise à jour en collaboration avec les autorités
provinciales de réglementation de la protection de la vie privée.

Pour en apprendre davantage sur
les enjeux liés aux technologies de reconnaissance faciale, l’article « Souriez,
vous êtes identifiés! »
de la parution de février 2020 de
l’ExtraJudiciaire en fait un survol.

Le texte intégral du Rapport de
conclusions d’enquête est disponible ici.

Le droit entourant les technologies de
l’information vous intéresse? Les 25 et 26 mars prochains, joignez-vous à plus
de 300 professionnels partageant votre passion pour le droit et la technologie.
Cliquez ici pour vous inscrire à la 14e édition de
la Conférence Legal.IT, une des plus importantes conférences au Canada sur
l’impact des TI et leur potentiel sur le droit, organisée par le Jeune Barreau
de Montréal.

Les chroniques du CTI sont rédigées par un ou plusieurs membres du Comité Technologies de l’information (CTI)
dans le but de susciter les discussions et de soulever les réflexions
au sein de la communauté juridique à propos des nouvelles technologies
et le droit. Les auteurs sont donc seuls responsables du contenu des
articles et l’opinion qui y est véhiculée n’est pas celle du JBM, mais
bien celle des auteurs. Si vous désirez rédiger une chronique, envoyez
un courriel au cti@ajbm.qc.ca.


[i]
La Loi
sur la protection des renseignements personnels et les documents électroniques
(Canada), la Personal
Information Protection Act
(Alberta), la Personal
Information Protection Act
(Colombie-Britannique), la Loi sur
la protection des renseignements personnels dans le secteur privé

(Québec) et la Loi concernant le cadre juridique des technologies de l’information
(Québec).

Commentaires (0)

L’équipe du Blogue vous encourage à partager avec nous et nos lecteurs vos commentaires et impressions afin d’alimenter les discussions sur le Blogue. Par ailleurs, prenez note du fait qu’aucun commentaire ne sera publié avant d’avoir été approuvé par un modérateur et que l’équipe du Blogue se réserve l’entière discrétion de ne pas publier tout commentaire jugé inapproprié.

Laisser un commentaire