par
Jessie McKinnon
Articles du même auteur
09 Mar 2021

Chronique du CTI – Conclusion du CPVP et als. : Violation des lois en matière de renseignements personnels pour un dispositif de reconnaissance faciale

Par Jessie McKinnon, avocate

Le 2 février 2021, le Commissariat à la protection de la vie privée du Canada (le CPVP), en collaboration avec la Commission d’accès à l’information du Québec (la CAI), le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (le CIPVP de la C.-B.) et le Commissariat à l’information et à la protection de la vie privée de l’Alberta (le CIPVP de l’Alberta) (collectivement les « Commissariats »), ont publié leur rapport de conclusions d’enquête sur Clearview AI, Inc. (Clearview AI).

Les faits

Clearview AI est une entreprise basée aux États-Unis ayant commercialisé un dispositif de reconnaissance faciale. Ce dispositif permet de prélever des images comportant notamment des visages à partir de sites web publics, de stocker ces données, de créer des identifiants biométriques, de permettre aux utilisateurs de télécharger une image afin de la comparer à celles dans la base de données et de fournir une liste de résultats d’images correspondantes. Destiné à l’origine pour les organismes chargés de l’application de la loi, Clearview AI a également donné accès au dispositif à plusieurs entités du secteur privé.

Clearview AI admet ne pas avoir cherché à obtenir le consentement des individus apparaissant sur les images récoltées.

Les enjeux

L’enquête conjointe des Commissariats visait à statuer sur les questions suivantes : Clearview AI avait-elle l’obligation d’obtenir le consentement des Canadiens concernés pour procéder à la collecte, l’utilisation et la communication de leurs renseignements personnels? Le cas échéant, l’a-t-elle fait? Clearview AI a-t-elle recueilli, utilisé et communiqué des renseignements personnels à des fins qui sont raisonnables ou qu’une personne raisonnable estimerait acceptables dans les circonstances et en raison d’un intérêt légitime? (Par. 6)

Analyse

Concernant la notion de consentement, les Commissariats ont conclu que Clearview AI avait l’obligation en vertu de la loi canadienne et des lois provinciales en matière de renseignements personnels applicables[i] (les « Lois ») d’obtenir le consentement des individus concernés mais a fait défaut de l’obtenir.

Les Commissariats font un rappel des Lignes directrices pour l’obtention d’un consentement valable qu’ils ont publiés conjointement et qui stipulent qu’« en règle générale, les organisations doivent obtenir un consentement explicite de l’intéressé dans les cas suivants : i) les renseignements recueillis, utilisés ou communiqués sont sensibles; ii) la collecte,
l’utilisation ou la communication de l’information ne répond pas aux attentes raisonnables de l’intéressé; iii) la collecte, l’utilisation ou la communication de l’information crée un risque résiduel important de préjudice grave. » (par. 38).

En l’espèce, les données recueillies étaient des données biométriques, qui sont considérées comme étant sensibles dans presque tous les cas puisque intrinsèquement liés à la personne. Notant qu’il peut tout de même exister des degrés de sensibilité différents au sein de ce type de données, les Commissariats concluent que les renseignements
biométriques faciaux sont particulièrement sensibles.

Ensuite, les Commissariats se sont intéressés à l’argument de Clearview AI voulant qu’elle n’avait pas à demander de consentement puisque ces images étaient des renseignements auxquels le public a accès. Ils ont conclu que les renseignements provenant de sites web publics  puis utilisés à des fins non connexes ne bénéficient pas des exceptions prévues aux Lois applicables concernant les renseignements auxquels le public a accès.

Concernant la troisième question, les Commissariats ont conclu que l’objectif de la collecte, de l’utilisation et de la communication des renseignements personnels par Clearview AI n’était ni approprié ni légitime. En effet, l’identification et la surveillance de masse d’individus par une entité privée dans le cadre d’une activité commerciale ne
saurait être considérée acceptable, raisonnable ou légitime par une personne raisonnable selon les Lois, d’autant plus qu’elles sont sans rapport avec les fins pour lesquelles les images ont été publiées à l’origine.

Commentaires

Déjà en 2017, le CPVP soulevait l’inadaptation de la définition de « renseignements auxquels le public a accès » aux nouvelles technologies et invitait le Parlement à étudier attentivement le sujet afin de « trouver un équilibre entre les droits fondamentaux [de] l’individu et ceux de la société ».

Ainsi, malgré que les conclusions des Commissariats aient pu en faire sourciller quelques-uns, et dans l’attente que les notions de « renseignements auxquels le public a accès » et de « publications » soient clarifiées et mises au goût du jour dans la législation, les Commissariats apportent une certaine clarté quant à leur position sur le sujet de la technologie de reconnaissance faciale et nous rappellent l’importance du consentement en matière de renseignements personnels lorsque les fins pour lesquelles ils sont récoltés sont sans rapport avec celles pour lesquelles les renseignements personnels ont été publiés.

Il est également intéressant de noter qu’en date de rédaction de ce billet, la page web du CPVP sur les défis qu’apporte la biométrie en matière de protection de la vie privée indique que l’orientation du Commissariat au sujet de la biométrie fait l’objet d’une mise à jour en collaboration avec les autorités provinciales de réglementation de la protection de la vie privée.

Pour en apprendre davantage sur les enjeux liés aux technologies de reconnaissance faciale, l’article « Souriez, vous êtes identifiés! » de la parution de février 2020 de l’ExtraJudiciaire en fait un survol.

Le texte intégral du Rapport de conclusions d’enquête est disponible ici.

Le droit entourant les technologies de l’information vous intéresse? Les 25 et 26 mars prochains, joignez-vous à plus
de 300 professionnels partageant votre passion pour le droit et la technologie.
Cliquez ici pour vous inscrire à la 14e édition de la Conférence Legal.IT, une des plus importantes conférences au Canada sur l’impact des TI et leur potentiel sur le droit, organisée par le Jeune Barreau de Montréal.

Les chroniques du CTI sont rédigées par un ou plusieurs membres du Comité Technologies de l’information (CTI)
dans le but de susciter les discussions et de soulever les réflexions au sein de la communauté juridique à propos des nouvelles technologies et le droit. Les auteurs sont donc seuls responsables du contenu des articles et l’opinion qui y est véhiculée n’est pas celle du JBM, mais bien celle des auteurs. Si vous désirez rédiger une chronique, envoyez
un courriel au cti@ajbm.qc.ca.


[i] La Loi sur la protection des renseignements personnels et les documents électroniques (Canada), la Personal
Information Protection Act
(Alberta), la Personal Information Protection Act (Colombie-Britannique), la Loi sur la protection des renseignements personnels dans le secteur privé (Québec) et la Loi concernant le cadre juridique des technologies de l’information (Québec).

Commentaires (0)

L’équipe du Blogue vous encourage à partager avec nous et nos lecteurs vos commentaires et impressions afin d’alimenter les discussions sur le Blogue. Par ailleurs, prenez note du fait qu’aucun commentaire ne sera publié avant d’avoir été approuvé par un modérateur et que l’équipe du Blogue se réserve l’entière discrétion de ne pas publier tout commentaire jugé inapproprié.

Laisser un commentaire