Insights Header image
Insights Header image
Insights Header image

Horodateurs biométriques en milieu de travail : mise en garde de la Commission d’accès à l’information du Québec

Mai 24, 2023 Bulletin sur la protection de la vie privée et des données Lecture de 6 min

Les employeurs qui s’intéressent à la biométrie pour faire le suivi des heures des membres de leur personnel au Québec sont invités à la prudence.

Le 27 mars, la Commission d’accès à l’information du Québec (la « Commission » ou la « CAI ») a publié ses observations sur une pratique qui gagne en popularité : la surveillance et la gestion des heures de travail et de la paie au moyen d’horodateurs biométriques. Elle souligne que cette pratique est rarement conforme à la législation en matière de protection de la vie privée.

Les horodateurs biométriques sont des appareils qui servent à identifier la personne salariée et à faire le suivi de ses heures de travail en fonction de renseignements biométriques (p. ex., empreintes digitales ou de paume, visage, iris). Les employeurs considèrent généralement le balayage biométrique comme un moyen rapide et fiable de surveiller le personnel. Contrairement aux cartes et aux codes d’accès, les renseignements biométriques d’une personne salariée ne peuvent pas être oubliés, égarés ou empruntés entre collègues. Or, étant « distinctifs, peu susceptibles de varier dans le temps, difficiles à modifier et en grande partie uniques à la personne[1] », ils sont aussi très sensibles.

Si les organisations veulent atténuer le risque de plainte ou d’amende pour mauvaise utilisation de renseignements biométriques, elles doivent se tenir au fait des exigences de la législation et de la Commission. Le présent bulletin donne des indications sur les lois et les directives de la Commission en ce qui a trait à l’utilisation d’horodateurs biométriques au Québec.

1. Exigences préalables à l’établissement d’une base de données biométriques

Au Québec, la Loi concernant le cadre juridique des technologies de l’information exige que la création d’une banque de caractéristiques ou de mesures biométriques aux fins d’identification ou d’authentification soit divulguée à la Commission au plus tard 60 jours avant sa mise en service. Par conséquent, l’employeur qui compte implanter des horodateurs biométriques doit prévenir la Commission.

Il doit obtenir le consentement de la personne salariée avant la collecte de renseignements biométriques ou la mise en place d’un système biométrique. Ainsi, la Commission a publié un modèle de formulaire de consentement que les employeurs peuvent utiliser et adapter à leurs besoins. Il faut que le formulaire contienne toutes les informations nécessaires et que le consentement soit libre, éclairé, spécifique et limité dans le temps.

Fait important, la Commission considère que même si les personnes salariées donnent leur consentement, l’employeur doit pouvoir démontrer qu’il était nécessaire, au sens de la Loi sur la protection des renseignements personnels dans le secteur privé, d’instaurer et d’utiliser un système collectant des renseignements biométriques. En d’autres mots, l’obtention du consentement ne remplace pas la démonstration de la nécessité.

2. Deux séries de critères permettant de savoir si l’utilisation d’une base de données biométriques respecte les lois applicables

L’objectif poursuivi est-il légitime, important et réel?

Avant de décider d’établir une base de données biométriques, l’organisation concernée doit déterminer si l’objectif poursuivi est légitime, important et réel en se penchant sur les circonstances et les problèmes l’ayant poussée à envisager l’option des horodateurs biométriques.

La Commission a indiqué que les objectifs usuels des gestionnaires (améliorer l’efficacité du traitement de la paie par l’automatisation, utiliser le même système que d’autres unités de l’organisation, éviter la perte ou la détérioration de cartes d’accès magnétiques, etc.) ne revêtaient généralement pas une importance justifiant la collecte de renseignements sensibles de cet ordre. De même, des problèmes potentiels (p. ex., vol de temps) ne satisfont pas à ce premier critère. La Commission s’attendra à des preuves véritables et documentées d’un problème grave que seule la biométrie peut résoudre.

L’organisation qui aura documenté sa démarche pourra, en cas de plainte ou d’enquête de la Commission, prouver sa rigueur et son respect des critères précités.

La collecte est-elle proportionnelle à l’objectif poursuivi?

Si l’organisation conclut au caractère légitime, important et réel de l’objectif poursuivi par le recours à la biométrie, elle doit déterminer si la méthode de collecte et les données visées sont proportionnelles à l’objectif.

La Commission évalue cette proportionnalité en fonction des conditions suivantes :

  1. Les horodateurs biométriques constituent un moyen efficace d’atteindre l’objectif (lien rationnel).
  2. Des moyens moins intrusifs d’atteindre l’objectif ont été envisagés en priorité et, s’il n’en existe pas, la collecte a été réduite au minimum.
  3. Les avantages du recours à un système biométrique l’emportent sur la violation des droits des personnes salariées et les autres conséquences négatives potentielles.

Selon les observations de la Commission, peu d’organisations envisagent des moyens moins intrusifs ou gardent des traces écrites de cette possibilité. Nombre d’employeurs omettent de reconnaître ou d’atténuer l’incidence sur la vie privée des personnes salariées ou collectent plus de renseignements biométriques que nécessaire.

Après avoir rempli les critères de proportionnalité, l’organisation doit respecter le droit qu’ont les personnes salariées de refuser la collecte de leurs renseignements biométriques en leur demandant leur consentement exprès et en proposant un moyen autre que l’horodateur biométrique. Il s’agit d’un élément déterminant du consentement libre d’après le projet de Lignes directrices publié le 16 mai par la Commission.

Quelques cas d’espèce

Deux décisions rendues par la Commission en 2022 illustrent les principes mentionnés plus haut.

Dans une décision visant un hôtel de région[2], des renseignements biométriques servaient à traiter la paie. De l’avis de la Commission, même s’ils étaient convertis en représentation mathématique encodée, les renseignements recueillis au moyen d’horodateurs biométriques conservaient un caractère personnel, parce qu’ils étaient propres à la personne et permettaient de l’identifier.

L’entreprise hôtelière avait mis en place son système biométrique (horodateurs) pour améliorer l’efficacité du traitement de la paie. Elle avait estimé à plus de 400 heures par année les économies réalisées. Convenant que l’objectif était légitime et se rattachait à un problème réel, la Commission a cependant conclu que l’entreprise n’avait pas démontré en quoi cet objectif revêtait un caractère suffisamment important pour justifier la collecte de données biométriques. Elle a précisé que la gestion améliorée du traitement de la paie, un objectif courant et intrinsèque à la gestion de toute entreprise, ne démontrait pas, à elle seule, la nécessité.

La Commission a ajouté que même si l’objectif avait été suffisamment important, l’atteinte à la vie privée n’était pas proportionnelle à cet objectif, vu la nature sensible des données biométriques. Elle a fait remarquer qu’il existait des solutions logicielles de rechange pour automatiser le traitement de la paie sans collecter ce type de renseignements. Par conséquent, elle a ordonné à l’entreprise de cesser la collecte et de détruire les données stockées.

Dans une décision similaire[3], à la suite d’une enquête de la Commission, une entreprise n’a pas démontré en quoi l’atteinte à la vie privée était réduite au minimum et en quoi les avantages des horodateurs biométriques l’emportaient sur la violation importante des droits de personnes salariées. L’entreprise a finalement cessé l’utilisation des horodateurs et détruit toutes les données biométriques recueillies.

3. Conséquences du défaut de se conformer à la loi

Les organisations qui ne respectent pas les exigences de la loi ou les directives de la Commission s’exposent à d’importantes conséquences financières.

Comme l’expliquait notre bulletin Adoption du projet de loi no 64 : modernisation du régime de protection de la vie privée, par suite de modifications apportées par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, la Commission pourra, à compter du 22 septembre, imposer à toute organisation enfreignant les lois applicables des sanctions administratives pécuniaires d’un maximum de 10 000 000 $ ou de 2 % de son chiffre d’affaires mondial. En cas d’infraction grave, les amendes infligées pourront atteindre le plus élevé des montants suivants : 25 000 000 $ ou 4 % du chiffre d’affaires mondial.

Outre ces pénalités, la Commission peut, de son propre chef ou en réponse à une plainte d’un particulier, faire enquête sur une organisation qu’elle soupçonne d’enfreindre la loi. Par ailleurs, les particuliers peuvent désormais intenter une action privée contre une organisation pour des dommages résultant d’une atteinte illicite au droit à la vie privée. Lorsqu’une telle infraction est intentionnelle ou résulte d’une négligence grave, la victime aurait droit à des dommages-intérêts punitifs d’au moins 1 000 $.

  1. Démarches de conformité

En somme, en plus de prévenir la Commission, avant de mettre en place un système de biométrie (p. ex., horodateurs biométriques) au Québec, l’organisation concernée doit absolument :

  • indiquer l’objectif de la mise en place;
  • documenter les situations problématiques que viendrait résoudre la mise en place;
  • analyser la situation et s’assurer que l’objectif défini est réel, légitime et d’une importance justifiant la collecte de renseignements biométriques sensibles;
  • vérifier qu’il n’existe aucun moyen moins intrusif d’atteindre l’objectif (et documenter cette démarche);
  • soupeser les avantages escomptés et les conséquences sur les personnes salariées (p. ex., risque de compromission de leurs renseignements biométriques).

Si l’organisation conclut que la collecte de renseignements biométriques est nécessaire au sens de la loi, elle doit aussi :

  • s’assurer que le système choisi limite autant que possible l’atteinte à la vie privée, s’accompagne de mesures de protection adéquates et satisfait aux autres obligations légales;
  • prévoir une autre méthode pour les personnes salariées qui ne souhaitent pas s’identifier par biométrie.

Comme l’indique la Commission dans son guide d’accompagnement sur la biométrie, une évaluation des facteurs relatifs à la vie privée permet à l’organisation d’étudier rigoureusement les critères précités, documents à l’appui. Dès le 22 septembre 2023, une évaluation des facteurs relatifs à la vie privée deviendra obligatoire pour tout projet d’acquisition, de développement ou de refonte de systèmes d’information ou de prestation de services électroniques impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

McMillan se fera un plaisir de vous conseiller sur vos obligations en vertu du régime québécois de protection de la vie privée.

[1] Voir les Conclusions en vertu de la LPRPDE no 2021-001 – Enquête conjointe sur Clearview AI, Inc. par le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l’information et à la protection de la vie privée de l’Alberta, 2 février 2021, en ligne.
[2] Décision de la Commission d’accès à l’information du Québec, Auberge du lac Sacacomie inc., en ligne.
[3] Décision de la Commission d’accès à l’information du Québec, Enquête à l’égard de Compagnie Selenis Canada, en ligne.

par Alice Ahmad, Ayse Gauthier et Robbie Grant

Mise en garde 

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2023

Perspectives (5 Posts)Voir Plus

Featured Insight

Au revoir CDOR, bonjour CORRA : le dernier mois du taux CDOR et les tendances en matière de prêts CORRA

Le taux CDOR cessera d’être publié après le 28 juin 2024; le taux CORRA est maintenant utilisé dans des conventions de crédit et certaines tendances se dessinent quant à son utilisation.

Lire plus
13 Juin, 2024
Featured Insight

Loin de copier la FARA, le projet de loi sur la transparence et la responsabilité en matière d’influence étrangère renvoie les précisions à plus tard

La proposition visant à établir un registre des agents étrangers au Canada ne reproduit pas les aspects controversés de la FARA, mais laisse le champ ouvert à des règlements et des directives plus détaillés.

Lire plus
6 Juin, 2024
Featured Insight

Anonymisation des renseignements personnels en vertu du droit québécois

Le 15 mai 2024, le Québec a finalement édicté son règlement sur l’anonymisation des renseignements personnels qui établit des lignes directrices précises sur la façon d’effectuer l’anonymisation de manière appropriée.

Lire plus
6 Juin, 2024
Featured Insight

Ce que vous devez savoir au sujet des répercussions réglementaires sur les constructeurs automobiles

Joignez-vous à nous à l’occasion d’un webinaire (offert en anglais) où nous discuterons des points clés sur les mises à jour, les incidences et les modifications apportées au cadre réglementaire que doivent respecter les fabricants d’équipement d’origine (FEO).

Détails
Mercredi 19 juin 2024
Featured Insight

Déchiffrer le projet de loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (Ontario)

Déchiffrer le projet de loi 194 de l’Ontario : Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public. Modifications principales et stratégies de conformité expliquées en détail.

Lire plus
24 Mai, 2024