Après de multiples recherches, voici une page résumée de toutes les informations que nous disposons sur la biométrie. Les informations divulguées dans cet article sont des informations que nous avons lues et interprétées des lois et ne constituent en aucun cas un avis juridique. L’équipe de Cassini vous recommande fortement de faire appel à un avocat si vous avez des questions et des incompréhensions. Ce document vise à réunir l’information trouvée dans le but d’informer nos clients sur les impacts de l’utilisation d’une fonctionnalité de reconnaissance faciale ou d'empreinte digitale et à informer les employés des raisons de la collecte, de la protection et de la conservation de leurs données personnelles.
__________________________________________________________________
Fonctionnement du système de reconnaissance faciale
Tout d’abord, le système Minuto fonctionne de la façon suivante : les cinq (5) dernières photos validées d’un employé sont enregistrées dans la base de données, sur le serveur, lors des pointages de l’employé sur l’horodateur. Par la suite, à chaque fois que l’employé va pointer sur la borne, la photo de cet employé sera prise et envoyée au système, qui lui va la comparer avec la série de photos qu’il avait enregistrée lors des derniers pointages. Si cette photo correspond bien à l’employé qui a pointé, elle sera sauvegardée dans le système et remplacera la photo la plus ancienne dans la collection enregistrée dans la base de données. Toutefois, si elle ne correspond pas, une non-conformité sera envoyée au superviseur avec les éléments qui ne sont pas identiques dans les photos.
Le fait que la photo soit prise dans le but d'identifier la personne, cela correspond en effet à une information personnelle. Cela est de même pour les empreintes digitales puisqu’elles sont prises et comparées avec les données existantes dans le but d’identifier la personne.
Obligation des gestionnaires
En tant que gestionnaire d’entreprise, la Loi sur la protection des renseignements personnels dans le secteur privé vous impose certaines obligations. Vous devez, préalablement à la collecte de données biométriques, informer les employés concernés des finalités de la collecte. Vous devez également leur mentionner l’utilisation qui sera faite de leurs renseignements personnels et qui aura accès à ceux-ci. Bien évidemment, vous devez vous assurer de la sécurité des renseignements collectés.
Lorsque vous implantez un système de lecteur de données biométriques :
Vous devez remplir le Formulaire de déclaration d'une banque de caractéristiques ou de mesures biométriques.
Vous devez obtenir le consentement de chaque employé sur la cueillette, l’usage et la conservation de caractéristiques ou de mesures biométriques.
Vous devez également obtenir leur consentement éclairé de la divulgation de leurs données personnelles au superviseur de l’organisation.
Pour trouver un exemple d’un formulaire de consentement à la cueillette, consultez le site suivant : https://www.cai.gouv.qc.ca/protection-renseignements-personnels/sujets-et-domaines-dinteret/biometrie.
Refus de l'employé à la collecte
De plus, l’employé a le droit de refuser la collecte de données personnelles ou de retirer son consentement à celle-ci à tout moment. C’est pourquoi l’équipe de Minuto a développé une mesure de contournement qui rendra la gestion plus simple lors du refus à la collecte. Les gestionnaires peuvent donc continuer d’utiliser Minuto malgré le refus d’un ou de plusieurs employés aux fins de la collecte de données biométriques. Afin de faciliter ce processus, l’employé peut autoriser ce genre de collecte dans sa page profil à même l’application minuto en cochant J’accepte de partager ma biométrie.
Communication des renseignements personnels
Selon l’article 27 de la Loi sur la protection des renseignements personnels dans le secteur privé, toute personne qui exploite une entreprise et détient des renseignements personnels sur celui-ci doit à sa demande lui communiquer ses informations. La personne détenant le dossier qui fait l’objet d’une demande d’accès ou de rectification par la personne concernée doit donner suite à cette demande avec diligence et au plus tard dans les 30 jours de la date de réception de la demande, selon l’article 32 de cette même loi.
Conclusion
Pour conclure l’article, l’équipe de Minuto vous recommande d’aller visiter le site de la commission d’accès à l’information ainsi que leur Guide sur la biométrie qui donne toutes les indications pertinentes au sujet des renseignements personnels et de la conservation de ceux-ci.
Quelques articles pertinents à lire à ce sujet
CHAPITRE C-1.1 LOI CONCERNANT LE CADRE JURIDIQUE DES TECHNOLOGIES DE L’INFORMATION
44. Nul ne peut exiger, sans le consentement exprès de la personne, que la vérification ou la confirmation de son identité soit faite au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques. L’identité de la personne ne peut alors être établie qu’en faisant appel au minimum de caractéristiques ou de mesures permettant de la relier à l’action qu’elle pose et que parmi celles qui ne peuvent être saisies sans qu’elle en ait connaissance.
Tout autre renseignement concernant cette personne et qui pourrait être découvert à partir des caractéristiques ou mesures saisies ne peut servir à fonder une décision à son égard ni être utilisé à quelque autre fin que ce soit. Un tel renseignement ne peut être communiqué qu’à la personne concernée et seulement à sa demande.
Ces caractéristiques ou mesures ainsi que toute note les concernant doivent être détruites lorsque l’objet qui fonde la vérification ou la confirmation d’identité est accompli ou lorsque le motif qui la justifie n’existe plus.
2001, c. 32, a. 44.
45. La création d’une banque de caractéristiques ou de mesures biométriques doit être préalablement divulguée à la Commission d’accès à l’information. De même, doit être divulguée l’existence d’une telle banque qu’elle soit ou ne soit pas en service.
La Commission peut rendre toute ordonnance concernant de telles banques afin d’en déterminer la confection, l’utilisation, la consultation, la communication et la conservation y compris l’archivage ou la destruction des mesures ou caractéristiques prises pour établir l’identité d’une personne.
La Commission peut aussi suspendre ou interdire la mise en service d’une telle banque ou en ordonner la destruction, si celle-ci ne respecte pas ses ordonnances ou si elle porte autrement atteinte au respect de la vie privée.
Source : https://www.canlii.org/fr/qc/legis/lois/rlrq-c-c-1.1/derniere/rlrq-c-c-1.1.html