Les données biométriques (empreintes digitales, image faciale ou empreinte vocale) sont couramment utilisées dans le commerce de détail, le secteur bancaire et le secteur des voyages, ainsi que pour la sécurité au travail et l’authentification en ligne. Toutefois, contrairement aux mots de passe ou autres renseignements personnels qui peuvent être modifiés fréquemment, les données biométriques sont uniques à chaque personne et difficilement modifiables. Le caractère irréversible des données biométriques soulève d’importantes préoccupations sur le plan de l’éthique et de la protection de la vie privée.

En août 2025, le Commissariat à la protection de la vie privée du Canada (CPVP) a publié un nouveau document d’orientation dans le but de clarifier la manière dont les entreprises assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) doivent traiter les renseignements biométriques.

Dans cet article, nous avons résumé les orientations pratiques contenues dans ce document d’orientation, mis en perspective l’approche du Canada comparativement à celle d’autres pays et indiqué les mesures que les entreprises canadiennes doivent prendre dès maintenant pour se conformer à la loi et protéger la confiance du public.

1. Orientations du CPVP au sujet des données biométriques

Le CPVP part d’un principe simple : toutes les données biométriques, qu’il s’agisse d’images brutes ou de gabarits dérivés, sont des « renseignements personnels sensibles ». Comme ces données sont par nature uniques et majoritairement irréversibles, leur traitement exige une attention supérieure à la normale.

Le CPVP a fourni des orientations sur les sujets suivants :

1. Déterminer l’objectif. Les organisations doivent documenter clairement les raisons pour lesquelles elles utilisent les données biométriques, en s’assurant que les raisons sont précises, nécessaires, peu intrusives et proportionnelles à l’incidence sur la vie privée. Les raisons trop vagues, telles que « renforcer la sécurité », ne sont pas suffisantes. De plus, si une autre solution moins intrusive que la collecte proposée permet raisonnablement d’atteindre les mêmes fins, cette solution doit être retenue. Les organisations doivent indiquer pourquoi les données biométriques sont nécessaires et proportionnelles par rapport aux autres solutions. Le CPVP met en garde contre toute utilisation d’un système biométrique allant au-delà des fins initialement établies.

    2. Consentement. En vertu de la LPRPDE, le consentement doit être volontaire et éclairé (la personne doit comprendre la nature, les fins et les conséquences de la collecte). Il a lieu également de réfléchir à la forme du consentement. S’il s’agit de renseignements sensibles, il convient de demander un consentement explicite plutôt que de se fier à un consentement implicite. Les personnes doivent être informées des données biométriques qui seront recueillies, des raisons de cette collecte, de la durée de conservation, du lieu de stockage, des personnes qui auront accès à ces données, de la manière dont elles peuvent retirer leur consentement ou contester leur utilisation, ainsi que de tout risque concret de préjudice grave. Un nouveau consentement doit être obtenu si la collecte ou l’usage des données biométriques va au-delà du cadre initial. D’autres systèmes devraient également être proposés pour toute collecte, utilisation ou communication non intégrale afin de permettre à toute personne hésitant à utiliser un système biométrique de participer.

    3. Limitation de la collecte, de l’utilisation, de la communication et de la conservation. L’atténuation des données s’applique à la fois à la collecte et à la conservation. Le CPVP recommande de privilégier les systèmes de vérification au lieu des systèmes d’identification et de conservation sur un appareil plutôt que dans une base de données centralisée afin de limiter la quantité de renseignements recueillis et le risque d’atteinte à la vie privée à grande échelle. Seuls les renseignements nécessaires aux fins convenues doivent être recueillis et les renseignements secondaires ne doivent pas faire l’objet de la collecte s’ils ne sont pas nécessaires. De la même manière, les périodes de conservation doivent être limitées aux fins convenues, avec une suppression sécurisée et irréversible (y compris dans les fichiers de sauvegarde) une fois que cette période est terminée. Si d’autres renseignements personnels sont liés à des données biométriques, il convient d’examiner si celles-ci doivent être conservées pendant une période plus courte que les renseignements personnels qui y sont liés.

    4. Mesures de sécurité. Les organisations doivent utiliser des mesures physiques, organisationnelles et techniques à jour pour se protéger contre toute potentielle atteinte à la vie privée. Toute violation touchant des renseignements biométriques pourrait vraisemblablement entraîner un risque réel de préjudice grave et doit être signalée au CPVP.

    5. Exactitude. Les organisations doivent mesurer et surveiller les taux de fausses correspondances et de fausses non-correspondances dans leurs propres conditions de déploiement, et rechercher tout biais démographique dans leurs systèmes. Lorsque les résultats entraînent des conséquences importantes, telles qu’un refus d’accès ou de services financiers, des voies de recours et d’examen par des humains doivent être mises en place. Il est important de tester tout nouveau système biométrique avant son lancement et de surveiller les systèmes existants de manière cohérente afin d’assurer l’exactitude et la cohérence des systèmes.

    6. Responsabilité. En vertu de la LPRPDE, les organisations sont responsables des renseignements personnels qui relèvent d’elles. Afin d’assurer une protection adéquate de ces renseignements, les organisations doivent respecter tous les principes de la LPRPDE, nommer un responsable de la protection des renseignements personnels, mettre en place des politiques et des procédures appropriées et former leurs employés. Lorsque des fournisseurs de biens ou de services participent au traitement des renseignements, le CPVP rappelle aux entreprises que la responsabilité incombe à l’organisation qui a effectué la collecte initiale des renseignements. Les contrats doivent contenir des mesures de protection sur le plan technique et organisationnel, limiter l’utilisation aux fins convenues, inclure des obligations de notification en cas de violation et permettre la surveillance par l’organisation.

    7. Transparence. Les organisations doivent clairement expliquer aux personnes concernées la manière dont leurs renseignements personnels seront traités, notamment en mettant à disposition leur politique de confidentialité détaillée, en décrivant leurs pratiques en matière de conservation et de communication des données et en fournissant les coordonnées de leur responsable de la protection des renseignements personnels. Lorsque des systèmes biométriques sont utilisés pour prendre des décisions automatisées, les organisations doivent être en mesure d’indiquer aux personnes concernées quels renseignements ont été utilisés pour prendre la décision et les raisons qui ont mené à cette décision.

    2. La situation du Canada dans le paysage réglementaire mondial

    Le RGPD de l’Union européenne

    Même si le cadre de la LPRPDE du Canada repose sur certains principes, le document d’orientation du CPVP traite les données biométriques comme des données hautement sensibles, de la même manière que les catégories particulières de données du Règlement général sur la protection des données (le « RGPD ») de l’Union européenne. Dans l’UE, les données biométriques utilisées pour identifier une personne physique de manière unique relèvent de l’article 9, ce qui signifie que le traitement de ces données est interdit à moins que certains fondements juridiques précis ne soient pas respectés, comme le consentement explicite ou l’intérêt public important.

    Le RGPD va plus loin que la LPRPDE en imposant des analyses d’impact relatives à la protection des données pour les traitements des risques élevés, y compris des données biométriques, et en imposant un délai strict de 72 heures pour le signalement de toute violation.

    Le RGPD prévoit des amendes très élevées pouvant atteindre 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial. Les autorités européennes continuent d’appliquer le RGPD, y compris les sanctions financières, en cas de non-respect des règles de protection des données. Même si la LPRPDE n’accorde pas actuellement au CPVP le pouvoir d’imposer des amendes, les organisations canadiennes peuvent faire l’objet d’enquêtes, subir une atteinte à leur réputation et faire l’objet de poursuites devant la Cour fédérale en cas de non-conformité.

    La réglementation au Québec

    La loi québécoise sur la protection des renseignements personnels dans le secteur privé suit une orientation semblable à celle du RGPD. Les entreprises privées du Québec doivent respecter ce qui suit :

    • réaliser une évaluation des facteurs relatifs à la vie privée avant de mettre en place des systèmes biométriques;
    • informer la Commission d’accès à l’information avant de créer une base de données biométriques;
    • obtenir le consentement explicite et proposer une autre méthode d’identification biométrique;
    • respecter des règles strictes en matière de conservation et de destruction des données biométriques.

    Le Québec a également prévu d’importantes sanctions administratives pécuniaires.

    Le contraste des États-Unis

    En comparaison, les États-Unis ne disposent pas d’une loi fédérale exhaustive en matière de protection des données biométriques. La réglementation est fragmentée par État. La Biometric Information Privacy Act (« BIPA ») de l’Illinois est l’une des plus strictes. Elle exige un consentement éclairé par écrit, fixe les règles de conservation et de destruction et, surtout, ouvre la voie à des poursuites privées en dommages-intérêts. D’autres États, comme le Texas et l’État de Washington, ont promulgué des lois semblables, mais qui n’accordent pas le droit d’intenter des poursuites privées, comme c’est le cas de la BIPA.

    3. Priorités actuelles pour les entreprises canadiennes

    Au Canada, la conformité des entreprises commence par la reconnaissance du fait que les projets biométriques ne peuvent pas être greffés aux activités existantes sans une conception réfléchie. Voici quatre mesures concrètes pour les chefs d’entreprise :

    1. Définition de l’objectif. Le point de départ est une déclaration d’intention documentée qui peut résister à l’examen des autorités de réglementation. Les organisations doivent préciser :
    • pourquoi les données biométriques sont nécessaires;
    • en quoi les données biométriques sont proportionnelles au risque qu’elles visent à réduire;
    • pourquoi aucune solution moins intrusive n’est suffisante.

    Évaluez la différence entre les mesures conformes et les mesures non conformes :

    • Exemples de mesures conformes : une institution financière met en place un système d’authentification par les veines de la paume pour les transactions de grande valeur après avoir constaté que cette méthode réduit considérablement les risques de fraude par rapport aux contrôles déjà en place et offre également à ses clients le choix d’authentification par NIP et ne conserve le gabarit que pendant que le compte est ouvert.
    • Exemple de mesures non conformes : une chaîne de magasins installe des caméras de reconnaissance faciale dans tous ses magasins « par mesure de sécurité générale », sans en évaluer la nécessité, sans en informer ses clients, en stockant les images brutes indéfiniment et en utilisant ensuite cette base de données à des fins de marketing ciblé.

    2. Vérification des processus de consentement. Les processus de consentement doivent être passés en revue en tenant compte de l’importance que le CPVP accorde à la clarté et à l’absence de contrainte. Cela veut dire expliquer clairement aux personnes ce qu’il adviendra de leurs renseignements biométriques, s’assurer qu’elles disposent d’une réelle liberté de choix et répondre à celles qui refusent d’accorder leur consentement en leur proposant des solutions non biométriques. Par exemple, un employeur serait conforme s’il autorise, sans les pénaliser, certains de ses employés à utiliser une carte magnétique à la place des terminaux de pointage biométriques à empreintes digitales.

    3. Conception axée sur la protection. Sur le plan technique, l’architecture des systèmes doit privilégier une collecte de données réduite au strict nécessaire. Dans la mesure du possible, privilégier la vérification reposant sur une concordance d’un à un plutôt que des systèmes d’identification et ne stockez localement sur l’appareil de l’utilisateur que des gabarits chiffrés. Effectuer régulièrement des tests pour mesurer la précision et vérifier l’absence de biais démographiques dans les systèmes. Les mesures de sécurité optimales reposent sur des contrôles multiples, notamment le chiffrement, des mesures avancées d’authentification, des registres d’audit détaillés et des mesures physiques de sécurité. Comme l’organisation est responsable des renseignements personnels qui relèvent d’elle, les contrats avec les fournisseurs doivent être rigoureusement révisés afin de respecter les exigences de la LPRPDE et prévoir des clauses détaillées sur les utilisations autorisées, la localisation et le transfert des données, le signalement des violations et la suppression des données après la résiliation du contrat.

    4. Anticipation du pire. Les organisations doivent traiter toute violation touchant des renseignements biométriques comme un préjudice grave, qui nécessite l’activation de protocoles prédéfinis en matière de gestion de la situation, de communication et de relation avec les autorités de réglementation. La formation du personnel, les exercices de simulation de violations et la mise à jour périodique des documents de gouvernance renforceront la préparation. Une entreprise ayant déjà mis en pratique une réponse à une violation biométrique (révocation des gabarits, suspension des services concernés, signalement au CPVP) disposera d’un net avantage par rapport à celle qui réagit seulement après l’incident.

    Points à retenir pour les entreprises

    • Les données biométriques sont considérées comme des renseignements personnels sensibles en vertu de la LPRPDE et nécessitent des mesures de sécurité renforcées.
    • Le consentement doit être explicite, éclairé et volontaire, et des options non biométriques doivent être proposées.
    • Dans le cadre de la limitation de la collecte et de la conservation, privilégier les systèmes de stockage et de vérification sur les appareils.
    • Les contrats avec les fournisseurs doivent prévoir l’imputabilité en vertu de la LPRPDE, ainsi que des mesures de sécurité précises et les obligations à respecter en cas d’atteinte à la vie privée.
    • Les violations de renseignements biométriques présentent un risque élevé et doivent être traitées comme des préjudices graves, qui nécessitent un signalement.

    Conclusion

    Le document d’orientation du CPVP porte sur l’harmonisation des orientations en matière de traitement des renseignements biométriques par rapport à celles en vigueur dans les autres pays ou territoires. De plus, il souligne que les données biométriques sont très sensibles et que, si elles sont mal gérées, elles peuvent exposer les personnes à la fraude, au vol d’identité ou à d’autres préjudices. Les principaux facteurs pour veiller à la conformité des entreprises sont les suivants : n’utiliser les renseignements biométriques que lorsque cela est vraiment nécessaire et réduire au strict minimum la collecte de renseignements personnels. Les clients doivent donner leur consentement de manière volontaire et éclairée et la politique de protection des renseignements personnels de l’organisation doit prévoir, en toute transparence, la collecte, l’utilisation et la communication des données biométriques, ainsi que les mesures de sécurité et de conservation. Les organisations qui négligent ces étapes s’exposent à une atteinte à leur réputation et à une plus grande de surveillance de la part des autorités de réglementation.

    Notre équipe Protection de la vie privée et cybersécurité vous accompagne dans l’analyse de vos mesures de protection des renseignements biométriques, dans la mise à jour de vos processus de consentement et de gouvernance et dans la vérification de votre conformité aux orientations du CPVP dans le respect des exigences de la LPRPDE.