Biométrie - Réseau Mentorat

Partager l'article sur Facebook

Partager l'article sur Twitter

Partager l'article sur LinkedIn

Partager l'article sur Goole+

Une gracieuseté de

Par Nicolas St-Sauveur, Sarah Leclerc.

La biométrie est généralement définie comme l’ensemble des techniques permettant d’identifier ou d’authentifier un individu à l’aide de certaines caractéristiques lui étant uniques (physiques, comportementales ou biologiques). Ainsi, elle comprend notamment :

les empreintes digitales;
l’iris;
l’empreinte vocale;
l’empreinte faciale (souvent appelée « Face ID » et utilisée par vos employés sur leur cellulaire de travail par exemple).

L’un des avantages inhérents à l’utilisation de la biométrie est sans doute qu’elle permet d’identifier ou d’authentifier un employé de manière presque irréfutable, ses caractéristiques biométriques lui étant uniques. Il s’agit d’un argument de taille afin de sécuriser l’accès à des infrastructures physiques ou technologiques ou d’améliorer le contrôle et la gestion des heures de travail des employés.

Bien que la biométrie semble en apparence une bonne idée, la prudence est de mise surtout dans un contexte de gestion des ressources humaines. Effectivement, non seulement les caractéristiques biométriques sont des renseignements personnels protégés par les lois applicables en la matière, mais elles sont également des renseignements personnels sensibles, notamment en raison de l’expectative de vie privée importante qu’elles génèrent. La compromission des caractéristiques biométriques ou leur utilisation à des fins malveillantes pourraient, par exemple, causer un préjudice grave à l’individu auquel elles appartiennent.

De plus, rappelons que la collecte de renseignements personnels ne peut s’effectuer que si elle est nécessaire. Or, plus les renseignements personnels sont sensibles, plus l’expectative de vie privée est importante et il vous sera conséquemment plus difficile de justifier la nécessité de procéder à la collecte. Il ne suffit donc pas que la collecte des caractéristiques biométriques de vos employés vous soit simplement utile, commode ou efficace. Elle est au contraire tributaire d’une analyse rigoureuse de votre part.

Considérant un recours accru à la biométrie notamment sur les lieux de travail, la Commission d’accès à l’information du Québec (CAI) a récemment publié ses constats quant à l’utilisation d’horodateurs et de pointeuses biométriques où elle réitère les exigences en matière de collecte de caractéristiques biométriques :

L’objectif poursuivi par la collecte doit être important, légitime et réel et lié à une problématique existante au sein de votre entreprise (et non seulement appréhendée comme par exemple l’anticipation du vol de temps ou du vol de marchandises);
La collecte doit être proportionnelle à l’objectif poursuivi. Autrement dit, il ne doit pas exister d’autres moyens moins intrusifs pour la vie privée permettant d’atteindre votre objectif (auquel cas ceux-ci devraient être priorisés). À ce titre, la CAI affirme que la volonté d’une entreprise d’éviter la perte ou le bris des cartes magnétiques d’identification des employés ne justifie généralement pas la collecte de renseignements aussi sensibles. La même conclusion s’impose aux entreprises souhaitant recourir à la biométrie afin d’améliorer leur efficacité interne en automatisant leur système de gestion de la paie ou des heures travaillées ou afin de réduire le risque d’erreurs humaines causé par la saisie manuelle.
Le consentement exprès, libre, éclairé et spécifique des employés doit être obtenu et un moyen alternatif moins intrusif doit leur être offert en cas de refus. Autrement dit, vous ne pouvez pas obliger vos employés à vous fournir leurs caractéristiques biométriques. Notons également que l’obtention d’un consentement ne permet pas de collecter des caractéristiques biométriques si elles ne sont pas nécessaires (ces deux conditions étant cumulatives).

Même si vous jugez que ces exigences sont rencontrées, d’autres mesures de sécurité doivent également être mises en place (par exemple, l’empreinte biométrique ne doit pas être conservée « en clair » et le stockage devrait idéalement être décentralisé et au Canada).

Ainsi, vous devez être prudents avant de conclure que certains avantages liés à l’utilisation d’horodateur biométrique ou à l’identification de vos employés à l’aide d’une empreinte faciale sur leur téléphone cellulaire surpassent les risques pour leur vie privée.

En plus de respecter les exigences précédentes, vous devez divulguer à la CAI votre recours à la biométrie afin d’identifier ou d’authentifier l’un de vos employés. De plus, si vous conservez les caractéristiques biométriques, vous devez le divulguer au plus tard 60 jours avant la mise en service de la banque de données à la CAI qui pourra notamment suspendre ou interdire la mise en service de la banque ou en ordonner la destruction.