La communication et la transmission

Mentionnons tout de suite que la communication et la transmission sont deux notions distinctes507_{. En effet, selon plusieurs auteurs, « [t]ransmettre un document, c’est l’expédier}

d’un point d’expédition à un point de réception. C’est le faire passer d’un point à l’autre. La transmission s’analyse donc comme une opération technique pouvant éventuellement emporter communication »508_{, alors que la communication implique la consultation du document en}

question. Puisque, pour qu’il y ait communication, il doit nécessairement y avoir une transmission509_{, nous joindrons les deux concepts sous le même titre, en prenant soin de}

mentionner les distinctions légales applicables à chacun en matière de biométrie.

Rappelons que, les données biométriques étant en principe des renseignements personnels, elles ne peuvent être communiquées à des tiers qu’au consentement de l’individu concerné, à moins que la loi ne le prévoie autrement510_{. Cette règle ne semble toutefois pas}

applicable à la transmission des données biométriques, dans la mesure où celles-ci ne sont pas consultées par les tiers, mais uniquement transmises pour être conservées ou retransmises par un intermédiaire. À cet égard, soulignons les propos des auteurs Vincent Gautrais et Pierre Trudel, à l’effet que « [l]a seule circulation des renseignements personnels n’est donc pas systématiquement synonyme de communication, du fait de cette absence de connaissance »511_.

507 _{En effet, « [t]ransmettre n’est pas « communiquer ». Alors que la seconde, nous l’avons vu, réfère à la} connaissance de l’information concernée, la transmission semble impliquer bien davantage le caractère « mécanique » de la connexion entre un point «A» à un point «B». D’ailleurs, la notion de transmission est généralement utilisée dans la Loi sur l’accès et autres lois sur la protection des renseignements personnels dans une perspective qui n’est pas celle de la communication. Plus exactement, les vingt cinq occurrences dans la Loi sur l’accès référant au terme de transmission, ou à une de ses variantes, concernent généralement l’envoi de documents d’une personne à une autre ». Voir Vincent GAUTRAIS et Pierre TRUDEL, « Circulation des renseignements personnels et web 2.0 », Éditions Thémis, 2010.

508 _Id.

509 _{Voir Id., citant Goldman c. R. [1980] 1 R.C.S. 976, par. 994-995.} 510 _{Art. 13, LPRPSP; Art. 59, Loi sur l’accès; Art. 37, C.c.Q.}

511 _{Vincent GAUTRAIS et Pierre TRUDEL, « Circulation des renseignements personnels et web 2.0 », préc.,} note 507.

2.1.1 Les mesures de sécurité applicables lors de la communication et de la transmission

À l’instar de toutes les autres étapes du traitement et de la collecte, l’organisation détenant des données biométriques a l’obligation de mettre en place des mesures de protection adéquates lors de la communication ou de la transmission de celles-ci512_{. De plus, la LCCJTI}

prévoit que des mesures de protection particulières des renseignements confidentiels servant à confirmer l’identité d’une personne doivent être prises lors de la transmission de ceux-ci :

« 40. La personne qui, après vérification, est en mesure de confirmer l'identité d'une personne ou l'identification d'une association, d'une société ou de l'État peut le faire au moyen d'un document, entre autres un certificat, dont l'intégrité est assurée. Ce document peut être transmis sur tout support, mais les renseignements confidentiels qu'il est susceptible de comporter doivent être protégés.

La vérification de l'identité ou de l'identification doit se faire dans le respect de la loi. Elle peut être faite en se référant aux registres prévus au Code civil ou à la Loi sur la publicité légale des entreprises (chapitre P-44.1) et ce, quel que soit le support au moyen duquel elle communique. La vérification de l'identité d'une personne peut aussi être effectuée à partir de caractéristiques, connaissances ou objets qu'elle présente ou possède.

Cette vérification, faite par une personne ou pour elle, peut être effectuée, sur place ou à distance, par constatation directe ou au moyen de documents dont l'intégrité est assurée et qui peuvent être disponibles sur différents supports pour consultation sur place ou à distance. »513 _{[Notre soulignement]}

Cette règle d’applique à tout document émis à la suite de la vérification de l’identité d’une personne au moyen de données biométriques et servant à attester l’identité d’une personne. Cette règle de protection semble s’appliquer tout autant à la transmission qu’aux autres étapes de traitement des renseignements confidentiels En outre, les organisations devant

512 _{Art. 10, LPRPSP; Art. 63.1, Loi sur l’accès; Art. 34, LCCJTI.}

513 _{Art. 40, LCCJTI. Selon certains auteurs, « une identification par l'entremise de la biométrie engendre la} création d'une clé privée. La transmission de cette information chiffrée implique la création d'un certificat d'identité et la nécessité de la présence d'un prestataire de services ». Voir Marc LACOURSIÈRE, « La compensation bancaire à l’ère d’Internet », préc., note 57.

émettre ces types de document doivent prendre les moyens nécessaires pour préserver l’intégrité de ceux-ci514_.

Par ailleurs, notons que la vérification de l’identité peut avoir lieu à distance, au moyen de documents dont l’intégrité doit aussi être garantie. Ceci semble impliquer à la fois la consultation de documents dans une banque de données que sur un support portable. Dans tous les cas, un système servant à faire la vérification de l’identité à distance, au moyen de données biométriques, doit pouvoir assurer l’intégrité du document et des données lors de la transmission ou de la communication de celles-ci.

Dans le même esprit, l’article 41 de la LCCJTI dispose que :

« 41. Quiconque fait valoir, pour preuve de son identité ou de celle d'une autre personne, un document technologique qui présente une caractéristique personnelle, une connaissance particulière ou qui indique que la personne devant être identifiée possède un objet qui lui est propre, est tenu de préserver l'intégrité du document qu'il présente. Un tel document doit en outre être protégé contre l'interception lorsque sa conservation ou sa transmission sur un réseau de communication rend possible l'usurpation de l'identité de la personne visée par ce document. Sa confidentialité doit être protégée, le cas échéant, et sa consultation doit être journalisée. » [Nos soulignements]

Les mesures de protection des données biométriques devront être assez performantes pour empêcher toute interception lors de la transmission de celles-ci - interception qui pourrait rendre possible une usurpation d’identité. L’intégrité du document et sa confidentialité sont notamment visés par cette disposition. Mentionnons que cette règle s’applique si le document est conservé et accessible via un réseau de communication.

Notons que la Loi sur l’accès et la LPRPSP prévoient des exceptions au principe de consentement pour la communication de renseignements personnels dans certaines situations515_{. À supposer que les données biométriques étaient assujetties à ces exceptions,}

514 _{Nous vous renvoyons au site LCCJTI.ca pour une définition précise de la notion d’intégrité en droit des} technologies de l’information : <http://lccjti.ca/definition/integrite/>.

l’organisation ainsi autorisée à communiquer des renseignements personnels devrait, certes, prévoir des mécanismes sécuritaires de communication, tout comme l’organisation qui en fait la demande. Toutefois, il n’est pas clair si ces exceptions sont applicables aux données biométriques, le législateur n’ayant rien précisé à cet égard dans la LCCJTI.