Les mesures de sécurité requises pour la conservation dans une banque de données

Comme nous l’avons vu, la mise en service de banques de données biométriques, locales ou centrales, comporte de sérieuses menaces pour la vie privée447_{. Un système}

réunissant des renseignements aussi sensibles et intrinsèques à chaque personne pourrait s’avérer extrêmement attirant et « susciter la convoitise des esprits malveillants »448_{. À cet}

égard, la centralisation des données augmenterait les risques de fuites, de divulgation et de détournement de finalités selon la CAI449_.

Pour cette raison, un débat a lieu sur la nécessité de constituer une banque de données pour stocker les données biométriques. En effet, Roger Clarke croit que la meilleure façon de sécuriser les données biométriques est de carrément interdire la création et l’utilisation de banques de données biométriques450_{. La CAI est aussi d’avis que « [p]lus les données sont}

centralisées, plus les conséquences d’une fuite de renseignements ou d’un accès injustifiés risquent d’être élevées »451_.

Cependant, certains auteurs sont d’avis qu’une banque centralisée de données biométriques présente beaucoup plus d’atouts pour la sécurité des identités et moins de risques de fraude qu’une banque de données locale ou un système d’authentification sur support portable452_{. Selon Jean-René Lecerf, on s’assurerait ainsi qu’un individu n’ait qu’une seule}

446 _{Art. 3 et 5(3), LPRPDE.}

447 _{Voir la section 1.1 du chapitre 2 de la première partie.}

448 _{CAI., « Mémoire concernant l’avant-projet de carte santé au Québec », Mars 2002, p.25.} 449 _Id.

450 _{Roger CLARKE, « Biometrics and Privacy », préc., note 59.}

451 _{CAI, « Mémoire concernant l’avant-projet de carte santé au Québec », préc., note 445, p.25.}

452 _{Jean-René LECERF, préc., note 18 p.64-67. Il ajoute toutefois que les fichiers centraux présentent un point} faible au moment de la délivrance des titres biométriques (enrôlement) et qu’un risque d’usurpation d’identité est possible, tel que nous l’avons vu dans la première partie.

identité et qu’une identité n’est utilisée que par un seul individu » 453_{. Les usurpations et vols}

d’identité seraient alors, selon lui, théoriquement impossibles454_.

Tel qu’abordé précédemment, des organisations ont mis au point des technologies convertissant l’image de la donnée biométrique brute en formule codée, la donnée n’étant ni conservée ni accessible sous sa forme originale dans le logiciel du système. Parmi ces mesures de sécurité, on retrouve le chiffrement biométrique, les données biométriques annulables et les jetons biométriques455_.

Dans l’affaire Syndicat des travailleurs de Mométal (C.S.N.) c. Mométal456_{, le}

représentant de l’employeur affirmait qu’il n’avait pas accès au nombre binaire converti, mais que seule l’entreprise lui ayant vendu la technologie pouvait y avoir accès. L’arbitre a conclu que la preuve avait clairement démontré « que le seul élément enregistré s'avère être le résultat binaire et que celui-ci ne peut être d'aucune utilité pour l'employeur ou tout autre tiers y ayant accès, à moins que le salarié place sa main sur la platine et introduise son numéro d'identification dans le terminal ». L’accès au chiffre binaire dépendait donc de la réidentification du salarié, celui-ci se trouvant à détenir en quelque sorte un certain contrôle sur la disponibilité de ses données.

Sans expliquer les modalités des différentes technologies de sécurité, des techniques de cryptographie symétrique457 _{ou de cryptographie asymétrique}458 _{sont des mesures possibles de}

protection des données. Certains précisent que l’utilisation de la cryptographie à clé publique

453 _Id. 454 _Id.

455 _{Lalita ACHARYA et Tomasz KASPRZYCKI, « La biométrie et son usage par l’État », préc., note 38, p. 10.} 456 _{Syndicat des travailleurs de Mométal (C.S.N.) c. Mométal, préc., note, AZ-01141263.}

457 _{Norme [ANSI] X9.8, American National Standard, « Biometric Information Management and Security »,} 2001, dans Techniques de contrôle d’accès par biométrie, Commission Techniques de Sécurité Physique, Club de la sécurité des systèmes d’information français (CLUSIF), Juin 2003. p. 30. La cryptographie symétrique, ou « à clé secrète », est la « cryptographie dans laquelle la même clé est utilisée pour chiffrer et déchiffrer les données», OQLF, Grand dictionnaire terminologique, 2005.

458 _{La cryptographie asymétrique est la « cryptographie dans laquelle on utilise une paire de clés asymétriques,} une clé publique et la clé privée correspondante, pour chiffrer et déchiffrer les données », OQLF, Grand dictionnaire terminologique, 2005. Id., Les données signées doivent être accompagnées du certificat correspondant aux clés de signature ou d’un moyen de retrouver ce certificat.

rehausserait la sécurité des transactions biométriques459_{. Soulignons que, sans qu’elle ne}

précise de technologie particulière, la Loi de 1997 sur le programme Ontario au travail oblige à ce que « les renseignements biométriques recueillis aux termes de la présente loi soient codés sans délai après leur collecte, que les renseignements biométriques originaux soient détruits après l’encodage et que les renseignements biométriques codés ne soient stockés ou transmis que sous une forme codée et qu’ils soient détruits de la façon prescrite »460_{. Même si}

la législation québécoise ne dispose pas de règle aussi précise, la CAI est d’avis que toutes les données biométriques devraient être chiffrées461_.

Du côté fédéral, le Commissariat à la protection de la vie privée du Canada a indiqué qu’une solution plus protectrice de la vie privée consisterait à extraire certains identificateurs biométriques et à n’enregistrer qu’un « modèle ou un résumé mathématique des renseignements »462_{, ce qui équivaut au chiffrement des données. Elle est d’avis que, de cette}

manière, certains renseignements personnels seraient automatiquement éliminés lors de l’extraction des données et que ceci « diminue la probabilité que les données biométriques soient utilisées à des fins secondaires imprévues »463_.

Selon certaines décisions canadiennes, il appert que cette obligation d’y apporter les mesures de protection appropriées dépasse un certain seuil, à l’effet que les mesures prises ne doivent pas seulement être raisonnables, mais leur efficacité doit être proportionnelle au degré de sensibilité des données464_{. Dans la décision arbitrale Union des routiers, brasseries,}

459 _{Marc LACOURSIÈRE, « La compensation interbancaire à l'ère d'Internet », préc. note 57, p.22. Voir} également Jane Kaufman WINN, « Couriers Without Luggage: Negotiable Instruments and Digital Signatures », (1998) 49, S.C.L. Rev. 739, 763 et 764; A. Michael FROOMKIN, «The Essential Role of Trusted Third Parties in Electronic Commerce», (1996) 75 Oregon L. Rev. 49, 51-53.

460 _{Loi de 1997 sur le programme Ontario au travail, L.O. 1997, ch. 25, Annexe A, art. 75 (6)}

461 _{CAI, « La biométrie au Québec : Les principes d’application pour un choix éclairé », préc., note 358, p.5.} 462 _{CPVPC : <http://www.priv.gc.ca/information/pub/gd_bio_201102_f.cfm>}

463 _{Id. La question de l’anonymisation des données biométriques a déjà été abordée dans la première partie,} voir la section 2.1 du chapitre 1.

464 _{Les auteurs Doré et Charrette sont semblablement du même avis. Voir Raymond DORÉ et François} CHARRETTE, Accès à l'information : loi annotée, jurisprudence, analyse et commentaires, Cowansville, Yvon Blais, 2001.

liqueurs douces et ouvriers de diverses industries, local 1999 et L’Oréal Canada465_{, l’arbitre a}

conclu que les technologies de chiffrement « les plus performantes » devraient être mises en œuvre, et ce, en fonction du degré de sensibilité des données en cause :

« Autrement dit, il ne suffit pas pour les organismes publics, les entreprises et les ordres professionnels assujettis à l’obligation de mettre en place des mesures de sécurité raisonnables pour assurer le caractère confidentiel des renseignements personnels d’avoir des systèmes de sécurité de leurs données informatiques et de leurs dossiers physiques. Ils doivent suivre les développements technologiques pour être à la fine pointe et empêcher les intrusions injustifiées, surtout lorsque les renseignements en cause ont un haut niveau de sensibilité. Les méthodes de chiffrement ou d’encryptage les plus performantes devraient donc être adoptées puisque les fraudeurs sont toujours à l’affût et qu’il sont en mesure de s’introduire dans les systèmes qui sont plus vulnérables, moins sophistiqués et moins avancés d’un point de vue technologique »466_.

À cet égard, la Cour supérieure s’est déjà prononcée sur la nécessité de prendre des mesures de sécurité appropriées dans un contexte de transactions financières :

« [51] […] ce serait placer la barre trop haute que d'exiger, en l'instance, que BMO ait été munie de cette technologie en 2005. Mais à l'aube d'une économie instable, d'une période de resserrement du crédit et de difficultés financières, ne serait-il pas approprié que le plus haut niveau de sécurité protège les transactions électroniques faites par les clients des institutions financières? »467_{. [Notre soulignement]}

Mentionnons toutefois que des experts ont déjà soulevé la fragilité de la cryptographie au-delà de cinq ans468_{. Comme le mentionne le Professeur Vermeys, une mise à jour constante}

des technologies de sécurité est nécessaire, afin que celles mises en place ne deviennent pas désuètes, et afin d’en protéger les supports et l’intégrité des données469_{. Il souligne cependant}

qu’il existe un risque que les nouvelles technologies ne soient pas aussi sécuritaires qu’elles ne

465 _{Union des routiers, brasseries, liqueurs douces et ouvriers de diverses industries, local 1999 et L’Oréal}

Canada, Tribunal d’arbitrage, AZ-50832524, 6 février 2012. 466 _Id.

467 _{Raphael M’Boutchou c. Banque de Montréal, EYB-2008-150981 (C.S.).}

468 _{Jean-René LECERF, « Rapport d’information au nom de la commission des Lois constitutionnelles, de} législation, du suffrage universel, du Règlement et d’administration générale (1) par la mission d’information (2) sur la nouvelle génération de documents d’identité et la fraude documentaire », no 439, présenté au Sénat, 29 juin 2005.

le prétendent470_{. Des politiques prévoyant l’acquisition, l’application et la mise à jour des}

mesures de protection devraient ainsi être adoptées471_.

D’autre part, nous l’avons vu, l’anonymisation des données est une autre solution envisageable pour la protection de la vie privée472_{. Elle implique que les données soient}

conservées sans qu’aucune autre information permettant d’identifier l’individu ne soit stockée dans le système. Selon Ann Cavoukian, la cryptographie peut être utilisée à cette fin et rehausserait la sécurité, en désidentifiant l’information contenue dans une banque de données :

« Biometric encryption also may be used in a privacy-enhancing capacity to de-identify information contained in a database; that is, to anonymise the information by separating the identity of an individual from their sensitive information »473_.

Ainsi, seule une donnée chiffrée et non-identifiable serait conservée. Selon ce qu’elle avance, l’individu serait donc en contrôle complet de ses renseignements contenus dans la banque de données, puisque l’unique lien possible entre l’identité de la personne et l’information est l’échantillon saisi474_{. Cette mesure semble, a priori, immuniser les données}

biométriques contre tout accès non autorisé et protège contre une utilisation détournée de celles-ci.

De plus, il a déjà été recommandé par plusieurs experts, à titre de normes de gestion des technologies biométriques, que les données soient traitées dans un système fermé et qu’il soit interdit d’effectuer des croisements entre différentes sources475_{. Selon la CAI, « le}

cloisonnement de l'information au sein de plusieurs organismes demeurera toujours la meilleure garantie de confidentialité et l'obstacle le plus approprié pour éviter que l'État ne

470 _Id. 471 _Id.

472 _{Voir la section 2.1 du chapitre 2 de la première partie.}

473 _{Ann CAVOUKIAN, « Consumer Biometric Application », préc., note 60, p.39.}

474 _{« The link between a person’s identity and their information is the finger pattern which scrambles a} computer pointer linking the two. This now places the individual in complete control of the information in his database », Id., p. 39.

475 _{INSTITUT DU NOUVEAU MONDE, « Rapport de la conférence citoyenne sur la biométrie et la} sécurité », préc., note 42, p. 17.

puisse dresser des profils sur les individus ou autrement s'immiscer dans leur vie privée »476_.

Si la création d’une base de données est absolument nécessaire, il sera ainsi préférable qu’elle soit locale plutôt que centralisée477_{. De même, la législation devrait obliger les organisations à}

déclarer tout bris de sécurité dans le traitement des données.

Pour finir, nous partageons l’avis de certains auteurs à l’effet que la CAI devrait disposer d’un pouvoir de surveillance et de contrôle sur les fournisseurs et les employeurs, en approuvant au préalable toute constitution d’une banque de données478 _{ainsi que la mise en}

œuvre de tout dispositif de lecture biométrique. De la sorte, il pourrait être mis en place un système d’octroi de permis, d’accréditation et de vérification de l’utilisation de ces systèmes479

afin d’en assurer un contrôle plus rigoureux. En dernier lieu, les mesures de sécurité devraient pouvoir garantir qu’une duplication ou une réplication des données ne sera pas possible, et ce, afin d’en préserver l'intégrité et la confidentialité. Notons par ailleurs qu’il ne faut pas négliger l’importance d’assurer une sécurité physique des locaux contenant les banques de données biométriques et tous les systèmes associés.

b) La conservation sur un support individuel

Comme nous l’avons vu, l’utilisation d’un support externe, individuel ou portable, pour le traitement et la conservation des données biométriques ne peut avoir lieu que pour l’authentification de l’identité (ou la vérification), puisque l’identification requiert une recherche et une comparaison avec d’autres identités480_{. Précisons toutefois que deux}

situations sont possibles. D’une part, les données contenues sur un support individuel peuvent être traitées en corrélation avec une banque de caractéristiques biométriques481_{. Ceci permet}

de procéder à l’identification dans un premier temps, et à l’authentification dans un deuxième

476 _{Max CHASSÉ, préc., note 37.}

477 _{Voir OFFICE PARLEMENTAIRE D’ÉVALUATION DES CHOIX SCIENTIFIQUES ET} TECHNOLOGIQUES, « La biométrie », préc., note 231, p. 67.

478 _{Voir INSTITUT DU NOUVEAU MONDE, préc., note 42, p.27.} 479 _Id.

480 _{Voir les sections 1.2b) et 1.3 du chapitre 1 de la première partie.} 481 _{Voir Jean-René LECERF, préc., note 18, p.65.}

temps482_{. D’autre part, les données peuvent être conservées sur un support uniquement, sans}

qu’il puisse exister de lien avec une banque de données483_{. Selon la CAI :}

« Cette approche est intéressante dans la mesure où les traitements et les données résident sur le support portable, sont protégés par un mécanisme de sécurité et qu'il n'existe aucune possibilité pour l'organisation qui offre le procédé de capturer autrement l'information contenue sur la carte, pas même pour des fins de sauvegarde en cas de perte. Cette approche pour être sûre aurait avantage à être complétée par une homologation des produits afin de s'assurer qu'aucune donnée n'est capturée à l'insu des utilisateurs »484_.

Il est à noter que, selon ce qui est prévu par la LCCJTI, la CAI ne dispose de pouvoirs qu’en matière de constitution ou d’existence d’une banque de caractéristiques. La CAI ne disposerait donc d’aucune compétence dans le cadre d’un traitement de données enregistrées sur un support portable à des fins d’authentification, sans qu’aucune banque de données ne soit liée à celui-ci485_.

En France, un cadre spécifique comportant des formalités simplifiées a été défini afin d’accorder une autorisation unique pour tout dispositif biométrique répondant à certaines conditions. En fournissant à la CNIL une déclaration simplifiée, des entreprises françaises peuvent requérir à la biométrie si elles s’engagent à respecter lesdites conditions. Cette procédure s’applique aux dispositifs de reconnaissance suivants :

« - du contour de la main pour assurer le contrôle d’accès au restaurant scolaire (autorisation n°AU-009)

- du contour de la main pour assurer le contrôle d’accès et la gestion des horaires et de la restauration sur les lieux de travail (autorisation n°AU-008) ;

- de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée pour contrôler l’accès aux locaux professionnels (autorisation n°AU-007) »486_.

482 _Id.

483 _{Id., p.64; Max CHASSÉ, préc, note 37, p. 33.} 484 _{Max CHASSÉ, préc., note 37, p. 33.}

485 _{Voir art. 44, LCCJTI.}

Les conditions d’éligibilité porteront généralement sur les finalités et les modalités de traitement de l’information, tels que la durée de conservation et les droits d’accès. Par exemple, une des conditions qui doit être remplie pour qu’un organisme soit éligible à une autorisation unique est que le traitement des données « ne [puisse] pas donner lieu à des interconnexions avec d'autres traitements automatisés d'informations nominatives »487_{. Ainsi,}

la CNIL a prescrit certaines normes tendant à favoriser la mise en œuvre de dispositifs biométriques portables. Ce cadre vient également encadrer les principes de proportionnalité et de respect des finalités dans certains contextes prédéfinis488_.

Un des avantages pratiques de la conservation des données sur un support individuel est qu’il permet aux personnes d’exercer un meilleur contrôle sur leurs renseignements personnels, contrairement aux banques de données. En effet, chaque individu détient la garde de ses renseignements et pourra être tenu responsable en cas de perte ou de vol de données contenues sur le support489_.