Les commissaires à la protection de la vie privée publient des résultats de l’enquête sur la reconnaissance faciale de Clearview AI

Le 3 février 2021, les quatre organismes de réglementation de la protection de la vie privée du secteur privé canadien (fédéral, Colombie-Britannique, Québec et Alberta) ont publié leurs conclusions conjointes dans le cadre de l’enquête sur la reconnaissance faciale de Clearview AI.

Le cas d’utilisation de la reconnaissance faciale de Clearview AI semble assez différent des cas d’utilisation typiques de la reconnaissance faciale dans le commerce de détail, qui incluent la dissuasion contre le vol en magasin (voir des exemples de vente au détail – anglais seulement). Cependant, les résultats fournissent toujours des indications applicables aux détaillants qui sont minoritaires au Canada, qui envisagent ou qui ont mis en œuvre la reconnaissance faciale dans leurs commerces et, par conséquent, traversent l’incertitude réglementaire.

Clearview AI a recueilli des milliards d’images faciales et de données associées de particuliers sur Internet, dont de nombreux Canadiens. Les clients des forces de l’ordre et les entités privées pouvaient et ont fait des recherches dans la base de données de Clearview AI pour identifier des personnes. Malgré les arguments de Clearview à l’effet contraire, les commissaires à la protection de la vie privée canadiens ont conclu que la société basée aux États-Unis avait enfreint la loi sur la protection de la vie privée en recueillant les renseignements des Canadiens à leur insu ou sans leur consentement et en les utilisant à des fins inappropriées.

Points clés à retenir pour les détaillants 

1. Les détaillants qui envisagent un logiciel qui traite la biométrie faciale des Canadiens, que ce logiciel soit décrit comme un logiciel de reconnaissance faciale ou autre, doivent savoir qu’un consentement exprès sera probablement nécessaire. Les résultats de Clearview précisent que les informations biométriques faciales sont une forme particulièrement sensible d’informations. Clearview aurait dû obtenir un consentement exprès avant de collecter des images en ligne d’individus au Canada (paragraphes 41-42). Au Québec, un consentement exprès est requis pour l’utilisation de la biométrie. Les entreprises doivent divulguer la création ou l’existence de systèmes biométriques à l’organisme de réglementation de la protection de la vie privée du Québec (paragraphe 104).

2. Si vous êtes un détaillant qui envisage d’utiliser la reconnaissance faciale au Canada, sachez que cela comporte certains risques dans le climat actuel de confidentialité. Évaluez soigneusement vos cas d’utilisation. Envisagez de faire une évaluation des incidences sur la vie privée et de demander l’avis d’un expert pour vous assurer qu’un consentement significatif est obtenu au bon seuil (voir les lignes directrices pour obtenir un consentement significatif) et pour pérenniser vos décisions à la lumière des modifications législatives proposées en matière de protection de la vie privée. Par exemple, si le consentement pour la reconnaissance faciale est généralement exprès, le simple fait d’avertir les clients via l’affichage du magasin que vous utilisez la reconnaissance faciale peut ne pas être suffisant pour satisfaire vos obligations de confidentialité. Les conclusions de l’enquête concluent également que les fins pour lesquelles Clearview a recueilli des données biométriques faciales étaient inappropriées. À l’avenir, cela soulève la question à savoir si d’autres fins de collecte de données biométriques faciales, telles que la prévention des pertes, peuvent également être jugées inappropriées par les régulateurs de la confidentialité. 

3. Les conclusions portent également sur la collecte et l’utilisation d’informations personnelles partagées publiquement par des individus sur Internet, par ex. sur un site Web public ou des profils de médias sociaux accessibles au public. Les résultats indiquent que les informations publiées sur des sites Web publics et des médias sociaux non privés ne sont pas incluses dans les exceptions au consentement en vertu des réglementations existantes qui s’appliquent aux informations accessibles au public (paragraphes 56 à 67). De manière anecdotique, certains services de marketing numérique peuvent utiliser ces informations. Les détaillants peuvent, encore une fois, souhaiter faire preuve de prudence en effectuant une évaluation de l’impact sur la vie privée ou en discutant avec des experts en matière de confidentialité avant d’utiliser de telles techniques, que ce soit en interne ou via des fournisseurs de services. 

Des sanctions pécuniaires élevées en attente dans la réforme canadienne de la protection de la vie privée

Les conclusions de l’enquête sur Clearview AI ont été publiées pendant une période de réforme importante de la législation canadienne sur la protection de la vie privée. Le Canada et le Québec ont tous deux publié des projets de loi pour une réforme complète de la protection de la vie privée. Les deux incluent des sanctions pécuniaires élevées et des amendes, à hauteur de 4% ou 5% du chiffre d’affaires mondial.

Dans le projet de loi fédéral C-11 sur la protection de la vie privée, le non-respect des dispositions sur le consentement est un motif de sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 3% du chiffre d’affaires mondial, selon le montant le plus élevé (articles 93, 94, 13, 14 (1)). Il existe également un droit d’action privé (article 106). Même si le commissaire fédéral à la protection de la vie privée sera habilité à recommander des SAP, une nouvelle autorité de réglementation appelée le Tribunal des données, créée dans le projet de loi C-11, sera habilitée à les administrer. Le fait de ne pas obtenir le consentement pour la reconnaissance faciale pourrait donc, à l’avenir, si le projet de loi C-11 est adopté, entraîner un risque de conséquences financières importantes, ainsi que les conséquences sur la réputation d’un résultat défavorable. 

Voir l’aperçu juridique des résultats de Clearview AI – (anglais seulement)

Les conclusions de l’enquête de Clearview, rapport de conclusions de la LPRPDE no 2021-001