Conclusions d’enquête

Dans un rapport d’enquête conjoint, le Commissariat à la vie privée du Canada et les commissariats à l’information et à la protection de la vie privée de la Colombie-Britannique et de l’Alberta ainsi que la Commission d’accès à l’information du Québec (commissariats) ont conclu que Clearview AI, Inc. (Clearview) avait violé le droit à la vie privée des Canadiens en vertu des lois fédérales et provinciales sur la protection des renseignements personnels en prélevant des milliards d’images de personnes disponibles en ligne pour être continuellement utilisées dans ce qui équivalait à une parade d’identification policière virtuelle. Ils ont conclu que Clearview avait recueilli des renseignements très sensibles à l’insu ou sans le consentement de certaines personnes, et cela, à des fins inappropriées. 

Plusieurs facteurs clés ont été à la base des conclusions des commissariats.

Les données en ligne sont protégées

Le recours massif aux médias sociaux et aux renseignements personnels qui y sont facilement disponibles ajoute une complexité supplémentaire à ce dossier. 

Les lois fédérales et provinciales sur la protection des renseignements personnels comportent une exception aux exigences de consentement en ce qui a trait aux renseignements personnels « accessibles au public ». Bien que Clearview ait fait valoir que les images prélevées étaient « accessibles au public » et exemptées des exigences de consentement, elle a utilisé ces renseignements à des fins non connexes aux fins pour lesquelles les renseignements avaient été initialement publiés et ne pouvait donc pas invoquer une telle exception.

En résumé, le fait que des renseignements personnels soient disponibles en ligne ne signifie pas que ceux-ci puissent être utilisés par n’importe qui à n’importe quelle fin ni qu’obtenir un consentement ne soit pas nécessaire. Les renseignements personnels disponibles en ligne sont toujours protégés par les lois sur la protection des renseignements personnels, sauf si les exigences très précises entourant l’exception concernant les renseignements « auxquels le public a accès » s’appliquent.

La signification de l’exception concernant les renseignements « auxquels le public a accès »

Les circonstances dans lesquelles des renseignements personnels sont « accessibles au public » sont expressément définies dans la législation sur la protection des renseignements personnels. Clearview a soutenu que les règlements d’application devaient être interprétés largement de manière à inclure les blogues publics, les médias sociaux et tout autre site Web public parce qu’ils font partie de la définition d’une « publication » qui est expressément mentionnée ou désignée dans les règlements et parce qu’une interprétation restrictive violerait le droit constitutionnel à la liberté d’expression.

Les commissariats n’étaient pas d’accord. Ils ont conclu que les affirmations de Clearview, si on les amenait à leur conclusion logique, s’appliqueraient à tout le contenu accessible au public sur Internet, indépendamment de la personne ayant rendu les informations disponibles ou de la raison pour laquelle elles avaient été téléchargées en premier lieu. Ils ont aussi conclu que cela saperait le contrôle que les utilisateurs pourraient autrement avoir sur leurs renseignements personnels à la source et que le contrôle était une composante fondamentale de la protection de la vie privée en vertu de la loi. Les renseignements ne sont pas non plus considérés comme ayant « un caractère public en vertu de la loi », ce qui les exempterait de la loi québécoise sur les renseignements personnels dans le secteur privé, et aucune exception de cette nature n’existe pour d’autres données biométriques en vertu de la législation québécoise sur les technologies de l’information.

Enfin, Clearview n’a pas démontré comment son droit constitutionnel à la liberté d’expression avait été violé. Elle n’a pas pu expliquer en quoi ses activités constituaient l’expression d’un message à transmettre en lien avec la recherche de la vérité, la participation au sein de la société ou l’enrichissement ou l’épanouissement personnels, qui sont les types d’expression que le droit constitutionnel à la liberté d’expression vise à protéger. 

Fins de la collecte, de l’utilisation et de la communication des données

Bien que les termes utilisés varient légèrement, la législation fédérale, albertaine et britanno-colombienne en matière de protection des renseignements personnels exige, comme norme minimale, que les fins de la collecte, de l’utilisation ou de la communication soient raisonnables et acceptables dans les circonstances. La législation québécoise exige que l’organisation ait un « intérêt sérieux et légitime » à constituer un dossier sur autrui. 

L’objectif déclaré de Clearview pour la collecte d’images et la création de bases de données biométriques était de fournir un service au personnel des organismes chargés de l’application de la loi et permettre leur utilisation par d’autres personnes au moyen de comptes d’essai. Les commissariats ont conclu qu’une telle mesure représentait l’identification et la surveillance de masse de personnes par une entité privée dans le cadre d’une activité commerciale. Ils ont déterminé que cet objectif n’était pas approprié, raisonnable ou légitime dans les circonstances et, par conséquent, qu’il était contraire aux lois applicables, parce que : 

  • il n’avait aucun rapport avec les fins pour lesquelles les images avaient été publiées à l’origine (par exemple médias sociaux ou réseautage professionnel);
  • il était souvent au détriment de la personne dont les images avaient été recueillies (enquête, poursuites éventuelles, embarras); et 
  • il présentait un risque de préjudice grave à ces personnes (y compris une erreur d’identification ou un risque d’atteinte à la sécurité des données), alors que la grande majorité de ces personnes n’avait jamais été et ne serait jamais impliquée dans un crime ou identifiée comme témoin potentiel. 

Consentement à la collecte, à l’utilisation et à la communication des données

Les commissariats ont également conclu que Clearview n’avait pas obtenu le consentement requis pour la collecte, l’utilisation et la communication de renseignements personnels. Les lignes directrices pour l’obtention d’un consentement valable, telles qu’elles ont été élaborées par les commissariats à la protection de la vie privée canadiens, prévoient qu’en règle générale, les organisations doivent obtenir un consentement explicite lorsque :

  • les renseignements recueillis, utilisés ou communiqués sont sensibles;
  • la collecte, l’utilisation ou la communication de l’information ne répond pas aux attentes raisonnables de l’intéressé; et/ou
  • la collecte, l’utilisation ou la communication de l’information crée un risque résiduel important de préjudice grave. 

En plus de la collecte d’images par Clearview, sa création de nouvelles informations biométriques (sous forme de représentations numériques pour chaque image) constituait une collecte et une utilisation distinctes et supplémentaires de renseignements personnels. Les renseignements biométriques sont sensibles dans presque toutes les circonstances et les renseignements biométriques faciaux sont particulièrement sensibles. De plus, la collecte à cette fin ne répondait pas aux attentes raisonnables des intéressés et créait un risque de préjudice grave. Par conséquent, le consentement explicite était requis. 

Enfin, Clearview a enfreint la législation québécoise en omettant d’obtenir le consentement exprès des personnes concernées et en omettant de divulguer à la Commission sa banque de caractéristiques et de mesures biométriques conformément à la législation québécoise sur les technologies de l’information.

Le défaut d’obtenir un consentement exprès, ou toute forme de consentement, signifiait que la collecte de renseignements personnels était effectuée de manière illégale.

Recommandations

Peu après le début de l’enquête, Clearview a accepté de cesser de fournir ses services sur le marché canadien. En juillet 2020, elle a cessé d’offrir des comptes d’essai à des organisations canadiennes et a mis fin à ses services à son seul abonné canadien restant, la GRC.

Les commissariats ont recommandé que Clearview cesse d’offrir ses services de base de données biométriques à des clients canadiens et confirme qu’elle ne reprendrait pas son offre de fournir des services au Canada à l’avenir, cesse de recueillir des images d’individus au Canada et supprime toutes les images et matrices faciales biométriques précédemment recueillies auprès d’individus au Canada.

Clearview n’était pas d’accord et a formellement rejeté les conclusions et refusé de mettre en œuvre les recommandations. Par conséquent, les commissariats ont indiqué que si Clearview maintenait son refus, ils entendaient chacun entreprendre d’autres actions en vertu de leurs lois respectives afin d’obliger Clearview à respecter la législation canadienne.

Une enquête connexe du Commissariat à la protection de la vie privée du Canada sur l’utilisation par la GRC de la technologie de reconnaissance faciale de Clearview se poursuit.

Points à retenir

Le recours de plus en plus fréquent à la biométrie à diverses fins commerciales et autres a soulevé d’importantes préoccupations non seulement au Canada, mais aussi à l’échelle mondiale. Le Commissariat fédéral, de concert avec ses homologues provinciaux, a publié des lignes directrices à l’intention des organismes chargés de l’application de la loi sur l’utilisation des technologies de reconnaissance faciale; cependant, la mise au point, l’utilisation et la commercialisation de ces technologies par les entreprises restent soumises à un examen minutieux. L’enjeu principal lié aux lignes directrices sera de trouver un juste équilibre entre les impératifs commerciaux des entreprises et les attentes raisonnables des personnes en matière de droit à la vie privée. L’intention manifeste des commissariats d’exiger que Clearview se conforme à leurs recommandations laisse voir que ces questions demeureront d’actualité encore longtemps.



Personnes-ressources

Chef canadien, Technologies et cochef canadien, Cybersécurité et confidentialité des données, Canada
Cochef canadien, Cybersécurité et confidentialité des données, Canada
Avocate-conseil
Associée

Publications récentes

Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...