Orientations tirées de l’arrêt Cadillac Fairview
Écrit par Ruth Promislow and Stephen Burns
L’utilisation d’un logiciel de reconnaissance faciale par Cadillac Fairview Corporation Limited (CFCL) dans ses centres commerciaux a fait l’objet d’une enquête conjointe du Commissariat à la protection de la vie privée du Canada, du Commissariat à l’information et à la protection de la vie privée de l’Alberta et du Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (collectivement, les commissaires à la protection de la vie privée). Dans la décision rendue le 28 octobre 2020, les commissaires à la protection de la vie privée ont conclu que CFCL avait recueilli et utilisé des renseignements personnels sans consentement valide.
Voici un aperçu des faits clés résumés par les commissaires à la protection de la vie privée dans leur décision conjointe :
- CFCL a conclu un contrat avec une société tierce pour fournir des logiciels et des services de soutien aux directeurs de l’orientation numérique interactive que CFCL a installés dans bon nombre de ses propriétés de vente au détail au Canada.
- Les répertoires d’orientation contenaient tous des caméras derrière une vitre de protection qui n’étaient pas facilement perceptibles.
- La technologie mise en œuvre dans les répertoires:
- a pris des images numériques temporaires des visages de toute personne dans le champ de vision de la caméra dans les répertoires. Ces images n’ont été conservées que pendant quelques millisecondes;
- utilisé un logiciel de reconnaissance faciale pour convertir ces images en représentations numériques biométriques des visages individuels; et
- a utilisé cette information pour évaluer la tranche d’âge et le sexe.
- Sauf pendant la période d’essai et d’étalonnage, aucune image persistante d’une face n’a été conservée.
- La représentation numérique des faces individuelles a été conservée.
- Des autocollants avaient été en place sur les portes d’entrée des centres commerciaux qui dirigeaient les clients vers la politique de confidentialité de CFCL s’ils voulaient plus d’informations sur les pratiques de CFCL. L’autocollant indiquait que les lieux étaient enregistrés sur bande vidéo pour des raisons de « sûreté et de sécurité » et indiquait que la politique de confidentialité était disponible au service à la clientèle.
- La politique de confidentialité était de 5000 mots.
Les commissaires à la protection de la vie privée ont tiré les conclusions suivantes (entre autres) :
- Les images de visages individuels constituent des renseignements personnels. En recueillant des images temporaires des visages, CFCL a recueilli des renseignements personnels.
- L’utilisation des images pour générer des renseignements personnels supplémentaires, y compris la tranche d’âge et le sexe, constituait une utilisation des renseignements personnels.
- La création d’une représentation numérique unique d’un visage particulier (c’est-à-dire des renseignements biométriques) constituait sa propre collecte et utilisation unique de renseignements personnels.
- Les renseignements biométriques sont de nature délicate dans presque toutes les circonstances, car ils sont intrinsèquement et, dans la plupart des cas, de façon permanente, liés à la personne. Les informations biométriques faciales sont particulièrement sensibles car la possession d’un modèle de reconnaissance faciale peut permettre d’identifier une comparaison approfondie individuelle avec des images facilement disponibles.
- Les personnes ne se seraient pas raisonnablement attendues à ce que la collecte de leurs images par une caméra discrète lors d’une recherche dans le répertoire d’un centre commercial, ou que l’image soit utilisée pour créer une représentation biométrique.
- CFCL ne pouvait pas se fier aux autocollants comme étant suffisants pour assurer un consentement adéquat en vertu de la législation sur la protection des renseignements personnels pour les raisons suivantes :
- L’autocollant ne mentionne que les enregistrements vidéo pour la « sûreté et la sécurité » des visiteurs et ne mentionne aucune autre fin.
- Les directeurs de l’orientation se trouvent dans des endroits physiques et la politique de confidentialité était disponible sur le site Web de CFCL ou au service à la clientèle ailleurs dans le centre commercial. Par conséquent, la politique de confidentialité n’était pas facilement accessible aux individus pendant qu’ils s’engageaient avec la carte d’orientation.
- Les personnes n’auraient aucune raison de consulter la politique de confidentialité au moment où elles ont commencé à interagir avec la carte.
- Quoi qu’il en soit, bien que la politique de confidentialité fasse référence à l’utilisation de caméras pour prédire des informations démographiques, les déclarations n’auraient pas permis aux visiteurs du centre commercial de comprendre raisonnablement que pendant qu’ils utilisaient un répertoire de centre commercial:
-
des
- enregistrements vidéo et audio à courte portée ont été pris d’eux pendant la période d’essai et d’étalonnage; et/ou
- que leurs visages étaient détectés, capturés sous forme d’images numériques et transformés en représentations numériques par un logiciel de reconnaissance faciale dans le but de prédire des informations démographiques les concernant, telles que leur tranche d’âge et leur sexe.
- CFCL aurait dû obtenir un consentement explicite et ce consentement aurait dû être obtenu avant que l’image de la personne ne soit saisie.
- Les personnes doivent être informées de toutes les fins auxquelles les renseignements sont recueillis, utilisés et communiqués. Ces fins doivent être décrites dans un langage significatif et ne doivent pas être enfouies dans une politique de confidentialité ou des conditions d’utilisation.
CFCL conteste plusieurs conclusions des commissaires à la protection de la vie privée (résumées ci-dessus) concernant la question du consentement.
Principaux points à retenir
Selon la position des commissaires à la protection de la vie privée, les organisations peuvent s’attendre à être tenues de se voir imposer les normes suivantes :
- Les renseignements biométriques sont des renseignements personnels de nature délicate.
- Afin d’avoir un consentement valide pour la collecte de renseignements personnels, les organisations doivent démontrer que la personne a raisonnablement compris que les renseignements ont été recueillis et les fins précises de la collecte.
- Si la collecte des renseignements n’est pas essentielle pour que l’organisation puisse fournir des biens ou des services, et que les personnes ne comprennent pas raisonnablement que les renseignements en question sont recueillis, les personnes doivent avoir la possibilité d’adhérer à la collecte et à l’utilisation de leurs renseignements.
- Les organisations ne peuvent pas se fier à une clause « enfouie » dans une politique de confidentialité de 5000 mots pour obtenir leur consentement. Les organisations doivent mettre en évidence les termes auxquels une personne ne s’attendrait pas raisonnablement.
Nous recommandons aux organisations de mettre constamment à jour leur évaluation de leurs pratiques en matière de collecte, d’utilisation et de communication de renseignements personnels. Les organisations devraient tenir compte de leurs pratiques en matière d’information à la lumière des décisions des commissaires à la protection de la vie privée et des tribunaux qui continuent d’élucider la portée des obligations imposées aux organisations qui recueillent, utilisent et communiquent des renseignements personnels. Pour plus d’informations sur la conformité réglementaire à la législation sur la protection de la vie privée, veuillez contacter le groupe Bennett Jones Privacy and Data Protection .
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.