L'utilisation des données biométriques en milieu de travail suscite un intérêt croissant de la part des employeurs. En effet, dans son Rapport annuel d'activités et de gestion 2023-2024, la Commission d'accès à l'information (la « CAI ») indique qu'elle a reçu 124 déclarations de collecte de données biométriques, ce qui représente une augmentation de 59 % par rapport à l'année 2022-2023.

Ces technologies, qui incluent des outils recueillant des données telles les empreintes digitales, la forme de la main ainsi que la reconnaissance faciale et vocale, permettent d'améliorer la sécurité et l'efficacité des processus de gestion des ressources humaines. Afin d'encadrer l'utilisation de ces technologies, la législation en vigueur au Québec requiert que les employeurs respectent certaines obligations spécifiques qui visent à protéger la vie privée des employés et démontrent qu'ils poursuivent des objectifs légitimes dans le cadre de l'utilisation de ces technologies.

Les données biométriques, en tant que renseignements personnels sensibles, sont assujetties aux lois sur la protection des renseignements personnels, tant dans le secteur public que privé, quel que soit le but pour lequel elles sont utilisées. Ces données, qui présentent des caractéristiques distinctives et des identifiants uniques, sont considérées comme des renseignements intimes et doivent être traitées avec précaution.

Notification préalable à la Commission d'accès à l'information

L'employeur est tenu d'aviser la CAI au moins 60 jours avant de procéder à une collecte de données biométriques.

Évaluation de la nécessité de la collecte

Par ailleurs, l'employeur doit également évaluer la nécessité de recueillir des renseignements biométriques. En effet, selon la législation applicable, cette collecte doit avoir pour but de résoudre une problématique concrète et poursuivre un objectif légitime, important et réel. Voici quelques questions qui permettent de guider cette réflexion :

Quelle est la raison de la collecte des données biométriques?

Quel est le but de l'utilisation de la biométrie?

Y a-t-il une problématique documentée qui justifie cette collecte?

La simple commodité ou l'aspect pratique de l'utilisation de ces données ne constitue pas, selon la CAI, une justification valable.

Respect de la vie privée des employés

Le risque d'intrusion dans la vie privée des employés doit aussi être considéré. Selon la CAI, l'employeur doit explorer d'autres moyens de résoudre la problématique identifiée sans recourir à la biométrie. Le fait que l'employé consente à la collecte et à l'utilisation de données biométriques ne permet pas à l'employeur d'utiliser ces renseignements en l'absence d'une justification appropriée. Selon la CAI, ce consentement doit aussi être manifeste, exprès, libre, éclairé, spécifique et limité dans le temps. Un autre moyen de collecte doit être mis en place pour les employés qui refusent l'utilisation de la biométrie.

Protection des renseignements et accès des employés

L'employeur a la responsabilité de mettre en place des mesures pour protéger les renseignements biométriques recueillis. Lorsque ces données ne sont plus utiles, elles doivent être détruites de manière sécurisée. Les employés doivent également avoir la possibilité d'accéder à leurs renseignements personnels et de demander des corrections, si nécessaire.

L'utilisation des données biométriques en milieu de travail présente des avantages indéniables pour améliorer la sécurité et l'efficacité au travail. Cette pratique est encadrée par un cadre juridique strict qui vise à protéger les renseignements personnels des employés. En respectant les exigences de notification, en évaluant soigneusement la nécessité de la collecte et en veillant à la protection des données, les employeurs peuvent tirer parti des avantages de la biométrie.

Modification législative

La Loi sur la protection des renseignements personnels dans le secteur privé(la « Loi »), dont les modifications sont entrées en vigueur le 30 mai 2024, autorise les organisations à anonymiser des renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont légitimes. Un renseignement est considéré comme étant anonymisé lorsqu'il est « en tout temps, raisonnable de prévoir dans les circonstances qu'il ne permet plus, de façon irréversible, d'identifier directement ou indirectement » une personne. L'organisation doit anonymiser les renseignements suivant les « meilleures pratiques généralement reconnues » et « selon les critères et modalités déterminés par règlement ».

Par ailleurs, le Règlement sur l'anonymisation des renseignements personnels(le « Règlement »), qui est entré en vigueur le 30 mai 2024, définit les critères et les modalités du processus d'anonymisation des renseignements personnels au Québec. L'article 9 du Règlement, qui introduira des dispositions supplémentaires quant à l'anonymisation des renseignements personnels, prendra effet le 1er janvier 2025. Cet article prévoit que toute organisation qui anonymise des renseignements personnels doit consigner les éléments suivants dans un registre :

une description des renseignements personnels qui ont été anonymisés; les fins pour lesquelles l'organisation entend utiliser ces renseignements anonymisés; les techniques d'anonymisation utilisées; les mesures de protection et de sécurité établies; la date à laquelle l'analyse des risques de réidentification a été complétée ainsi que toute date à laquelle sa mise à jour a été effectuée.

Il ne fait aucun doute que la biométrie gagnera en importance au cours des prochaines années. Les employeurs pourront, à l'intérieur des paramètres prévus aux lois applicables, mettre en place des systèmes qui améliorent réellement la sécurité et l'efficacité au travail.

