En octobre 2020, les commissaires à la protection de la vie privée du Canada, de l'Alberta et de la Colombie-Britannique ont publié leurs conclusions d'enquête et leurs recommandations concernant la collecte d'images vidéo de visiteurs de centres commerciaux au moyen de la technologie d'analyse vidéo anonyme (ou « AVA ») installée à même des bornes d'orientation par une importante société de gestion d'immeubles commerciaux1.

Dans l'ensemble, les commissaires ont conclu que cette technologie était utilisée pour générer et conserver des données démographiques des visiteurs, comme leur âge et leur sexe, ainsi que des renseignements biométriques, à savoir des représentations numériques uniques de caractéristiques faciales qui pourraient théoriquement être utilisées à des fins de reconnaissance faciale, et ce, sans consentement valable. Ce rapport d'enquête a été précédé d'une décision similaire rendue en mai 2020 par la Commission d'accès à l'information qui s'est dite préoccupée par la « faible acceptabilité sociale » de la technologie et qui a remis en question, sans toutefois se positionner sur la conformité de l'AVA par rapport à la législation provinciale en matière de protection de la vie privée, la « proportionnalité » globale de la collecte et de l'utilisation d'images vidéo à des fins de marketing par la technologie AVA2.

Dans la foulée de ces décisions et de la couverture médiatique négative qui s'en est suivie, de nombreuses organisations du domaine de la publicité et du commerce de détail ont craint pour l'avenir de la technologie AVA au Canada. Or, sans constituer une conclusion définitive, le présent bulletin présente quelques recommandations pratiques qui constituent des pistes de solution pour les organisations souhaitant utiliser cette technologie dans des lieux publics, comme des centres commerciaux, des magasins de vente au détail, des musées et autres, à des fins commerciales, notamment pour de la publicité, pour planifier la gestion des ressources et pour produire des statistiques. Bien que nous soyons convaincus qu'il existe une voie de passage pour l'utilisation commerciale de l'AVA, cette technologie soulève deux défis majeurs du point de vue du respect de la vie privée à court terme :

les préoccupations liées à l'acceptation sociale découlant de la nouveauté de l'AVA lorsqu'elle est déployée dans des lieux publics ; et la stigmatisation liée au fait que les médias et les organismes de réglementation confondent la détection faciale avec les technologies de reconnaissance faciale véritablement intrusives.

Les organisations devront relever ces défis en parallèle afin d'apaiser les inquiétudes liées à la protection de la vie privée et minimiser les risques juridiques liés à l'utilisation de cette technologie. À cette fin, les organisations doivent s'attendre à consacrer du temps et des ressources supplémentaires aux éléments suivants :

Sensibiliser le public à l'égard de l'AVA, à son fonctionnement, au type de données recueillies, à quelles fins et à l'utilité de cette technologie, en veillant particulièrement à distinguer l'AVA d'autres types de technologies plus intrusives, comme la reconnaissance faciale ; et

Renforcer la confiance à l'égard de l'AVA par une transparence accrue et un engagement créatif avec les parties prenantes grâce à un plan de communication et de sensibilisation à plusieurs volets, comprenant notamment un affichage clair et bien visible dans les zones où la technologie AVA est installée.

Qu'est-ce que l'analyse vidéo anonyme ?

L'analyse vidéo anonyme (AVA) décrit un type de technologie qui collecte des images vidéo à l'aide de capteurs de caméra (souvent, mais pas toujours, intégrés à des écrans numériques) pour détecter la présence d'un visage humain. Elle permet ensuite d'inférer des données démographiques et comportementales limitées sur un groupe (c'est-à-dire les personnes qui entrent dans le champ de vision de la caméra) à l'aide d'algorithmes de comparaison de caractéristiques faciales. Il peut s'agir, par exemple, de données sur le nombre d'individus qui visitent une zone pendant une période donnée (c'est-à-dire le taux de fréquentation), l'âge et le sexe approximatifs des visiteurs, le temps passé à regarder l'affichage numérique. La technologie fournit même une estimation grossière de l'humeur du public. Pensez à une sorte d'humeur-ô-mètre permettant d'indiquer si une personne semble heureuse, malheureuse ou indifférente par rapport au contenu qui lui est présenté. Contrairement à la technologie décrite dans le Rapport de conclusions d'enquête en vertu de la LPRPDE no 2020-004, l'AVA s'effectue normalement sans identifier une personne, sans générer aucun type de signature faciale ou sans générer d'autres informations qui pourraient être associées à une personne physique identifiable - d'où le terme « anonyme ». Une fois les données démographiques et comportementales générées, les images sont automatiquement et définitivement supprimées de la mémoire du système. Ce processus se produit généralement en l'espace d'une fraction de seconde. Ensuite, les données restantes sont agrégées sous la forme de segments de temps prédéterminés (par exemple, des segments de 15 minutes) afin d'obtenir de l'information pertinente sur l'échantillon de l'audience.

Pourquoi l'analyse vidéo anonyme est-elle utile et légitime ?

Les données générées par l'AVA peuvent être utilisées à diverses fins. Le plus souvent, la technologie est utilisée dans des lieux publics, tels que les centres commerciaux et les transports en commun, afin de :

Mesurer l'engagement et l'intérêt des visiteurs afin d'améliorer l'affichage et la signalisation numériques ;

Mesurer les données démographiques des visiteurs, comme leur âge et leur sexe, afin de justifier la valeur de l'espace publicitaire et planifier leur allocation ;

Prévoir les tendances et les habitudes de circulation dans les espaces publics, tels que les centres commerciaux et les transports en commun, afin d'améliorer l'affectation et la gestion des ressources ;

Améliorer les mesures de santé et de sécurité.

De tels objectifs sont souvent justifiés d'un point de vue commercial, économique et de santé publique, et les commissaires à la protection de la vie privée au Canada ont généralement été réceptifs à ces arguments. Par exemple, la Commission d'accès à l'information du Québec a expressément reconnu la légitimité de vouloir poursuivre des objectifs de marketing et d'en apprendre davantage sur ses clients3. De même, le commissaire fédéral à la protection de la vie privée a souligné dans des décisions antérieures l'importance, pour les organisations, d'adapter leurs pratiques commerciales de manière à demeurer compétitives4.

Dans le contexte actuel, la technologie AVA est considérée comme un outil précieux et économique pour permettre aux commerces ayant pignon sur rue de rester compétitifs, de créer de nouvelles opportunités de revenus et d'offrir aux clients une expérience d'achat de plus en plus agréable et personnalisée. D'ailleurs, tirer profit de ces nouvelles opportunités s'avère plus nécessaire que jamais à la lumière des changements de comportement des consommateurs et de la concurrence accrue des détaillants en ligne ; facteurs que la pandémie de COVID-19 a fortement accentués. Contrairement aux détaillants en ligne, qui utilisent une variété d'outils pour amasser subtilement de grands volumes de données sur les caractéristiques de leur public cible, les magasins ayant pignon sur rue souffrent d'un manque relatif de données sur leurs consommateurs et font face à plus de difficultés lorsqu'ils souhaitent procéder à une collecte de données en personne. L'AVA est un type de technologie qui peut aider les détaillants traditionnels à rester compétitifs, sans sacrifier la vie privée des individus. Elle le fait en générant des données anonymes et agrégées qui fournissent de l'information sur les intérêts, les préférences et le comportement des clients, ce qui peut être utilisé pour éclairer la prise de décision, maximiser les opportunités de revenus et améliorer l'expérience de magasinage.

Alors que les objectifs poursuivis par les détaillants de magasins ayant pignon sur rue avec l'utilisation de l'AVA sont généralement reconnus comme légitimes et courants dans d'autres formes de médiums publicitaires, les risquent en matière de vie privée soulevés par l'AVA sont peut-être plus apparents que réels. En effet, les images vidéo captées par l'AVA sont supprimées dans les millisecondes qui suivent leur collecte et elles ne sont utilisées que pour générer des données agrégées qui ne peuvent être raisonnablement associées à un individu en particulier (ou donner lieu à une possibilité sérieuse d'identification). Si l'on fait abstraction de la technologie elle-même, il est généralement admis que les individus ont une expectative réduite en matière de vie privée dans les lieux publics, ce qui limite encore davantage l'impact de l'AVA sur la vie privée lorsqu'elle est utilisée dans un tel contexte. Les avantages de cette technologie sont manifestes, plus que potentiellement utiles et les risques sont comparativement limités. De plus, la législation canadienne en matière de protection de la vie privée cherche à établir un équilibre entre le droit à la vie privée des individus et le besoin des organisations en matière de traitement de renseignements personnels. Par conséquent, il nous semble raisonnable dans les circonstances de conclure que l'utilisation de la technologie AVA aux fins susmentionnées peut être justifiée, sous réserve de certaines conditions discutées ci-dessous.

Recommandations clés pour l'utilisation commerciale de l'analyse vidéo anonyme

Afin de limiter les risques juridiques potentiels découlant de la législation canadienne en matière de protection de la vie privée, les organisations commerciales qui recueillent et traitent des images vidéo pour l'utilisation de la technologie AVA dans des lieux publics devraient envisager de mettre en œuvre les recommandations suivantes :

1. Identifiez les finalités de l'utilisation de la technologie AVA par votre organisation et réalisez une évaluation des facteurs relatifs à la vie privée dès le début du projet

Une organisation devrait identifier les fins spécifiques pour lesquelles elle collecte des images vidéo pour l'utilisation de la technologie AVA, et une fois celles-ci identifiées, l'organisation devrait être en mesure de démontrer que ces fins sont raisonnables dans les circonstances. En vertu de la LPRPDE et des lois de protection des renseignements personnels dans le secteur privé essentiellement similaires au Québec, en Alberta et en Colombie-Britannique, le caractère raisonnable d'une fin est évalué en examinant un certain nombre de facteurs contextuels du point de vue d'une personne raisonnable. Bien que ces facteurs varient en fonction de la législation applicable, une organisation doit généralement se poser les questions suivantes avant de décider d'utiliser une technologie comme l'AVA :

La collecte d'images vidéo pour l'utilisation de la technologie AVA est-elle nécessaire pour atteindre un objectif légitime, réel et urgent ?

L'utilisation de la technologie AVA répondra-t-elle efficacement aux besoins de votre organisation ?

L'atteinte à la vie privée est-elle proportionnelle aux avantages procurés par cette technologie ?

Existe-t-il une alternative moins attentatoire sur le plan du droit à la vie privée qui est disponible dans les circonstances et qui permettrait d'atteindre les mêmes objectifs à un coût comparable ?

Les principaux défis soulevés par les commissaires canadiens à la protection de la vie privée concernent l'acceptabilité sociale de la capture d'images vidéo à des fins de marketing ainsi que les attentes raisonnables des consommateurs qui ne sont pas nécessairement familiers avec ce type de technologie. Il est important de garder à l'esprit que ces défis ne sont pas propres à l'AVA, puisqu'ils s'appliquent également à d'autres nouvelles technologies qui impliquent le traitement de renseignements personnels, comme l'intelligence artificielle et la prise de décision algorithmique. Toutefois, la peur de la nouveauté ne saurait devenir un obstacle indu à l'innovation et au développement technologique, puisque cela serait incompatible avec la législation canadienne en matière de protection de la vie privée. Comme nous l'avons mentionné précédemment, cette législation a pour objet d'établir un équilibre entre le droit des individus à la protection de leurs renseignements personnels et le besoin des organisations de recueillir, d'utiliser ou de communiquer ces renseignements.

Dans ces circonstances, une organisation devrait soigneusement élaborer et documenter son plan d'affaires avant de mettre en œuvre la technologie AVA et elle devrait être en mesure de démontrer aux consommateurs et aux commissaires à la protection de la vie privée que cette technologie est minimalement intrusive et véritablement nécessaire afin de poursuivre un objectif légitime, réel et urgent. Pour ce faire, les commissaires canadiens à la protection de la vie privée recommandent généralement de procéder à une évaluation des facteurs relatifs à la vie privée (« EFVP » en abrégé), c'est-à-dire un document qui consigne et évalue la conformité d'une initiative particulière impliquant un traitement de renseignements personnels aux exigences applicables en matière de protection de la vie privée. Essentiellement, cette procédure aide l'organisation à identifier et à atténuer les risques potentiels pour la vie privée dès la conception d'une initiative. En retour, cela permet d'examiner soigneusement la nature, la portée et les objectifs d'une initiative, d'en évaluer le caractère raisonnable et de valider la solidité du plan d'affaires. Si les bénéfices estimés par le plan d'affaires de l'organisation sont relativement faibles par rapport à l'impact que la technologie pourrait avoir sur le droit à la vie privée des consommateurs, l'organisation devrait mettre en œuvre des mesures supplémentaires pour réduire l'impact sur la vie privée à un niveau acceptable, ou sinon, abandonner complètement l'initiative d'AVA. Les recommandations ci-dessous sont des exemples de mesures qu'une organisation peut prendre afin de réduire l'impact de l'utilisation de la technologie AVA sur la vie privée des individus.

2. Effectuez une vérification diligente avant de choisir un fournisseur de technologie AVA et assurez-vous que ce dernier respecte les exigences en matière de protection de la vie privée

Une organisation est responsable des renseignements personnels qu'elle a en sa possession ou sous sa garde, y compris les renseignements qui sont partagés avec un fournisseur de services ou qui sont recueillis par celui-ci. Par conséquent, l'organisation doit s'assurer (généralement par voie contractuelle) que les renseignements bénéficieront d'un niveau de protection comparable lorsqu'ils sont traités par un fournisseur de services. Concrètement, une organisation devrait suivre les étapes suivantes lors de la sélection d'un fournisseur de technologie AVA :

Faites preuve de diligence raisonnable dans votre sélection d'un fournisseur de technologie AVA en vous assurant que la technologie choisie ne conserve pas les images vidéo plus longtemps que nécessaire (idéalement, elle devrait supprimer les images immédiatement après avoir généré les données démographiques et comportementales). Plus important encore, la technologie choisie ne doit pas générer ou conserver des renseignements personnels sensibles, comme des données biométriques (par exemple, une représentation numérique unique des caractéristiques faciales d'une personne) ;

Obtenir un engagement contractuel (communément appelé « entente relative à la protection des données ») de la part du fournisseur de technologie AVA à respecter certaines exigences en matière de protection de la vie privée, notamment des restrictions quant à l'utilisation des renseignements personnels, des mesures de protection organisationnelles, techniques et physiques (par exemple, le cryptage des données en transit et au repos), des limites à la conservation des données et des obligations de notification des incidents de sécurité ; et

Assurez-vous que le fournisseur de technologie AVA respecte ses obligations contractuelles et légales par des audits, des enquêtes et des vérifications périodiques. Les droits d'audit et de vérification de l'organisation doivent être expressément inclus dans l'annexe relative à la protection des données conclue avec le fournisseur.

3. Informez les consommateurs de l'utilisation de la technologie AVA d'une manière plus visible et plus détaillée que l'avis traditionnellement donné pour la vidéosurveillance et engagez-vous de manière proactive avec les parties prenantes

Une organisation devrait élaborer diverses méthodes de communication/notification afin de pouvoir validement invoquer le consentement implicite des consommateurs pour la collecte et l'utilisation d'images vidéo via la technologie AVA. La législation canadienne en matière de protection de la vie privée repose entièrement la notion d'avis et de consentement. Un consentement valide exige qu'une personne soit en mesure de comprendre raisonnablement la nature, le but et les conséquences de la collecte, de l'utilisation ou de la communication de ses renseignements personnels. En outre, selon les Lignes directrices pour l'obtention d'un consentement valable du commissaire fédéral à la protection de la vie privée, le consentement peut être exprimé de façon expresse ou implicite dépendamment de la sensibilité des renseignements traités et des attentes raisonnables de la personne concernée. Considérant qu'un consentement explicite n'est généralement pas requis (ni réalisable) dans le contexte de la vidéosurveillance traditionnelle, le consentement implicite peut être obtenu à condition d'informer adéquatement la personne au moyen d'une signalisation appropriée placée aux entrées et à proximité des zones surveillées, conformément aux Lignes directrices sur la surveillance vidéo au moyen d'appareils non dissimulés dans le secteur privé du commissaire fédéral à la protection de la vie privée. Cependant, la principale différence entre la vidéosurveillance traditionnelle et la technologie AVA réside dans le fait qu'une personne est beaucoup moins susceptible d'être consciente des objectifs pour lesquels les images vidéo sont capturées et utilisées par les caméras intégrées à l'AVA.

Vu l'anxiété du public à l'égard de la surveillance de masse et de la reconnaissance faciale, ainsi que la compréhension plutôt limitée de la société à l'égard du rôle et de la valeur de la technologie AVA, une organisation cherchant à mettre en œuvre cette technologie devrait investir du temps et des ressources supplémentaires pour éduquer le public sur cette technologie de manière à bâtir la confiance et l'acceptation sociale autour de ses objectifs et de son utilisation. Cet exercice implique nécessairement un degré de transparence plus élevé que celui généralement impliqué dans la vidéosurveillance et peut même inclure un engagement ou un marketing proactif pour engager les consommateurs et les autres parties prenantes. En bout de ligne, une organisation qui s'appuie sur le consentement implicite des consommateurs doit être en mesure de démontrer que ceux-ci auraient probablement vu, entendu et/ou lu, et compris la notification avant ou au moment de la collecte de leur image (c'est-à-dire la nature, le but et les conséquences du traitement des renseignements impliqués).

4. Donner aux consommateurs la possibilité d'éviter les zones équipées de la technologie AVA sans empêcher l'accès aux produits ou aux services correspondants

Une organisation devrait éviter d'utiliser la technologie AVA dans les zones qu'une personne doit traverser pour accéder à certains produits ou à certains services. Bien que cela varie en fonction du lieu et de la technologie AVA utilisée, il s'agira probablement de zones telles que les entrées, les sorties et les ascenseurs. De même, si la technologie AVA est intégrée dans des affichages numériques interactifs conçus pour fournir un service spécifique, comme des répertoires d'orientation, une organisation qui s'appuie sur un consentement implicite pourrait également avoir à fournir aux consommateurs une alternative raisonnable pour accéder au service spécifique (ou à un équivalent) sans avoir à être soumis à la technologie AVA.

5. Élaborez une procédure opérationnelle standard pour la mise en œuvre et l'utilisation de la technologie AVA et identifiez les personnes responsables de la conformité de votre organisation aux exigences en matière de protection de la vie privée.

Une organisation doit élaborer une procédure opérationnelle standard qui régit la mise en œuvre et l'utilisation de la technologie AVA. Au minimum, ce document interne devrait fournir des directives concernant les aspects suivants :

Les zones dans lesquelles les affichages auxquels l'AVA est incorporée peuvent ou ne peuvent pas être placés (et la justification associée) ;

Le champ de vision des caméras ;

Les privilèges d'accès et les circonstances (limitées) en vertu desquelles l'accès aux images vidéo peut être accordé à une personne (par exemple, dépannage, soutien technique, etc.) ; et

La ou les personnes responsables de la conformité de l'organisation aux exigences applicables en matière de protection de la vie privée et de la gestion des demandes, des requêtes et des plaintes liées aux pratiques de l'organisation en matière de protection de la vie privée.

Une organisation devrait également fournir aux membres de son personnel, notamment à ceux qui interagissent directement avec la clientèle, une formation appropriée concernant ces procédures afin de s'assurer qu'ils soient en mesure de répondre aux questions de base sur les pratiques de l'organisation en matière de traitement des données et, si nécessaire, qu'ils puissent transmettre les demandes ou les plaintes relatives à la protection de la vie privée à la ou aux personnes appropriées.

6. Mettez à jour la politique de protection de la vie privée de votre organisation, en utilisant un langage clair et simple, afin d'y inclure de l'information sur la collecte d'images vidéo pour l'utilisation de la technologie AVA et les finalités poursuivies

Une organisation devrait mettre à jour sa politique de protection de la vie privée afin d'informer les consommateurs que des images vidéo pourraient être recueillies dans ses établissements pour l'utilisation de la technologie AVA. De plus il doit préciser les fins pour lesquelles cette technologie est utilisée. Une plus grande transparence peut également être requise en ce qui concerne les types de données démographiques et/ou comportementales générées, la manière dont ces renseignements sont utilisés et avec qui ils sont partagés. Étant donné la méconnaissance du public à l'égard des nouvelles technologies, une organisation doit s'efforcer d'utiliser un langage clair et simple, et permettre aux individus d'accéder facilement à l'information pertinente. Par exemple, un code QR pourrait être placé sur la signalisation indiquant l'utilisation de la technologie AVA afin de permettre aux consommateurs d'accéder aux sections de la politique de l'organisation qui traitent de l'utilisation de cette technologie. Ce type d'approche, qui privilégie la présentation de l'information par couches, permet aux consommateurs de contrôler la quantité de détails qu'ils souhaitent recevoir, conformément aux Lignes directrices pour l'obtention d'un consentement valable du commissaire fédéral à la protection de la vie privée.

7. Effectuer un suivi régulier du risque de réidentification afin de garantir que les données générées par la technologie AVA demeurent anonymes

Bien que les données démographiques et comportementales générées par la technologie AVA soient généralement regroupées en segments temporels prédéterminés (par exemple, des segments de 15 minutes) afin de réduire le risque de réidentification, une organisation doit assurer un suivi régulier de ce risque afin de protéger l'identité des consommateurs et maintenir le caractère anonyme des données générées. Par exemple, une organisation doit s'assurer que les données démographiques et comportementales ne peuvent être combinées ou associées à d'autres ensembles de données (par exemple, les images de vidéosurveillance) et doit songer à limiter la quantité (ou la spécificité) des données générées. L'organisation devrait également envisager de combiner ou d'augmenter les segments de temps utilisés pour agréger les données générées lors des périodes où la fréquentation est faible.

8. Effectuer un essai pilote de la technologie AVA afin de veiller à ce que tout problème imprévu soit détecté rapidement et résolu de manière appropriée

Enfin, une fois que les mesures susmentionnées sont en place, l'organisation devrait envisager de faire un contrôle de sa technologie AVA dans certains lieux désignés afin d'identifier les éventuels problèmes liés à la technologie elle-même ou à la manière dont elle est mise en œuvre. Ce type de projet pilote peut comprendre la réalisation d'enquêtes et d'entretiens avec les consommateurs à intervalles fixes afin d'évaluer la justesse des mesures mises en place par l'organisation. Cette approche peut aider à prévenir, ou du moins à atténuer, les problèmes potentiels qui pourraient survenir après le lancement officiel de la technologie AVA à plus grande échelle.

Conclusion

L'utilisation commerciale de la technologie AVA au Canada demeure viable dans le cadre du régime fédéral et des régimes provinciaux actuels en matière de protection de la vie privée. Cependant, dans des décisions récentes, les commissaires canadiens à la protection de la vie privée ont mis l'industrie en garde quant à l'importance de respecter certains principes clés en matière de protection de la vie privée, tels que la détermination des fins, la minimisation des données, la limitation de l'utilisation et de la conservation, la transparence, la responsabilité et le consentement. Bien que le présent bulletin contienne un certain nombre de recommandations relatives à la mise en œuvre de ces principes, la question de la légitimité et de l'acceptabilité sociale de la technologie AVA nécessite un effort concerté pour éduquer et informer le public et établir (ou peut-être plus exactement, rétablir) la confiance.

