rapport

Données biométriques Données biométriques

10 juillet 2025 20 MIN DE LECTURE
Télécharger le PDF

Accueil Articles Rapports Revue de la jurisprudence sur la protection de la vie privée d’Osler – Quatrième édition Été – 2025

Auteurs(trice)
Kristian Brabander

Associé, Litiges, Montréal

Robert Carson

Associé, Litiges, Toronto

Tommy Gelbman

Associé, Litiges, Calgary

Jessica Harding

Associée, Litiges, Montréal

Craig Lockwood

Associé, Litiges, Toronto

Julien Morissette

Associé, Litiges et Insolvabilité et restructuration, Montréal

Auteurs(trice)
Kristian Brabander

Associé, Litiges, Montréal

Robert Carson

Associé, Litiges, Toronto

Tommy Gelbman

Associé, Litiges, Calgary

Jessica Harding

Associée, Litiges, Montréal

Craig Lockwood

Associé, Litiges, Toronto

Julien Morissette

Associé, Litiges et Insolvabilité et restructuration, Montréal

Auteurs(trice):
Kristian Brabander, Robert Carson, Tommy Gelbman, Jessica Harding, Craig Lockwood, Julien Morissette

Table des matières

La jurisprudence sur la protection de la vie privée

Lire l’édition complète

Cleaver v. The Cadillac Fairview Corporation Limited, 2025 BCSC 910

Lire les détails de l’affaire

Faits

En 2018, Cadillac Fairview Corporation Limited (Cadillac Fairview) a installé des caméras équipées de la technologie d’analyse vidéo anonyme (le logiciel) fournie par MappedIn Inc. (MappedIn) dans les bornes d’orientation numériques (les bornes d’orientation) de ses centres commerciaux situés dans plusieurs provinces du Canada (les centres commerciaux).

Cadillac Fairview a mené un projet pilote de huit semaines dans le but d’obtenir une estimation du nombre de visiteurs de chaque propriété et de leurs caractéristiques démographiques (âge et sexe) rudimentaires. Elle a désactivé le logiciel en réponse à des informations erronées circulant en ligne suggérant que le logiciel était une technologie de « reconnaissance faciale ». Les données obtenues dans le cadre du projet ont été conservées en toute sécurité par MappedIn sur un serveur hors service. Aucune des défenderesses n’a reçu ou utilisé les données, et les images prises n’ont pas été conservées.

Le Commissaire à la protection de la vie privée du Canada, le Commissaire à l’information et à la protection de la vie privée de l’Alberta et le Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique (collectivement, les commissaires) ont lancé une enquête conjointe afin de déterminer si Cadillac Fairview recueillait et utilisait les renseignements personnels des visiteurs de ses centres commerciaux.

Le 28 octobre 2020, ils ont publié leur rapport concluant que le logiciel créait une représentation numérique unique d’un visage particulier, constituant ainsi une collecte de renseignements biométriques. Étant donné que ces représentations numériques étaient créées à partir d’images captées par les caméras, les commissaires ont estimé que la création de renseignements biométriques à partir de ces images constituait une collecte supplémentaire de données à caractère personnel. Ils ont également conclu que la plainte était résolue, étant donné que le logiciel avait été désactivé et que toutes les données avaient été supprimées.

Les demandeurs, Joshua Cleaver et Curtis Kieres (les demandeurs), ont présenté une demande de certification d’une action collective nationale en vertu de la Class Proceedings Act, R.S.B.C. 1996, c. 50 (CPA) au nom de toutes les « personnes qui ont consulté une borne d’orientation dans un ou plusieurs centres commerciaux pendant les périodes pertinentes et de toutes les personnes, y compris les mineurs, qui les accompagnaient ». Ils alléguaient que Cadillac Fairview avait secrètement exploité les données biométriques de visiteurs qui ne se doutaient de rien dans ses centres commerciaux et que les défenderesses avaient porté atteinte aux droits à la vie privée des membres du groupe proposé en recueillant leurs données personnelles, à savoir les images de leur visage, et en les convertissant en données numériques.

Décision

La Cour a rejeté la possibilité de certifier les demandes pour i) certaines violations alléguées de la loi; ii) intrusion dans l’intimité en Colombie-Britannique et en Alberta; iii) négligence; et iv) violations alléguées de la Charte québécoise.

Elle a conclu que les demandeurs satisfaisaient aux exigences de l’alinéa 4(1)(a) de la CPA en ce qui concerne certaines des causes d’action énoncées dans les actes de procédure, même si elle a conclu qu’il n’y avait aucun « fondement en fait » permettant de conclure que les défenderesses avaient saisi ou stocké des données biométriques ou personnelles.

Elle a toutefois conclu que les demandeurs n’avaient pas établi l’existence d’un groupe identifiable de deux personnes ou plus, condition requise pour certifier une action collective en vertu de l’alinéa 4(1)(b) de la CPA. En effet, il n’existait aucun fondement factuel permettant de démontrer que les membres du groupe pouvaient s’identifier eux-mêmes, ni aucun lien rationnel entre la définition du groupe proposée (qui avait été modifiée à trois reprises) et les questions communes fondamentales, à savoir que l’image du visage d’une personne avait été enregistrée et utilisée pour créer des renseignements biométriques et personnels à son sujet.

La Cour a également jugé que les demandes des membres du groupe ne soulevaient pas de questions communes, autre condition de certification prévue à l’alinéa 4(1)(c) de la CPA. Elle a notamment conclu qu’il n’existait aucun fondement factuel permettant de conclure que des images de visages avaient été enregistrées par les caméras installées dans les bornes d’orientation ou que des données biométriques et personnelles concernant les membres du groupe avaient été créées. Elle a également conclu qu’il n’existait aucun fondement factuel permettant de conclure que les données contenaient des renseignements personnels au sens des lois pertinentes, car aucune personne ne pouvait être identifiée à partir de ces données.

Enfin, la Cour n’était pas convaincue qu’une action collective constituait la procédure préférable pour régler de manière équitable et efficace les questions communes conformément à l’alinéa 4(1)(d) de la CPA. Il est important de noter que l’analyse de la Cour a tenu compte de l’absence de preuve d’un préjudice démontrable, de la conclusion du programme pilote et de la destruction des données.

Point principal à retenir

Le rejet de cette demande de certification souligne les difficultés auxquelles les demandeurs sont confrontés dans le cadre d’actions collectives liées à la protection des renseignements personnels. Cette décision démontre que les demandeurs ne peuvent pas se fonder uniquement sur des constatations et des conclusions réglementaires pour étayer leurs demandes devant les tribunaux, en particulier lorsqu’il n’y a pas de données identifiables qui permettent de rendre personnels les renseignements recueillis, que la collecte présumée des données a pris fin et que les données ont été supprimées.

Doan c. Clearview AI inc., 2024 QCCS 3968

Lire les détails de l’affaire

Faits

La demanderesse, Ha Vi Doan (Mme Doan), a demandé l’autorisation d’exercer une action collective au nom de tous les résidents du Québec dont les images faciales et les renseignements personnels ont été recueillis, utilisés ou communiqués sans leur consentement par la défenderesse, Clearview AI (Clearview).

Clearview a mis au point un algorithme de reconnaissance faciale qui lui permet de créer une empreinte faciale à partir de données biométriques extraites d’une photographie. Son moteur de recherche explore Internet, localise des photos de visages et les classe dans sa base de données en fonction de leurs empreintes faciales respectives. Ce logiciel permet à Clearview d’offrir à ses clients un service capable de rassembler dans un rapport de recherche toutes les images faciales dont les empreintes correspondent à une image donnée et qui sont disponibles sur Internet.

Mme Doan alléguait que Clearview avait violé certains droits fondamentaux des membres du groupe, notamment leur droit à la vie privée, leur droit à la dignité et leur droit de contrôler l’utilisation de leur image. Elle a également allégué que Clearview avait manqué à ses obligations prévues dans les lois applicables à la collecte de renseignements personnels. Clearview a contesté le bien-fondé apparent de certaines des causes d’action invoquées, mais a également fait valoir que les tribunaux québécois n’avaient pas compétence en l’espèce.

Décision

La Cour a statué qu’elle avait compétence pour entendre et trancher l’action collective proposée au nom des résidents du Québec, concluant en outre que l’allégation selon laquelle la collecte de photographies des membres du groupe, leur utilisation pour créer une empreinte faciale et la constitution d’un dossier sur chacun d’eux sans leur consentement constituait une atteinte à la sauvegarde de leur dignité en vertu de l’article 4 de la Charte des droits et libertés de la personne, RLRQ c. C‑12 (Charte québécoise) n’est pas une allégation frivole. La Cour a jugé que cette question méritait d’être analysée sur le fond et a autorisé l’action collective.

La Cour a souligné que la portée du droit de contrôler l’utilisation de son image n’avait pas encore été examinée par les tribunaux dans de telles circonstances. Elle a conclu qu’il n’était pas exagéré de se demander si l’utilisation d’une image pour, entre autres, créer une empreinte faciale pouvait porter atteinte au droit des membres du groupe à contrôler l’utilisation de leur image.

Point principal à retenir

Cette décision met en évidence les préoccupations juridiques croissantes entourant l’utilisation des données biométriques et de la technologie de reconnaissance faciale. Cette affaire, qui va maintenant passer à l’examen sur le fond, sera suivie de près en raison de son potentiel à façonner le paysage juridique dans ce domaine en rapide évolution, notamment en ce qui concerne les droits de la personne et le droit à l’image.

Imprimeries Transcontinental inc., Re, Commission d’accès à l’information du Québec, 1024350-S

Faits

En octobre 2020, le commissaire à l’information et à la protection de la vie privée du Québec, la Commission d’accès à l’information (CAI), a reçu d’Imprimeries Transcontinental inc. (la société) une déclaration l’informant de la création d’une base de données de caractéristiques ou de mesures biométriques (la déclaration).

À l’origine, la déclaration avait pour objet de justifier la mise en place, dans le contexte de la pandémie de COVID-19, d’un système d’authentification (le système) doté de deux fonctionnalités visant à contrôler l’accès aux locaux de la société, à savoir une fonctionnalité de reconnaissance faciale et une fonctionnalité de mesure de la température corporelle. Au moment de la déclaration, l’objectif de la société concernant le système était d’assurer la sécurité de ses employés et de ses locaux.

Étant donné que la fonctionnalité de prise de température du système n’avait pas été utilisée depuis octobre 2022 et que les données générées par celle-ci avaient été détruites, la décision de la CAI ne concerne que la fonctionnalité de reconnaissance faciale du système.

Décision

La CAI a ordonné à la société de cesser de recueillir des données biométriques permettant la reconnaissance faciale, de cesser d’utiliser un système de reconnaissance faciale utilisant des mesures biométriques pour contrôler l’accès à ses locaux et de détruire les modèles créés et les codes de hachage obtenus par la conversion des photos de visages recueillies.

Après avoir conclu que la société est assujettie à la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1 (la Loi sur le secteur privé du Québec), la CAI a estimé qu’une photographie du visage d’une personne et sa codification sous forme de représentation mathématique — qui font toutes deux partie du processus du système — constituent des données personnelles sensibles.

La Loi sur le secteur privé du Québec prévoit que les renseignements personnels ne peuvent être recueillis que s’il existe un intérêt sérieux et légitime. De plus, seuls les renseignements personnels nécessaires aux fins précisées avant la collecte peuvent être recueillis. Pour justifier la nécessité de recueillir ces données, une entreprise doit démontrer le motif légitime, important et réel poursuivi par cette collecte, ainsi que la proportionnalité de l’atteinte à la vie privée par rapport aux fins poursuivies. Une entreprise ne peut déroger à ces exigences, même avec le consentement de la personne concernée.

Tout d’abord, la CAI a estimé que la société avait un motif légitime de garantir la sécurité de ses locaux et de prendre des mesures pour contrôler l’accès à ceux-ci. Toutefois, elle a conclu que la société n’avait pas démontré l’existence de problèmes de sécurité particuliers justifiant une telle collecte de données à caractère personnel.

La CAI a estimé que la société n’avait pas démontré l’importance de l’objectif poursuivi. Le contrôle de l’accès aux locaux d’une entreprise est un objectif courant. Les activités d’une entreprise ou une situation particulière peuvent justifier un niveau de sécurité plus élevé que celui que peuvent offrir les données biométriques, mais rien n’indiquait que tel était le cas en l’espèce. Ensuite, la CAI a conclu que la collecte effectuée par la société n’était pas proportionnelle à l’objectif sous-jacent compte tenu de la nature biométrique et sensible des renseignements personnels en question. En effet, l’atteinte à la vie privée découlant de la collecte des renseignements personnels n’a pas été minimisée. La société n’a pas non plus établi en quoi la collecte des renseignements personnels nécessaires au fonctionnement du système procurait des avantages qui l’emportaient sur le préjudice causé par cette collecte.

Point principal à retenir

Cette décision souligne les normes rigoureuses qui s’appliquent à la collecte et à l’utilisation des données biométriques sous le régime des lois québécoises sur la protection de la vie privée. Les organisations doivent justifier d’un intérêt sérieux et légitime et ne peuvent recueillir que les renseignements personnels nécessaires aux fins déterminées avant la collecte. Elles ne peuvent pas se fonder uniquement sur le consentement pour justifier leurs pratiques.

Cette affaire renforce l’importance de privilégier, dans la mesure du possible, des solutions qui portent moins atteinte à la vie privée.

Granger v. Ontario, 2024 ONSC 6503

Lire les détails de l’affaire

Faits

En 2013, Micky Granger, un travailleur agricole migrant, a été soumis à un prélèvement d’ADN par la Police provinciale de l’Ontario (OPP) dans le cadre d’une enquête sur une agression sexuelle violente. M. Granger et 95 autres travailleurs ont fourni des échantillons d’ADN conformément à ce qu’ils croyaient être un consentement éclairé. Cependant, la police n’a pas fourni de copies des formulaires de consentement, et le Centre des sciences judiciaires (CSJ) a conservé les profils génétiques malgré l’obligation prévue au Code criminel de détruire définitivement ces données si les échantillons ne correspondaient à aucun ADN trouvé sur les lieux d’un crime. M. Granger a allégué que la conservation de son ADN violait ses droits garantis par l’article 8 de la Charte canadienne des droits et libertés (la Charte canadienne) et a donné lieu à une action en responsabilité délictuelle fondée sur l’intrusion dans l’intimité.

Décision

La Cour a conclu que le CSJ n’avait pas respecté l’obligation légale de supprimer définitivement les résultats électroniques des analyses d’ADN une fois qu’il avait été établi que les échantillons ne correspondaient pas. Ce manquement constituait une violation de l’attente raisonnable des plaignants en matière de vie privée, car ils avaient consenti à la collecte de leur ADN en croyant que leurs profils seraient détruits s’ils n’étaient pas retenus comme correspondances. La Cour a ordonné le versement de dommages-intérêts globaux de 1 000 $ par membre du groupe, soit un total d’environ 7 267 000 $ pour violation des droits garantis par la Charte canadienne. La Cour a souligné que les violations étaient graves et justifiaient des dommages-intérêts à titre de réparation et de dissuasion, malgré l’absence de preuve démontrant un préjudice réel résultant de la conservation des profils ADN. Toutefois, la Cour a refusé d’accorder des dommages punitifs, concluant que le CSJ avait agi de bonne foi et n’avait pas eu de comportement malveillant ou imprudent.

Point principal à retenir

Cette décision souligne l’importance du strict respect des obligations légales lors du traitement de renseignements personnels sensibles, comme l’ADN. Le fait que le CSJ n’ait pas supprimé les résultats électroniques comme l’exige la loi a été un facteur déterminant dans la décision de la Cour. Cela met en évidence les risques juridiques auxquels s’exposent les organisations qui ne respectent pas les mesures de protection de la vie privée prévues par la loi, même en l’absence de preuve d’un préjudice réel.

Clearview AI Inc. v. Alberta (Information and Privacy Commissioner), 2025 ABKB 287

Lire les détails de l’affaire

Faits

Clearview AI Inc. (Clearview), une entreprise américaine, a moissonné des milliards d’images sur Internet, y compris sur les réseaux sociaux, afin de constituer une base de données de reconnaissance faciale destinée aux forces de l’ordre. Cette décision fait suite à une enquête conjointe menée par les autorités canadiennes chargées de la protection de la vie privée (Alberta, Colombie-Britannique, Québec et fédérale) sur les pratiques de Clearview en matière de reconnaissance faciale. Elle a été publiée après la décision connexe de la Cour suprême de la Colombie-Britannique dans l’affaire Clearview AI Inc. v. Information and Privacy Commissioner for British Columbia, 2024 BCSC 2311, et est largement conforme à celle-ci sur les points communs.

Le 2 février 2021, les organismes de réglementation ont publié un rapport conjoint dans lequel ils concluaient que Clearview avait enfreint les lois sur la protection des renseignements personnels en moissonnant des milliards d’images sans consentement, en créant des profils biométriques et en commercialisant ses services auprès des forces de l’ordre canadiennes. Ils ont recommandé que Clearview cesse d’offrir son outil de reconnaissance faciale au Canada, mette fin à la collecte et à l’utilisation des données des Canadiens et supprime toutes les données en sa possession.

Le 7 décembre 2021, après que Clearview a refusé d’accepter les recommandations, l’Alberta et son commissaire à l’information et à la protection de la vie privée (le commissaire) ont rendu une ordonnance exécutoire (l’ordonnance) exigeant que Clearview les adopte. Clearview a demandé un contrôle judiciaire, contestant i) la compétence de l’Alberta à son égard en tant que société étrangère; ii) l’interprétation de l’expression renseignements « accessibles au public » au sens de la Personal Information Protection Act, S.A. 2003, c. P-6.5 (PIPA) — qui exempte le consentement pour ces données; et iii) la constitutionnalité de l’ordonnance en vertu de l’alinéa 2b) de la Charte canadienne des droits et libertés (la Charte canadienne), qui garantit le droit à la liberté d’expression.

Clearview a fait valoir ce qui suit : i) le « moissonnage » d’images accessibles au public était légal et comparable aux pratiques de moteurs de recherche tels que Google; ii) l’obligation de consentement prévue par la PIPA était trop large et décourageait l’utilisation légitime des données publiques (p. ex., les moteurs de recherche); et iii) l’ordonnance était inapplicable, car elle ne permettait pas de distinguer les données des Albertains dans sa base de données.

Le commissaire : i) a soutenu que Clearview avait violé les droits à la vie privée des Albertains garantis par la PIPA; ii) a défendu son interprétation de l’expression de renseignements « accessibles au public » afin d’exclure les médias sociaux; et iii) a fait valoir que toute violation des droits garantis par la Charte canadienne était justifiée en vertu de l’article 1, compte tenu de la faible valeur de l’expression commerciale de Clearview par rapport aux atteintes importantes à la vie privée.

Décision

La Cour a déclaré que les articles 12, 17 et 20 de la PIPA, ainsi que la disposition 7(e) du Personal Information Protection Act Regulation, Alta. Reg. 366/2003 (Règlement sur la PIPA), constituait une violation injustifiée de l’alinéa 2b) de la Charte canadienne (liberté d’expression). À titre de réparation, la Cour a supprimé les mots « including, but not limited to, a magazine, book or newspaper » de l’article 7(e) du Règlement sur la PIPA, élargissant ainsi considérablement le sens du terme « publication » pour inclure les renseignements personnels et les images publiés sur Internet (sans paramètres de confidentialité), de sorte que l’utilisation de ces renseignements n’est pas soumise à une obligation de consentement.

Cette décision constitutionnelle n’a pas invalidé l’ordonnance, car la décision selon laquelle l’objectif de Clearview en matière de collecte et d’utilisation des renseignements personnels était déraisonnable restait valable.

Applicabilité de la PIPA à Clearview (compétence)

La Cour a statué que l’Alberta avait compétence sur Clearview en vertu du critère du « lien réel et substantiel ». Clearview avait commercialisé ses services auprès des forces de l’ordre de l’Alberta et avait moissonné des images stockées sur des serveurs situés en Alberta, établissant ainsi des liens suffisants avec la province. Son retrait du Canada au cours de l’enquête n’a pas invalidé la compétence, car l’ordonnance portait à la fois sur le comportement passé et sur le respect futur des obligations.

Interprétation de l’expression « accessible au public »

La Cour a jugé qu’il était raisonnable d’interpréter l’exception « accessible au public » contenue dans la PIPA et le règlement sur la PIPA comme excluant les médias sociaux. La Cour a reconnu que les lois sur la protection des renseignements personnels justifient des exceptions restreintes aux exigences en matière de consentement. De façon plus générale, lorsqu’elle s’est penchée sur les arguments fondés sur la Charte canadienne, la Cour a commenté un principe important de l’interprétation de la PIPA, à savoir que l’énoncé de l’objet de l’article 3 indique que le législateur cherchait à atteindre un équilibre et non à créer un régime où les droits à la vie privée l’emportaient sur tous les autres. Il en résulte que l’objet ne crée pas une approche extensive ou restrictive de l’interprétation.

Violation de l’alinéa 2b) de la Charte

Toutefois, la Cour a jugé que l’obligation de consentement prévue par la PIPA limitait de manière injustifiée la liberté d’expression, en se fondant sur trois considérations principales :

  • Activité d’expression : La Cour a estimé que le moissonnage effectué par Clearview facilitait l’expression (p. ex., les résultats de recherche), et était donc protégé par la Charte canadienne. Elle a expressément rejeté l’argument de l’Alberta selon lequel l’expression n’était pas protégée parce qu’elle était commerciale ou motivée par le profit.
  • Portée excessive : La Cour a estimé que la règle générale du consentement prévue par la loi visait des activités inoffensives (p. ex., l’indexation de données publiques par les moteurs de recherche), restreignant de manière disproportionnée la liberté d’expression légitime.
  • Atteinte minimale : Tout en reconnaissant que la protection de la vie privée était un objectif urgent et important, la Cour a estimé que les moyens prévus par la loi ne constituaient pas une entrave minimale. Pour remédier à cela, la Cour a adapté le recours en élargissant l’exception « accessible au public » pour inclure les publications publiques sur Internet sans protection inhérente de la vie privée.

Caractère raisonnable de l’objectif de Clearview

La conclusion du commissaire selon laquelle l’utilisation par Clearview des images qu’elle avait collectées n’avait pas d’« objet raisonnable » au sens de la PIPA a été confirmée. La Cour a convenu que le moissonnage sans discrimination, le profilage biométrique et la revente commerciale des données ne satisfaisaient pas au critère de caractère raisonnable de la PIPA. L’argument de Clearview selon lequel ses pratiques étaient conformes aux valeurs de la Charte canadienne a été rejeté comme étant hors de propos.

Caractère exécutoire de l’ordonnance

L’ordonnance était exécutoire malgré l’allégation de Clearview selon laquelle elle ne pouvait pas identifier les données spécifiques à l’Alberta. La Cour a rejeté cet argument, le qualifiant de « défense désordonnée », et a fait remarquer que Clearview pouvait se conformer à l’ordonnance en adoptant des mesures similaires à celles prévues dans le cadre du règlement conclu en Illinois. Le processus de conformité itératif du commissaire a également été jugé légal.

Point principal à retenir

La Cour a trouvé un équilibre entre la vie privée et la liberté d’expression : même si l’exigence de consentement trop large de la PIPA concernant la collecte et l’utilisation de renseignements accessibles au public a été jugée inconstitutionnelle, les pratiques spécifiques de Clearview ont été jugées déraisonnables au regard de la PIPA. La décision précise que les lois sur la protection des renseignements personnels ne doivent pas entraver les recherches et l’indexation légitimes sur Internet, mais peuvent cibler adéquatement les utilisations déraisonnables de données à caractère personnel, comme l’utilisation de ces renseignements pour créer une base de données de reconnaissance faciale.

S’abonner

Restez informé

Abonnez-vous aux articles Osler pour rester informé des questions ayant une incidence sur votre entreprise.

S’abonner

Osler est un cabinet d’avocats en droit des affaires de premier plan qui pratique à l’échelle nationale et internationale à partir de bureaux au Canada et à New York. Il compte parmi ses clients des chefs de file du secteur et du monde des affaires dans tous les segments de marché qui en sont à diverses étapes de leur croissance. Notre réputation repose sur notre engagement à l’égard du succès de nos clients, ainsi que sur notre expérience, notre expertise et notre approche coopérative pour lesquels nous sommes reconnus. Nous croyons que notre succès est le reflet de la réussite de nos clients.