Projet d'identification faciale

Rapport de l'évaluation des facteurs relatifs à la vie privée

Sommaire

Voici le sommaire de l'évaluation des facteurs relatifs à la vie privée (EFVP) du projet d'identification faciale mis de l'avant par le Bureau des passeports, un organisme d'Affaires étrangères et Commerce international Canada (AEC). Les objectifs de cette évaluation sont de déterminer si le projet soulève des questions ou des risques en matière de vie privée, et dans l'affirmative, de proposer des recommandations sur des mesures d'atténuation.

La mission du Bureau des passeports est de délivrer des documents de voyage sûrs qui sont reconnus par tous les autres pays. Le Bureau délivre trois types de documents de voyage : le passeport, le certificat d'identité et le titre de voyage.

Depuis les événements du 11 septembre 2001, le Bureau des passeports a resserré l'admissibilité de toutes les demandes de documents de voyage canadiens. Parmi les mesures pour resserrer l'admissibilité des demandes, le projet de validation de principe de l'identification faciale a été mis en marche. Ce projet a été mis de l'avant afin d'apprécier la technologie d'identification faciale (IF) qui pourrait être exploitée pour accroître la sécurité des documents de voyage canadiens.

L'objectif du projet de validation de principe de l'identification faciale était de déterminer si un système d'identification faciale était réalisable, à un coût raisonnable et s'il était possible de vérifier la photographie d'un requérant de document de voyage ou son identificateur numérique à l'encontre de ceux qui sont déposées dans des banques de vérification.

Le traitement IF est exécuté par un logiciel IF qui saisit des mesures biométriques d'une image numérique et les convertit au moyen d'un algorithme en un identifiant photobiométrique alphanumérique. Étant donné que les mesures biométriques sont susceptibles de changer en fonction des caractéristiques de la photographie, comme son orientation, l'identifiant alphanumérique peut varier d'une photographie à l'autre.

Pour réaliser une validation de principe de l'IF, on a constitué avec des photographies fournies par des agences participantes un simulacre de base de données autonome renfermant des individus suspects auxquelles on ne peut émettre des documents de voyage. Au surplus, on a produit au Bureau des passeports un simulacre de base de données de demandes de document de voyage calquée sur la base des demandes de ce Bureau, et non reliée à des renseignements personnels ou à de vraies demandes adressées au Bureau des passeports. Ces bases de données ont servi à mettre à l'épreuve des systèmes d'identification faciale de divers fournisseurs. Le logiciel IF a été testé pour savoir si avec une requête simulée sur les bases de données simulées, il parvenait à désigner comme concordances possibles deux images différentes de la même personne. Des opérateurs témoins ont ensuite confirmé les résultats comme étant des paires d'images, soit deux images différentes de la même personne représentée sur ces images. Ensuite, ces images ont été numérotées au hasard pour apprécier le succès du logiciel IF à indiquer une concordance.

L'objectif du projet de validation de principe était de déterminer s'il y a avait une opportunité véritable à exploiter une technologie IF pour conserver ou rehausser l'intégrité des documents de voyage canadiens, en certifiant avec une meilleure garantie l'inadmissibilité d'un individu à des documents de voyage. À la lumière des résultats du projet de validation, le Bureau des passeports a l'intention d'aller de l'avant et de se procurer un système d'identification faciale.

Le système d'identification faciale proposé devrait être mis en oeuvre à la direction de la Sécurité du Bureau des passeports. Les rendus numériques des photographies seront obtenus des ministères sources. Des photographies ou leurs rendus numériques de catégories spécifiques définies d'individus ont été proposées pour être traitées dans le système d'identification faciale. L'EFVP a examiné les catégories proposées et doit émettre une opinion sur le bien-fondé de les inclure dans le déploiement envisagé, et doit faire des recommandations relativement aux avis qui devront être communiqué au public.

Des bases de données d'alerte du système (AS) distinctes conserveront les données obtenues de chaque ministère source.

Le Bureau des passeports crée présentement des rendus numériques des photographies et numérise des demandes de document de voyage pour conservation dans leur système. Ainsi, le Bureau peut imprimer en toute sécurité des photos dans le nouveau livret de passeport plus sécuritaire.

Les rendus numériques des photographies seront convertis en un modèle qui prendra la forme d'une chaîne alphanumérique appelée identifiant photobiométrique qui découlera de l'application du système d'identification faciale. Chaque photographie de nouveau requérant d'un document de voyage verra son identifiant photobiométrique comparé aux identifiants dans la base de données et dans chaque base de données AS. Le système proposera des concordances d'identifiants avec un niveau de tolérance prédéterminé à un opérateur de la direction de la Sécurité. Ensuite, le cas échéant (si l'opérateur confirme que la concordance proposée semble positive), les ministères sources procéderont à une enquête.

Le présent rapport mentionne les risques et les enjeux en matière de renseignements personnels, puis recommande des mesures pour atténuer ces enjeux et ces risques.

1. Autorisation de recueillir et de faire usage de renseignements personnels pour constituer un système d'identification faciale

Le Electronic Privacy Information Center (EPIC) donne la description que voici des enjeux et des risques relatifs à la vie privée que peut soulever la technologie de l'identification faciale :

Sommaire

Les dispositifs qui font usage didentifiants biométriques cherchent à automatiser le processus d'IF en comparant l'information numérisée en temps réel avec un échantillon réel mémorisé numériquement dans une base de données. La technologie a connu plusieurs défauts de jeunesse, mais semble depuis destiner à devenir un incontournable de notre paysage technologique. On relève plusieurs préoccupations en matière de vie privée et de libertés individuelles associées à ces dispositifs, et on doit en débattre avant d'en faire une déploiement à grande échelle. Voici résumées six des sujets de préoccupation.

Sujets de préoccupation
Préoccupation Enjeu sur la vie privée
Stockage Comment les données sont stockées, dans un lieu central ou dans des sites dispersés? Comment les données numérisées devraient-elles être conservées?
Vulnérabilité Quelle est la vulnérabilité des données face au vol ou à un usage malveillant?
Confiance Quelle facteur d'erreur dans le processus d'identification automatique est acceptable? Quelles sont les conséquences des faux positifs et des faux négatifs de la machine?
Authenticité Qu'est-ce qui constitue de l'information authentique? Est-ce que l'information peut être trafiquée?
Liaison Est-ce que l'information saisie par numérisation peut être reliée à d'autres renseignements comme les habitudes de consommation...? Quelles limites devraient être imposées sur l'utilisation privée (contrairement à l'utilisation gouvernementale) d'une telle technologie?
Ubiquité Quelles sont les conséquences que l'on ait une piste électronique de tous nos déplacements si les caméras et d'autres appareils deviennent monnaie courante, qu'on en retrouve à chaque coin de rue et dans tous les moyens de transport?

Même si le but visé au Bureau des passeports par la mise en place d'une technologie d'identification faciale n'est pas de surveiller des personnes dans des lieux publicsNote de bas de page 1 , son utilisation fait apparaître plusieurs risques d'atteinte à la vie privée généralement associés à l'exploitation de la biométrie. Voici des facteurs de risque sur la vie privée :

  • « Détournement de fonction », on veut dire par là l'utilisation dans le futur de la technologie pour des motifs autres que les motifs originaux;
  • Accès par une tierce partie à de l'information que celle-ci rattache à ses propres renseignements et cela sans le consentement de l'intéressé;
  • Conservation centralisée de l'information;
  • Perte de contrôle par des personnes en ce qui concerne l'utilisation et la diffusion de renseignements personnels d'une autre personne.

L'autorisation en vertu de la Loi sur la protection des renseignements personnels de recueillir de l'information de nature privée est décrite dans ces termes dans la Politique du Secrétariat du conseil du trésor (SCT) sur la protection des données et des renseignements personnels :

La Loi prévoit que les seuls renseignements personnels qu'une institution fédérale peut recueillir sont ceux qui ont un lien direct avec l'un de ses programmes ou avec l'une de ses activités et, en vertu de la politique, les institutions doivent exercer des contrôles administratifs afin de s'assurer qu'elles recueillent uniquement les renseignements personnels nécessaires aux programmes et aux activités concernés. Pour ce faire, les institutions doivent avoir une autorisation parlementaire ayant trait à l'activité ou au programme concernés et pouvoir démontrer la nécessité de chaque renseignement personnel recueilli afin d'entreprendre le programme ou l'activité concerné. L'autorisation parlementaire est habituellement donnée par une loi du Parlement ou par un règlement subséquent ou encore par l'approbation des dépenses envisagées qui sont indiquées dans les budgets des dépenses, puis autorisées par une loi portant affectation de crédits.

L'autorisation donnée au Bureau des passeports de recueillir des renseignements personnels au moyen d'un système d'identification faciale, tel qu'il est décrit dans cette EFVP, est déterminée expressément dans le Décret sur les passeports canadiens, ou accordée par prérogative de l'État pour quelques autres aspects du projet.

Ces autorisations accordées au Bureau des passeports ne sont pas harmonisées à un cadre législatif ou réglementaire global du gouvernement qui prescrirait l'utilisation, la divulgation, la conservation et la destruction d'identifiants biométriques. Cependant, le Commissariat à la protection de la vie privée du Canada (CPVP) a proposé un test en quatre parties du bien fondé de l'emploi d'identifiants ou d'une technologie biométrique :

  • Démontrer de manière raisonnable que la mesure envisagée est nécessaire;
  • Elle doit se montrer efficace à réaliser l'activité concernée;
  • L'intrusion dans la vie privée doit être proportionnelle à la sécurité qu'on y gagnera;
  • Une démonstration qu'il n'existe pas de mesure alternative moins intrusive pour atteindre le même but.

Le Bureau des passeports a élaboré une réponse à ce test en quatre parties qui intègre des aspects de ce rapport EFVP.

Une analyse récapitulative (protégée par le procureur du client) de la Charte des droits et des libertés conclut que des autorisations législatives additionnelles doivent être données, pour certains aspects du déploiement proposé, avant d'implanter le projet d'identification faciale exposé dans ce rapport.

Considérant :

  • La nature des risques portant atteinte à la vie privée d'un système d'identification faciale;
  • L'absence d'un cadre législatif ou réglementaire global du gouvernement pour le recours à la technologie biométrique;

le rapport EFPV conclut qu'un cadre législatif à AEC/Bureau des passeports est recommandé.

Sommaire

Recommandation 1a : Que des règlements ou des dispositions législatives soient formulés à l'intention du Bureau des passeports afin de construire un cadre à l'intérieur duquel fonctionnera un système d'identification faciale, et de déterminer des politiques qui formuleront les règles d'utilisation, de divulgation, de conservation, et d'élimination des identifiants biométriques, et qui prescriront les processus de plaintes. Le Bureau des passeports pourrait examiner s'il est possible de mettre en oeuvre cette recommandation dans le décret sur les passeports canadiens.

Recommandation 1b : Que le Bureau des passeports ou d'autres ministères sources établissent les autorités légales au regard des dispositions de l'article 8 de la Charte des droits et des libertés, en ce qui a trait à la collecte ou la divulgation de renseignements personnels lors du fonctionnement du système d'identification faciale.

La gestion du projet s'est dissociée de ces recommandations, considérant :

  • que la proposition de déploiement est compatible avec les politiques actuelles,
  • que le projet est conforme aux directives du SCT,
  • que la majorité des recommandations suivantes de l'EFPV sont acceptées en principe, ce qui met en place un régime exhaustif pour l'utilisation de l'IF,
  • que ledit régime, sa légitimité et ses considérations sont exposés plus loin en détail et qu'ils se conforment au test de justification en quatre parties proposé par le Commissariat à la protection à la vie privée du Canada (CPVP) pour baliser l'utilisation d'identifiants ou de technologies biométriques,
  • que les modifications au décret sur les passeports qui énoncent sans équivoque les autorisations légales pour la création et l'utilisation de nouveaux renseignements personnels sous forme d'un identificateur photo-biométrique ont été adoptées.

2. Contrôle des renseignements personnels des ministères sources

Pour l'instant, on ne sait pas s'il y aura, ou non, un contrôle exercé sur les photographies ou leurs rendus numériques fournis par les ministères sources. Par exemple, les ministères sources pourront imposer des règles pour l'usage des photographies, les périodes de conservation ou de divulgation à une tierce partie, y compris à d'autres ministères sources.

Quand un opérateur valide une concordance, le ministère source est contacté pour certifier que la personne est encore inadmissible. Le Bureau des passeports entend prescrire dans un protocole d'entente (PE) que les ministères sources ont l'obligation de garder à jour les photographies ou leurs rendus numériques et d'aviser le Bureau des passeports du remplacement ou de la suppression d'une photographie du système d'identification faciale. Cet aspect est critique sachant la « détérioration avec le temps » des photographies ou de leurs rendus numériques. Une personne peut satisfaire la définition du critère du groupe AS au moment où sa photographie est envoyée au Bureau des passeports, et avoir changé de statut au moment où la concordance se réalise.

Le risque d'atteinte à la vie privée est que des renseignements personnels soient utilisés inconsidérément ou divulgués, quand le ministère source n'exerce pas un contrôle sur les renseignements personnels.

Sommaire

Recommandation 2 : Que le Bureau des passeports et les ministères sources conviennent d'un protocole d'entente dans le cadre de la Loi sur la protection des renseignements personnels qui expriment les exigences de contrôle et d'exactitude que les ministères sources devront exercer sur les photographies ou leurs rendus numériques fournis au Bureau des passeports.

Cette recommandation a été acceptée en principe par la gestion du projet et sera mise en oeuvre avant le déploiement de la technologie, si elle est approuvée et financée.

3. Création d'un identifiant

Le système d'identification faciale va créer un identifiant photobiométrique alphanumérique d'une photographie. Cet identifiant biométrique sera exclusif à la photographie plutôt qu'à une personne. Selon le niveau de tolérance imposé par le système, le logiciel d'identification faciale peut ou non obtenir une concordance suggérée. À titre de mesure de contrôle du détournement de la fonction, l'algorithme de production d'un identifiant photobiométrique alphanumérique devrait être construit de manière à n'être utilisable que par le Bureau des passeports. Pour les besoins de cette EFPV, on a supposé que la photographie ne pouvait pas être recréée par l'identifiant photobiométrique alphanumérique. La direction du projet a confirmé qu'il en est ainsi, car la chaîne alphanumérique étant une traduction de points clés mesurés dans l'ovale facial, il est impossible de récréer le « visage » à partir du modèle.

Le risque d'atteinte à la vie privée est la possibilité d'exploiter l'information à des fins différentes :

Sommaire

Recommandation 3(a) : Que l'algorithme servant à créer l'identifiant photobiométrique alphanumérique ne soit utilisable que par le Bureau des passeports afin d'empêcher la reconstitution de l'identifiant photobiométrique par des tierces parties.

Recommandation 3(b) : Que les mesures contractuelles passées avec l'éditeur du logiciel d'identification faciale stipulent que l'algorithme exclusif soit sous le contrôle du Bureau des passeports pour que l'éditeur ne puisse le recréer.

La gestion du projet s'est dissociée de la recommandation 3(a), considérant qu'il n'y a pas de bénéfices réels dérivant de son acceptation. Il en est ainsi parce qu'il y a autant d'identifiants numériques différents qu'il y a de photos différentes d'une personne. Donc l'utilisation d'un même algorithme (logiciel réalisant la démarche de l'algorithme) par un autre utilisateur ne générera pas le même modèle (identifiant biométrique) à moins d'avoir la même photographie traitée par les deux systèmes. Finalement, comme aucune image ne peut être reproduite à partir d'un modèle, même si le logiciel était vendu dans le commerce à quelqu'un d'autre, celui-ci serait incapable d'obtenir une photo à partir d'un modèle subtilisé ou « intercepté » dans la base de données du Bureau des passeports.

La recommandation 3(b) a été acceptée en principe, à la condition que ce soit techniquement faisable (à vérifier avec l'éditeur) et que le déploiement de la technologie soit approuvé et financé.

4. Bases de données de consultation du système

Le Bureau des passeport envisage de conserver l'information des ministères sources dans des bases de données différentes. L'information dans les bases de données de consultation du système (CS) peut avoir des classifications de sécurité différentes. Étant donné que le but de la divulgation d'information par les ministères sources est le contrôle de documents de voyage, l'information dans une base CS ne devrait pas concorder avec l'information d'une autre base CS.

Le risque d'atteinte à la vie privée est que l'information serve dans le futur sans l'autorisation requise par la Loi sur la protection des renseignements personnels :

Sommaire

Recommandation 4 : Que les protocoles d'entente avec les ministères sources comportent une disposition qui empêche le Bureau des passeports d'effectuer de l'appariement de données entre bases de données CS.

La recommandation a été approuvée en principe par la gestion du projet, et elle sera mise en oeuvre avant le déploiement de la technologie, si elle est approuvée et financée.

5. Niveau d'exactitude

Du fait que l'identifiant photobiométrique alphanumérique ne soit pas un identifiant unique d'une personne, et du fait qu'un niveau de tolérance est fixé pour les suggestions de concordance, un système d'identification faciale produit des suggestions de concordance fausses positives et des suggestions de concordance fausses négatives. Une concordance fausse positive signifie qu'on propose une concordance, mais qu'en réalité les photographies représentent deux personnes différentes. Une concordance fausse négative signifie qu'une concordance qui aurait due être réussie ne l'a pas été.

Dans l'implantation de la technologie de l'IF par le Bureau des passeports, un opérateur de la direction de la Sécurité valide la suggestion de concordance des photographies produites par le logiciel IF de l'ordinateur. La confirmation par l'opérateur exige que l'on décide que la personne sur les deux photographies est bien la même. Ensuite, l'opérateur doit s'assurer que le statut de la personne n'a pas changé. On se convainc ainsi que la personne continue de rester inadmissible à l'obtention d'un document de voyage. Une fois que le statut a été confirmé, la direction de la Sécurité entreprend une enquête. Ou, si la concordance confirmée est en regard de la base de données des documents de voyage délivrés, un SL est attribué au fichier du document de voyage de la personne pendant le déroulement de l'investigation.

Les études citées dans ce rapport EFPV montrent que l'exactitude est un enjeu de la technologie IF pouvant porter atteinte à la vie privée. La perspective de la direction du projet est que n'importe quelle technique d'automatisation de la détermination de l'admissibilité est sujette à poser un risque. La technologie ne fait que proposer une concordance, et c'est à un opérateur de faire la confirmation.

Le projet de validation de principe du Bureau des passeports présente des résultats de test sur l'efficacité de la technologie IF. Les tests révèlent que le logiciel IF, quand il sonde des images par rapport à une base de données de dimensions raisonnables (50 000 images), reconnaît la bonne concordance la première fois 88% du temps. Ce chiffre correspond aux sondages d'images de la meilleure qualité. Ces images sont conformes aux nouvelles spécifications émises par l'Organisation de l'aviation civile internationale (OACI) (les photographies « sans sourire »). Pour les images de moindre qualité, comme les photographies des participants, cette proportion chute à 75 %.

Quand le Bureau des passeports contacte le ministère source pour vérifier le statut d'une personne pour laquelle le système IF a établi une concordance, le Bureau divulgue ainsi l'information qu'une personne a fait une demande de passeport et qu'elle serait inadmissible. La requête pourrait être pour la mauvaise personne. À ce point du processus et avant la mise en marche d'une investigation, la requête ne devrait pas être mentionnée par l'intervenant en regard de la personne.

Le risque d'atteinte à la vie privée est que l'inexactitude des renseignements sur une personne pourrait servir dans le futur :

Sommaire

Recommandation 5(a) : Qu'un Protocole d'entente avec le ministère source ait une disposition qui empêche ce dernier de signaler qu'une requête de confirmation de statut est initiée à la suite d'une suggestion de concordance par un opérateur du Bureau des passeports.

Recommandation 5(b) : Que le Bureau des passeports formule les mesures qu'il entend prendre pour que les concordances fausses positives, après confirmation que ce sont bien des fausses positives, ne laissent aucune trace dans le dossier de la personne.

Recommandation 5(c) : Que le Bureau des passeports formule les procédures qu'il entend suivre pour empêcher l'utilisation et la conservation de renseignements erronés découlant d'une concordance confirmée par l'opérateur, quand il appert que c'était faux.

La recommandation 5(a) a été acceptée en principe par la direction du projet, et sera mise en oeuvre avant le déploiement de la technologie, s'il est accepté et financé.

La recommandation 5(b) n'a pas été appuyée, considérant que pour prévenir tout inconvénient pour le client, il serait approprié d'ajouter au dossier du sujet qu'une suggestion de concordance s'est avérée fausse. Par ex. : jumeaux, grande ressemblance avec un sujet qui soulève une inquiétude en matière de sécurité qui par la suite a été confirmé comme étant un « faux résultat ».

La recommandation 5(c) n'a pas été appuyée, considérant que toutes les alertes « confirmées » doivent faire l'objet d'un suivi et d'une investigation, pour éventuellement, si le dossier est dégagé, donner lieu à la délivrance ou non d'un passeport. Ce processus est assujetti aux règles de justice naturelle qui appellent la documentation d'un dossier.

6. Responsabilités du dépositaire du programme

L'objectif du projet de validation du principe de l'IF était de déterminer si une application d'identification faciale était suffisamment mûre et efficace pour atteindre les objectifs du programme, dont le mandat est de bloquer l'accès aux requérants inadmissibles. Les exigences de rendement essentielles étaient donc de nature technique. Avant de déployer une telle technologie, il faudrait que l'on formule les exigences de rendement du dépositaire en relation avec les facteurs de risque sur la vie privée. Considérant les objectifs du projet, des mesures de rendement n'ont pas été élaborées pour ces exigences. Voici des exemples d'exigence si un système d'identification faciale était mis en oeuvre :

  • Déterminer les dispositions sur la protection des renseignements personnels dans les contrats qui sont nécessaires, ainsi que les classifications de sécurité exigées si les postes techniques pour la mise en oeuvre et l'opération d'un système d'identification faciale sont occupés par des contractuels ou du personnel de sociétés de technologie;
  • Organiser des vérifications régulières visant à savoir si les exigences de protection des renseignements personnels sont respectées;
  • Se conformer à la Politique sur le couplage des données du SCT ;
  • S'assurer que le motif de la collecte de renseignements personnels est bien décrit. Les motifs peuvent être détaillés dans le Fichier de renseignements personnels (FRP) d'Infosource;
  • Déterminer quelle information, s'il y a lieu, devrait être rendue publique au sujet de l'EFPV de l'identification faciale;
  • Voir à l'élaboration d'un plan de communication qui explique comment les renseignements personnels dans un système d'identification de visage sont gérés et protégés.

Le risque d'atteinte à la vie privée provient du fait que personne ne pourrait être imputable de l'implantation et du maintien des exigences en matière de protection des renseignements personnels.

Sommaire

Recommandation 6 : Que le Bureau des passeports formule les exigences et mesures de rendement relatives à la protection de la vie privée à l'intention du dépositaire du programme si un système d'identification faciale était mis en oeuvre au Bureau des passeports.

La recommandation a été approuvée en principe et elle sera mise en oeuvre avant le déploiement de la technologie, si elle est approuvée et financée.

7. Avis de justification de la collecte

Le Bureau des passeports devra ajouter la composante identification faciale de la procédure de demande de passeport dans l'avis de justification de la collecte de renseignements personnels. Cet avis est obligatoire en vertu de l'article 5 de la Loi sur la protection des renseignements personnels.

Le risque d'atteinte à la vie privée est que des personnes ne seront pas informées au moment de la collecte que leurs données personnelles servent à une vérification de routine.

Sommaire

Recommandation 7 : Que le Bureau des passeports ajoute sur les demandes de documents de voyage l'utilisation de la technologie d'identification faciale dans son avis de justification de la collecte de renseignements personnels.

La recommandation a été approuvée en principe et elle sera mise en oeuvre avant le déploiement de la technologie, si elle est approuvée et financée.

8. Activités de mise en concordance des données

La Politique sur le couplage des données du SCT porte sur la mise en concordance des renseignements personnels à des fins administratives. Une fin administrative est définie à l'Article 3 de la Loi sur la protection des renseignements personnels comme « l'usage de renseignements personnels concernant un individu dans le cadre d'une décision le touchant directement. »

Pour les besoins de cette EFPV, on a supposé que les activités de mise en concordance dans un système d'identification faciale répondront aux besoins de la Politique sur le couplage des données du SCT. Dans le cas des photographies des requérants produites pour les documents de voyage et recueillies par le Bureau des passeports dans le cadre de la procédure de demande, il semble que l'usage de celles-ci et de quelques éléments de données personnelles soit compatible avec les justifications exprimées pour la collecte de renseignements personnels.

Le projet d'identification faciale propose de recueillir les photographies ou leurs rendus numériques de certaines catégories d'individus, dont le statut officiel ou de fait dans le pays pourrait les rendre inadmissibles à recevoir des services de passeport.

Même si certaines personnes des groupes proposés pourraient être inadmissibles à une demande de passeport, il n'y a aucun critère dans le processus de l'EFPV qui laissent entendre que ces groupes importants de personnes voudraient soumettre des demandes de passeports.

En conséquence, pour certains groupes ou partie de ceux-ci, il y a un risque d'atteinte à la vie privée du fait que les photographies de leurs membres pourront servir :

  • À des fins connexes sans rapport avec les passeports;
  • À des fins connexes qui pourront devenir de plus en plus nombreuses dans l'avenir.

Sommaire

Recommandation 8 : Que le Bureau des passeports se conforme aux prescriptions de la Politique sur le couplage des données du SCT avant l'implantation d'un système d'identification faciale.

La recommandation a été approuvée en principe et elle sera mise en oeuvre avant le déploiement de la technologie, si elle est approuvée et financée.

9. Conservation et élimination

Si un système d'identification faciale doit être implanté, il faut l'assortir d'un calendrier pour la conservation et l'identification qui respecte les prescriptions des Règlements de la Loi sur la protection des renseignements personnels et de la Politique sur la gestion de l'information gouvernementale du SCT.

Le risque d'atteinte à la vie privée provient de ce que des renseignements personnels pourraient être détruits en contravention de la politique gouvernementale ou qu'ils soient conservés plus longtemps que nécessaire.

Sommaire

Recommandation 9 : Que le Bureau des passeports dispose pour le système d'identification faciale d'un calendrier pour la conservation et l'élimination conformément aux règlements de la Loi sur la protection des renseignements personnels et la Politique sur la gestion de l'information gouvernementale du SCT.

La recommandation a été approuvée en principe et elle sera mise en oeuvre avant le déploiement de la technologie, si elle est approuvée et financée.

10. Mesures de sécurité obscures

Une évaluation de la menace et des risques (EMR) est prévue et on a embauché un consultant. L'EMR, jumelée à la présente EFPV, constitue une partie indissociable de l'analyse de rentabilité du financement que le Bureau des passeports est en train de rédiger. Les conclusions des deux documents aideront à connaître la faisabilité et le coût du projet.

Par conséquent, à cette étape précoce du projet, les procédures de sécurité relatives à la collecte, la transmission, le stockage et l'élimination des renseignements personnels n'ont pas encore été documentées. On ne sait pas précisément comment les photographies ou leurs rendus numériques seront transmis au Bureau des passeports par les ministères sources.

Il est probable qu'un système d'identification faciale (véhiculant des informations de protégées à secrètes) pour être isolé des autres systèmes du Bureau des passeports devra posséder son propre réseau. Des contrôles devront être développés pour un système d'identification faciale afin de limiter l'accès au système à ceux qui ont « besoin de savoir ». Un plan d'assurance de la qualité et d'audit pour apprécier continuellement l'état des protections touchant le système d'identification faciale proposé devra être élaboré.

Il n'existe pas de procédure documentée pour communiquer les atteintes à la sécurité au sujet concerné par les données, aux autorités d'application de la loi, s'il y a lieu, et aux gestionnaires de programme en cause.

Le risque d'atteinte à la vie privée provient du fait qu'il n'existe pas de mesure de sécurité en accord avec la sensibilité des renseignements personnels. Les recommandations suivantes abordent en partie les risques relatifs à la vie privée touchant la création d'un identifiant, y compris le détournement de la fonction.

Sommaire

Recommandation 10(a) : Que le Bureau des passeports formule les procédures de :

  • Collecte, transmission, stockage et élimination des renseignements personnels, et d'accès à ces renseignements,
  • Communication des violations à la sécurité au sujet concerné par les données, aux autorités d'application de la loi, s'il y a lieu, et aux gestionnaires de programme concernés.

Recommandation 10(b) : Que le Bureau des passeports élabore un plan d'audit pour l'appréciation de l'état en cours des protections applicables au système d'identification faciale proposé.

Ces deux recommandations ont été acceptées en principe et seront implantées avant le déploiement de la technologie, si elle est approuvée et financée. Dans le cas de la recommandation 10(a), qu'elle soit mise en place dans le cours des audits externes annuels menés au sein de l'organisation.

11. Pratiques de gestion de l'information personnelle transparentes

AEC n'a pas déterminé quelle information serait rendue publique et, si nécessaire, quelle information serait fournie aux personnes dont les photographies sont entrées dans le système d'identification faciale proposé. AEC n'a pas établi s'il était nécessaire d'adopter un processus de plainte préalable à celui prescrit dans la Loi sur la protection des renseignements personnels, quand l'on conteste les résultats du système d'identification faciale ou leur exploitation.

Le risque d'atteinte à la vie privée provient du fait qu'il n'y a pas suffisamment de transparence dans les pratiques de gestion des renseignements personnels. En revanche, le Bureau des passeports est inquiet que la divulgation des mécanismes mis en place pour vérifier l'admissibilité pourrait être détournée de l'objectif initial de la collecte d'information par le Bureau des passeports.

Sommaire

Recommandation 11(a) : Que AEC rendre disponible au public, si nécessaire, l'information appropriée sur l'utilisation de la technologie de l'identification faciale dans le processus de demande de documents de voyage.

Recommandation 11(b) : Que AEC formule le processus d'examen au sein du Bureau des passeports, quand les résultats de l'identification faciale ou leur application sont contestés.

La recommandation 11 (a) a été acceptée en principe, quand le projet sera approuvé et financé (si c'est le cas). La recommandation 11 (b) a été acceptée en principe, en notant que le refus de service, pour quelque motif que ce soit, peut faire l'objet d'un réexamen judiciaire. En outre, la résolution de la plainte d'un client pourra conduire à l'examen du dossier par l'ombudsman. La recommandation pourra être réalisée au moment du déploiement.

12. Banque de renseignements personnels

Si un système d'identification faciale devait être implanté, il devrait y avoir la constitution d'un FRP. Un FRP est un regroupement de renseignements personnels au sens de l'article 10 de la Loi sur la protection des renseignements personnels. Les FRP sont publiées dans Infosource, une publication du SCT produite à l'intention du grand public. La description d'une FRP devrait comprendre la désignation de tout usage de renseignements personnels pour une fin conforme.

Le risque d'atteinte à la vie privée est que le public ne soit pas informé de la collecte de renseignements personnels comme l'exige la Loi sur la protection des renseignements personnels.

Sommaire

Recommandation 12 : Que le Bureau des passeports formule et enregistre un FRP si un système d'identification facile est mis en oeuvre.

La recommandation a été approuvée en principe et elle sera mise en oeuvre dès que ce sera pratiquement possible, si le projet est approuvé et financé.

Notes de bas de page

Note de bas de page 1

La surveillance des lieux publics est une application de cette technologie qui a montré ses limites en raison d'un haut niveau d'inefficacité résultant d'une absence de contrôle de la qualité de l'image.

Retourner à la référence à la note de bas de page 1