Projet de reconnaissance faciale – Passeport Canada

Sommaire exécutif

Un rapport d'évaluation des facteurs relatifs à la vie privée (EFVP) a été réalisé dans le cadre du projet de reconnaissance faciale de Passeport Canada, un organisme du ministère des Affaires étrangères et Commerce international Canada (MAECI). Les objectifs de cette EFVP étaient de déterminer si le projet soulevait des enjeux ou des risques d’entrave à la vie privée, et dans l'affirmative, de proposer des recommandations sur des mesures d'atténuation. Bien que le projet n’ait pas encore démarré, ce sommaire fournit des renseignements généraux sur le projet de reconnaissance faciale et sur les recommandations formulées dans l’EFVP réalisée. De plus, étant donné les changements substantiels qui y ont été apportés, une EFVP révisée est actuellement en cours d’élaboration et son sommaire sera affiché sur ce site Web aussitôt que possible.

La mission de Passeport Canada est de délivrer des documents de voyage sûrs et reconnus à l’échelle internationale. Le Bureau délivre trois types de documents de voyage : le passeport, le certificat d'identité et le titre de voyage pour réfugiés.

Les passeports canadiens sont délivrés à des citoyens canadiens qui en font la demande pour eux–mêmes ou leurs personnes à charge. Les passeports de voyage officiels sont délivrés aux fonctionnaires devant effectuer des voyages pour affaires officielles. Les renseignements figurant sur la demande de passeport qui sont fournis par les citoyens ou les fonctionnaires servent à établir l’identité et la citoyenneté des requérants ainsi qu’à confirmer leur admissibilité immédiate ou continue à un passeport.

Les non–Canadiens qui résident au Canada ou qui se trouvent au Canada en vertu d’un permis ministériel et qui ne peuvent obtenir un passeport de leur pays d’origine peuvent se voir délivrer un certificat d’identité ou un titre de voyage pour réfugiés. L’information recueillie sur les formulaires de demande pour ces documents sert à établir l’identité et la citoyenneté des requérants ainsi qu’à confirmer leur admissibilité immédiate ou continue à un document de voyage en conformité avec la loi canadienne et les conventions internationales.

Depuis les événements du 11 septembre 2001, le Bureau des passeports a rendu encore plus strict l’examen de toutes les demandes de documents de voyage canadiens. Le projet de validation de principe de la reconnaissance faciale est l’une des mesures mises en œuvre à cet égard. Ce projet a été lancé afin de déterminer si la technologie de reconnaissance faciale (RF) pouvait être exploitée pour accroître la sécurité des documents de voyage canadien.

L'objectif du projet de validation de principe de la reconnaissance faciale était de déterminer si un système de reconnaissance faciale était réalisable, à un coût raisonnable et s'il permettait effectivement de comparer la photographie d'un requérant de document de voyage ou son rendu numérique à des photos ou rendus qui figurent dans une base de données.

Le traitement de la reconnaisance faciale (RF) est exécuté à l’aide d’un logiciel de RF qui saisit des mesures biométriques d'une image numérique et les convertit au moyen d'un algorithme en un identifiant photobiométrique alphanumérique. Étant donné que les mesures biométriques sont susceptibles de changer en fonction des caractéristiques de la photographie, comme son orientation, l'identifiant alphanumérique peut varier d'une photographie à l'autre.

Pour réaliser une validation de principe de la RF, on a constitué avec des photographies fournies par la Gendarmerie royale du Canada, Citoyenneté et Immigration Canada (CIC) et le Service canadien du renseignement de sécurité Service (CSIS) une maquette de base de données autonome de personnes présumées non admissibles à des documents de voyage canadiens. En outre, on a créé au Bureau des passeports une maquette de base de données de demandeurs de documents de voyage, calquée sur la base de données sur les requérants (IRIS) et non reliée à des renseignements personnels ou à de vraies demandes présentées au Bureau des passeports. Ces bases de données ont servi à mettre à l'épreuve des systèmes d'identification faciale de divers fournisseurs et intégrateurs. Le logiciel de RF a été mis à l’essai afin de déterminer s’il parvenait, à partir des maquettes de bases de données de requérants, à désigner comme concordances possibles deux images différentes de la même personne. Des opérateurs témoins ont ensuite confirmé les résultats comme étant des paires d'images, soit deux images différentes de la même personne représentée sur ces images. Ensuite, ces images ont été numérotées au hasard pour apprécier le succès du logiciel de RF à indiquer une concordance.

L'objectif du projet de validation de principe était de déterminer s'il était réellement justifié de recourir à technologie de RF pour maintenir ou rehausser l'intégrité des documents de voyage canadiens en offrant une meilleure garantie de l'inadmissibilité d'un individu à des documents de voyage. À la lumière des résultats de l’analyse de rentabilisation, le Bureau des passeports a eu l'intention d'aller de l'avant et d’obtenir l’autorisation de mettre en œuvre un système de reconnaissance faciale.

Le système de reconnaissance faciale proposé devrait être mis en œuvre à la Direction générale de la sécurité du Bureau des passeports. Les rendus numériques des photographies seraient obtenus des ministères sources. Des photographies ou leurs rendus numériques des catégories de personnes suivantes sont proposés pour être utilisées dans le système de reconnaissance faciale :

Ministère sourceCatégorie de personnes
CIC :Les résidents permanents qui viennent au Canada sans papiers ou dont l’identité est suspecte
CIC :Les réfugiés qui viennent au Canada sans papiers, qui ne se rapportent plus à leurs agents d’immigration ou qui ont abandonné leur demande et contre qui un mandat d’arrêt ou une mesure de renvoi a été émis
CSIS :Menaces à la sécurité nationale
GRC :Enquêtes sur la sécurité nationale
GRC :Ordonnances de probation de ne pas quitter le Canada
GRC :Mandats d’arrêt pancanadiens

bases de données d'alerte du système (AS) distinctes conserveront les données obtenues de chaque ministère source.

Le Bureau des passeports crée actuellement des rendus numériques des photographies et numérise des demandes de document de voyage aux fins de leur conservation dans un système nommé IRIS. Cela lui permet d’imprimer des photos de passeport dans le nouveau livret de passeport plus sécuritaire. Une base de données des documents de voyage délivrés (DVD) serait mise sur pied au sein de la Direction générale de la sécurité afin de conserver dans IRIS un exemplaire des rendus numériques des photographies des requérants.

Les rendus numériques des photographies seraient convertis en un modèle qui prendrait la forme d'une chaîne alphanumérique appelée identifiant photobiométrique qui est créé au moyen du logiciel d'identification faciale. L’identifiant photobiométrique de chaque photographie d’un nouveau requérant sera comparé aux identifiants contenus dans la base de données DVD puis à chaque base de données AS. Le système proposerait des concordances d'identifiants avec un niveau de tolérance prédéterminé à un opérateur de la Direction générale de la sécurité aux fins d’examen. Ensuite, le cas échéant (si l'opérateur est convaincu que la concordance proposée semble positive), les ministères sources procéderont à un suivi et à une enquête.

Le rapport de l’EFVP a identifié les risques et les problèmes posés en matière de protection des renseignements personnels et a recommandé les mesures d’atténuation suivantes.

1. Autorisation de recueillir et de faire usage de renseignements personnels pour établir un système de reconnaissance faciale

Au Canada, on possède très peu d’expérience en ce qui a trait à la technologie de reconnaissance faciale. Les services de police de la région de Chatham–Kent, Windsor et York mènent actuellement un projet pilote de reconnaissance faciale afin de comparer de façon simultanée les photographies ou portraits de suspects avec les bases de données de dans Internet. Au sein du gouvernement du Canada, le Projet de reconnaissance faciale semble être la première utilisation de la technologie de RF.

L’Electronic Privacy Information Center (EPIC) donne la description que voici des enjeux et des risques d’entrave à la vie privée que peut soulever la technologie de la reconnaissance faciale :

Les dispositifs qui font usage d’identifiants biométriques tentent d’automatiser le processus de RF en comparant l'information numérisée en temps réel avec un échantillon « réel » mémorisé numériquement dans une base de données. La technologie a connu plusieurs défauts de jeunesse, mais semble depuis destinée à devenir un incontournable de notre paysage technologique. On relève plusieurs préoccupations en matière de protection de la vie privée et de libertés individuelles associées à ces dispositifs, et on doit en débattre avant d'en faire un déploiement à grande échelle. Voici un sommaire des six principaux sujets de préoccupation :

Préoccupation :Enjeu lié à la protection de la vie privée
Stockage :Comment les données sont stockées, dans un lieu central ou dans des sites dispersés? Comment devraient–elles être conservées?
Vulnérabilité :Quelle est la vulnérabilité des données face au vol ou à un usage abusif?
Confiance :Quel facteur d'erreur dans le processus d'identification automatique est acceptable? Quelles sont les conséquences des faux positifs et des faux négatifs de la machine?
Authenticité :Qu'est–ce qui constitue de l'information authentique? Est–ce que l'information peut être falsifiée?
Liaison :Est–ce que l'information saisie par numérisation peut être reliée à d'autres renseignements comme les habitudes de consommation...? Quelles limites devraient être imposées à l'utilisation privée (contrairement à l'utilisation gouvernementale) d'une telle technologie?
Ubiquité :Quelles sont les répercussions d’un suivi électronique de tous nos déplacements si les caméras et d'autres appareils deviennent monnaie courante, qu'on en retrouve à chaque coin de rue et dans tous les moyens de transport?

L’ancien Commissaire à la protection de la vie privée s’est opposé vigoureusement à l’application de la technologie de surveillance vidéo de la GRC et a lancé une contestation judiciaire en vertu de la Charte canadienne des droits et libertés. Le 4juillet 2003, le Commissaire à la protection de la vie privée par intérim a demandé à l'avocat de retirer son appel.

Même si l’usage de la technologie de reconnaissance faciale proposé par le Bureau des passeports diffère de la surveillance des personnes dans des lieux publics, son utilisation laisse planer plusieurs risques d'atteinte à la vie privée généralement associés à l'exploitation de la biométrie. Voici quelques facteurs de risque d’entrave à la vie privée :

  • « Détournement de fonction », c’est–à–dire l'utilisation, à l’avenir, de la technologie pour des motifs autres que les motifs originaux;
  • Accès par un tiers à de l'information qu’il rattache à ses propres renseignements et cela sans le consentement de l'intéressé;
  • Conservation centralisée de l'information;
  • Perte de contrôle par des personnes en ce qui concerne l'utilisation et la diffusion de renseignements personnels d'une autre personne.

L'autorisation accordée à un ministère, en vertu de la Loi sur la protection des renseignements personnels, de recueillir de l'information de nature privée est décrite dans la Politique du Secrétariat du conseil du trésor (SCT) sur la protection des données et des renseignements personnels :

La Loi prévoit que les seuls renseignements personnels qu'une institution fédérale peut recueillir sont ceux qui ont un lien direct avec l'un de ses programmes ou avec l'une de ses activités et, en vertu de la politique, les institutions doivent exercer des contrôles administratifs afin de s'assurer qu'elles recueillent uniquement les renseignements personnels nécessaires aux programmes et aux activités concernés. Pour ce faire, les institutions doivent avoir une autorisation parlementaire ayant trait à l'activité ou au programme concernés et pouvoir démontrer la nécessité de chaque renseignement personnel recueilli afin d'entreprendre le programme ou l'activité concerné. L'autorisation parlementaire est habituellement donnée par une loi du Parlement ou par un règlement subséquent ou encore par l'approbation des dépenses envisagées qui sont indiquées dans les budgets des dépenses, puis autorisées par une loi portant affectation de crédits.

L'autorisation donnée au Bureau des passeports de recueillir des renseignements personnels pour un système de reconnaissance faciale, tel qu'il est décrit dans cette EFVP, est énoncée expressément, dans la plupart des cas, dans le Décret sur les passeports canadiens ou, pour quelques autres aspects du projet, est fondée sur la prérogative royale.

Ces autorisations accordées au Bureau des passeports ne sont pas harmonisées à un cadre législatif ou réglementaire global du gouvernement qui prescrirait l'utilisation, la divulgation, la conservation et la destruction d'identifiants biométriques. Cependant, le Commissariat à la protection de la vie privée du Canada (CPVP) a proposé un test en quatre parties que le Bureau du passeport a complété.

Considérant :

  • La nature des risques d’entrave à la vie privée d'un système de reconnaissance faciale;
  • L'absence d'un cadre législatif ou réglementaire global du gouvernement pour le recours à la technologie biométrique;

le rapport EFPV conclut qu'un cadre législatif au sein du MAECI/Bureau des passeports est recommandé.

Dans la publication Biometrics and Consumer Applications (Applications clientes et biométrie) diffusée par le Commissariat à l'information et à la protection de la vie privée de l’Ontario, on parvient à la conclusion qu’il est possible de recourir à la technologie de la biométrie de manière à ne pas compromettre la confidentialité des renseignements. Cependant, on y souligne la nécessité de mettre en place des mesures de protection techniques, procédurales et législatives afin de veiller à protéger la confidentialité. L’Ontario a promulgué un cadre législatif sur le recours au balayage de doigts pour authentifier les demandeurs d’aide sociale et ce, bien que le balayage de doigts ne soit pas encore mis en œuvre.

Durant la préparation du rapport de l’EFVP, il n’a pas été possible de repérer de sondages d’opinion canadiens sur l’utilisation de la technologie de reconnaissance de visage et la confidentialité.

Le Commissariat à la protection de la vie privée du Canada (CPVP) a proposé un test en quatre parties pour justifier l'emploi d'identificateurs ou de technologies biométriques :

  • Démontrer de manière raisonnable que la mesure envisagée est nécessaire.
  • Elle doit se montrer efficace à réaliser l'activité concernée.
  • L'intrusion dans la vie privée doit être proportionnelle à la sécurité qu'on y gagnera.
  • Une démonstration qu'il n'existe pas de mesure alternative moins intrusive pour atteindre le même but.

Le Bureau des passeports a élaboré une réponse à ce test en quatre parties qui intègre des aspects de ce rapport d’EFVP pour la reconnaissance faciale.

Une analyse de la Charte des droits et des libertés a conclu que des autorisations législatives additionnelles s’avéraient nécessaires en vue de la mise en œuvre du projet de reconnaissance faciale.

Recommandation 1a :

Que des règlements ou des dispositions législatives soient formulés à l’intention du Bureau des passeports afin de construire un cadre à l’intérieur duquel fonctionnera un système d’identification faciale, et de déterminer des politiques qui formuleront les règles d'utilisation, de divulgation, de conservation, et d'élimination des identifiants biométriques, ainsi que les processus de plaintes. Le Bureau des passeports pourrait examiner s'il est possible de mettre en œuvre cette recommandation dans le Décret sur les passeports canadiens.

Recommandation 1b :

Que le Bureau des passeports ou d'autres ministères sources établissent les autorités légales au regard des dispositions de l'article 8 de la Charte des droits et des libertés, en ce qui a trait à la collecte ou la divulgation de renseignements personnels lors du fonctionnement du système d'identification faciale.

2. Contrôle des renseignements personnels des ministères sources

Pour l'instant, on ne sait pas s'il y aura, ou non, un contrôle exercé sur les photographies ou leurs rendus numériques fournis par les ministères sources. Par exemple, les ministères sources pourront imposer des règles pour l'usage des photographies, les périodes de conservation ou de divulgation à une tierce partie, y compris à d'autres ministères sources.

Quand un opérateur valide une concordance, on communique avec le ministère source pour certifier que la personne est encore inadmissible. Le Bureau des passeports entend prescrire dans un protocole d'entente (PE) que les ministères sources ont l'obligation de garder à jour les photographies ou leurs rendus numériques et d'aviser le Bureau des passeports du remplacement ou de la suppression d'une photographie du système d'identification faciale. Cet aspect est critique étant donné la «détérioration avec le temps» des photographies ou de leurs rendus numériques. Une personne peut être un résident immigrant sans papiers au moment où sa photographie est envoyée au Bureau des passeports, et être un citoyen canadien au moment où la concordance se réalise.

Le risque d'entrave à la vie privée est que des renseignements personnels soient utilisés inconsidérément ou divulgués, quand le ministère source n'exerce pas un contrôle sur les renseignements personnels.

Recommandation 2 :

Que le Bureau des passeports et les ministères sources conviennent d'un protocole d'entente dans le cadre de la Loi sur la protection des renseignements personnels qui expriment les exigences de contrôle et d'exactitude que les ministères sources devront exercer sur les photographies ou leurs rendus numériques fournis au Bureau des passeports.

3. Création d’un identifiant

Le système de reconnaissance faciale va créer un identifiant photobiométrique alphanumérique d'une photographie. Cet identifiant biométrique sera exclusif à la photographie plutôt qu'à une personne. Selon le niveau de tolérance imposé par le système, le logiciel d'identification faciale peut ou non obtenir une concordance suggérée. À titre de mesure de contrôle de la possibilité de détournement de la fonction, l'algorithme de production d'un identifiant photobiométrique alphanumérique devrait être construit de manière à n'être utilisable que par le Bureau des passeports. Pour les besoins de cette EFPV, on a supposé que la photographie ne pouvait pas être recréée par l'identifiant photobiométrique alphanumérique. Le responsable du projet a confirmé qu'il en est ainsi, car la chaîne alphanumérique étant une traduction de points clés mesurés dans l'ovale facial, il est impossible de récréer « l’image faciale » à partir de ce modèle.

Le risque d'entrave à la vie privée est la possibilité d'exploiter l'information à des fins différentes.

Recommandation 3a : Que l'algorithme servant à créer l'identifiant photobiométrique alphanumérique ne soit utilisable que par le Bureau des passeports afin d'empêcher la reconstitution de l'identifiant photobiométrique par des tierces partiesp> Recommandation 3b : Que les mesures contractuelles passées avec l'éditeur du logiciel d'identification faciale stipulent que l'algorithme exclusif soit sous le contrôle du Bureau des passeports pour que l'éditeur ne puisse le recréer.

4. Bases de données de consultation du système

Le Bureau des passeports envisage de conserver l'information des ministères sources dans des bases de données distinctes. L'information figurant dans les bases de données de consultation (CS) peut avoir des classifications de sécurité différentes. Étant donné que le but de la divulgation d'information par les ministères sources est le contrôle de documents de voyage, l'information contenue dans une base de données CS ne devrait pas être comparée avec l'information d'une autre base de données CS.

Le risque d'atteinte à la vie privée est que l'information soit utilisée à l’avenir sans l'autorisation requise par la Loi sur la protection des renseignements personnels.

Recommandation 4 :

Que les protocoles d'entente avec les ministères sources comportent une disposition qui empêche le Bureau des passeports d'effectuer de l'appariement de données entre bases de données CS.

5. Niveau d'exactitude

En raison du fait que l'identifiant photobiométrique alphanumérique n’est pas un identifiant unique d'une personne et qu'un niveau de tolérance est fixé pour les suggestions de concordance, un système d'identification faciale produit des suggestions de concordance fausses positives et des suggestions de concordance fausses négatives. Une concordance fausse positive signifie qu'on propose une concordance, mais qu'en réalité les photographies représentent deux personnes différentes. Une concordance fausse négative signifie qu'une concordance qui aurait due être réussie ne l'a pas été.

Dans l'implantation proposée de la technologie de RF par le Bureau des passeports, un opérateur de la Direction générale de la Sécurité validerait la suggestion de concordance des photographies produites par le logiciel de RF de l'ordinateur. La confirmation par l'opérateur exige que l'on décide que la personne apparaissant sur les deux photographies semble bien la même. Ensuite, l'opérateur doit s'assurer que le statut de la personne n'a pas changé. Cela vise à garantir que la personne continue de rester inadmissible à l'obtention d'un document de voyage. Une fois que le statut a été confirmé, la direction de la Sécurité entreprend une enquête. Ou, si la concordance confirmée est en regard de la base de données des documents de voyage délivrés (DVD), une mention CS est placée dans le dossier du document de voyage de la personne pendant le déroulement de l'investigation.

Les études citées dans ce rapport EFPV ont démontré qu’avec la technologie de RF, l'exactitude est un enjeu en matière de protection de la vie privée qui soulève des préoccupations. La perspective de la direction du projet est que n'importe quelle technique d'automatisation de la détermination de l'admissibilité à un programme pose un risque. La technologie ne fait que proposer une concordance, et c'est à un opérateur de faire la confirmation.

Le projet de validation de principe du Bureau des passeports a présenté des résultats de tests concernant l'efficacité de la technologie de RF. Les tests ont révélé que le logiciel de RF que l’on propose d’acheter reconnaît la bonne concordance la première fois dans 75 % du temps. Cette technologie propose la bonne concordance dans les 10 premières positions plus de 90% du temps. Ces chiffres correspondent aux images de la meilleure qualité. Pour les images de moindre qualité, comme celles fournies par la GRC, cette proportion chute à 75 %. Pour consulter des résultats plus exhaustifs, veuillez vous reporter au document préparé par le Bureau des passeports.

En ce qui concerne les réfugiés (non sujets aux mesures d’expulsion) et les immigrants admis, le fait que le Bureau des passeports communique avec CIC pour s’enquérir du statut d’une personne révèle que cette personne a pu présenter une demande de passeport pour lequel elle était, ou non, admissible. Il peut arriver que la demande de renseignements soit formulée pour la mauvaise personne. À cette étape–ci du processus, et avant qu’une enquête ne soit entamée, la demande de renseignements ne devrait pas être consignée par CIC par rapport à cette personne.

Le risque d’entrave à la protection des renseignements personnels provient du fait que de l’information inexacte sur une personne puisse être utilisée à l’avenir.

Recommandation 5a :

Qu'un protocole d'entente avec CIC ait une disposition qui empêche ce dernier de signaler qu'une requête de confirmation de statut est initiée à la suite d'une suggestion de concordance par un opérateur du Bureau des passeports.

Recommandation 5b :

Que le Bureau des passeports formule les mesures qu'il entend prendre pour que les concordances fausses positives, après confirmation que ce sont bien des fausses positives, ne laissent aucune trace dans le dossier de la personne.

Recommandation 5c :

Que le Bureau des passeports formule les procédures qu'il entend suivre pour empêcher l'utilisation et la conservation de renseignements erronés découlant d'une concordance confirmée par l'opérateur, quand il appert que c'était faux.

6. Responsabilités du dépositaire du programme

Les exigences de rendement du dépositaire du programme n’ont pas été documentées et des mesures du rendement n’ont pas été établies par rapport aux exigences. Voici des exemples d'exigence possibles dans l’éventualité ou un système de reconnaissance faciale serait mis en œuvre:

  • Déterminer les dispositions sur la protection des renseignements personnels dans les contrats qui sont nécessaires, ainsi que les classifications de sécurité exigées si les postes techniques pour la mise en œuvre et l'exploitation d'un système d'identification faciale sont occupés par des contractuels ou du personnel de sociétés de technologie.
  • Organiser des vérifications régulières visant à savoir si les exigences de protection des renseignements personnels sont respectées.
  • Se conformer à la Politique sur le couplage des données du SCT.
  • S'assurer que le motif de la collecte de renseignements personnels est bien décrit. Les motifs peuvent être détaillés dans le Fichier de renseignements personnels (FRP) d'Infosource.
  • Déterminer quelle information, s'il y a lieu, devrait être rendue publique au sujet de l'EFPV de l'identification faciale.
  • Voir à l'élaboration d'un plan de communication qui explique comment les renseignements personnels dans un système d'identification de visage sont gérés et protégés.

Le risque d'atteinte à la vie privée provient du fait que personne ne pourrait être imputable de l'implantation et du maintien des exigences en matière de protection des renseignements personnels.

Recommandation 6 :

Que le Bureau des passeports formule les exigences et mesures de rendement relatives à la protection de la vie privée à l'intention du dépositaire du programme si un système d'identification faciale était mis en œuvre au Bureau des passeports.

7. Avis de justification de la collecte

Le Bureau des passeports devrait ajouter la composante identification faciale de la procédure de demande de passeport dans l'avis de justification de la collecte de renseignements personnels. Cet avis est obligatoire en vertu de l'article 5 de la Loi sur la protection des renseignements personnels.

Le risque d'atteinte à la vie privée est que des personnes ne seront pas informées au moment de la collecte que leurs données personnelles servent à une vérification de routine.

Recommandation 7 :

Que le Bureau des passeports ajoute sur les demandes de documents de voyage l'utilisation de la technologie d'identification faciale dans son avis de justification de la collecte de renseignements personnels.

8. Activités de mise en concordance des données

La Politique sur le couplage des données du SCT porte sur la mise en concordance des renseignements personnels à des fins administratives. Une fin administrative est définie à l'Article 3 de la Loi sur la protection des renseignements personnels comme « l'usage de renseignements personnels concernant un individu dans le cadre d'une décision le touchant directement ».

Pour les besoins de cette EFPV, on a supposé que les activités de mise en concordance dans un système d'identification faciale répondront aux besoins de la Politique sur le couplage des données du SCT.

Dans le cas des photographies des requérants produites pour les documents de voyage et recueillies par le Bureau des passeports dans le cadre de la procédure de demande, il semble que l'usage de celles–ci et de quelques éléments de données personnelles soit compatible avec les justifications exprimées pour la collecte de renseignements personnels.

Le projet d'identification faciale propose de recueillir la photographie ou son rendu numérique de tous les réfugiés et immigrants reçus. Pour les résidents permanents du Canada, on propose d’utiliser le rendu numérique de la photographie prise pour les besoins de la carte de résident permanent (CRP) émise par CIC. Le rapport EFVP indique qu’il est autorisé de divulguer le rendu numérique des photographies sur les CRP des immigrants reçus ainsi que le reçu numérique des photographies des réfugiés.

Même si les réfugiés ou les immigrants reçus pourraient être inadmissibles à une demande de passeport, il n'y a aucun critère dans le processus de l'EFPV qui laisse entendre que ces vastes catégories de personnes voudraient soumettre des demandes de passeports.

Par suite de consultations et de discussions entourant la préparation de l’EFVP pour la reconnaissance faciale, le Bureau des passeports propose de restreindre la collecte des photographies aux réfugiés qui ont abandonné leur revendication du statut de réfugié et qui ont cessé de se rapporter aux autorités de l’immigration (allées et venues demeurent inconnues). De plus, les photographies des réfugiés et des immigrants reçus qui sont venus au Canada sans papiers, empêchant ainsi qu’on les identifie facilement, seraient également recueillies.

Il y a un risque d'atteinte à la vie privée du fait que les photographies de ces personnes servent:

  • À des fins connexes sans rapport avec les passeports;
  • À des fins connexes qui pourront devenir de plus en plus nombreuses dans l'avenir.

Quelque 750 certificats d’identité et 5500 documents de voyage du réfugié sont délivrés chaque année par le Bureau des passeports. Le Bureau des passeports a déjà les rendus numériques des photographies de ces personnes. Les réfugiés qui sont sujets à des mesures de renvoi sont déjà identifiés par la GRC comme faisant partie de la catégorie des personnes sujettes à des mandats d’arrêts pancanadiens.

Recommandation 8 :

Que le Bureau des passeports se conforme aux prescriptions de la Politique sur le couplage des données du SCT avant l'implantation d'un système d'identification faciale.

9. Conservation et élimination

Si un système d'identification faciale doit être mis en œuvre, il faut l'assortir d'un calendrier pour la conservation et l'identification qui respecte les prescriptions des Règlements de la Loi sur la protection des renseignements personnels et de la Politique sur la gestion de l'information gouvernementale du SCT.

Le risque d'atteinte à la vie privée provient de ce que des renseignements personnels pourraient être détruits en contravention de la politique gouvernementale ou qu'ils soient conservés plus longtemps que nécessaire.

Recommandation 9 :

Que le Bureau des passeports dispose pour le système d'identification faciale d'un calendrier pour la conservation et l'élimination conformément aux règlements de la Loi sur la protection des renseignements personnels et la Politique sur la gestion de l'information gouvernementale du SCT.

10. Mesures de sécurité obscures

Une évaluation de la menace et des risques (EMR) est prévue et on a embauché un consultant.

Les procédures de sécurité relatives à la collecte, la transmission, le stockage et l'élimination des renseignements personnels n'ont pas encore été documentées. On ne sait pas précisément comment les photographies ou leurs rendus numériques seront transmis au Bureau des passeports par les ministères sources.

Il est probable qu'un système de reconnaissance faciale (véhiculant des informations de protégées à secrètes) pour être isolé des autres systèmes du Bureau des passeports, devra posséder son propre réseau. Des contrôles devront être élaborés pour un système d'identification faciale afin de limiter l'accès au système à ceux qui ont « besoin de savoir ». Un plan d'assurance de la qualité et d'audit pour apprécier continuellement l'état des protections touchant le système d'identification faciale proposé devra être élaboré.

Il n'existe pas de procédure documentée pour communiquer les atteintes à la sécurité au sujet concerné par les données, aux autorités d'application de la loi, s'il y a lieu, et aux gestionnaires de programme en cause.

Le risque d'atteinte à la vie privée provient du fait qu'il n'existe pas de mesure de sécurité en accord avec la sensibilité des renseignements personnels. Les recommandations suivantes abordent en partie les risques relatifs à la vie privée touchant la création d'un identifiant, y compris le détournement de la fonction.

Recommandation 10a :

Que le Bureau des passeports formule les procédures de :

  • Collecte, transmission, stockage et élimination des renseignements personnels, et d'accès à ces renseignements
  • Communication des violations à la sécurité au sujet concerné par les données, aux autorités d'application de la loi, s'il y a lieu, et aux gestionnaires de programme concernés

Recommandation 10b :

Que le Bureau des passeports élabore un plan d'audit pour l'appréciation de l'état en cours des protections applicables au système d'identification faciale proposé.

11. Pratiques de gestion de l'information personnelle transparentes

Le MAECI n'a pas déterminé quelle information serait rendue publique et, si nécessaire, quelle information serait fournie aux personnes dont les photographies sont entrées dans le système d'identification faciale proposé. Le MAECI n'a pas déterminé s'il était nécessaire d'établir un processus officiel de plainte préalable à celui prescrit dans la Loi sur la protection des renseignements personnels, quand on conteste les résultats du système d'identification faciale ou leur application.

Le risque d'atteinte à la vie privée provient du fait qu'il n'y aurait pas suffisamment de transparence dans les pratiques de gestion des renseignements personnels. En revanche, le Bureau des passeports est préoccupé par le fait que la divulgation des mécanismes mis en place pour vérifier l'admissibilité pourrait être détournée de l'objectif initial de la collecte d'information par le Bureau des passeports.

Recommandation 11a :

Que le MAECI rende disponible au public, si nécessaire, l'information appropriée sur l'utilisation de la technologie de l'identification faciale dans le processus de demande de documents de voyage.

Recommandation 11b :

Que le MAECI formule le processus d'examen au sein du Bureau des passeports, quand les résultats de l'identification faciale ou leur application sont contestés.

12. Banque de renseignements personnels

Si un système de reconnaissance faciale était mis en œuvre, il conviendrait de mettre en place un fichier de renseignements personnels (FRP). Un FRP est un ensemble ou regroupement de renseignements personnels au sens de l'article 10 de la Loi sur la protection des renseignements personnels. Les FRP sont publiés dans Infosource, une publication du SCT produite à l'intention du grand public. La description d'un FRP devrait comprendre la désignation de tout usage de renseignements personnels pour une fin conforme.

Le risque d'atteinte à la vie privée est que le public ne soit pas informé de la collecte de renseignements personnels comme l'exige la Loi sur la protection des renseignements personnels.

Recommandation 12

: Que le Bureau des passeports formule et enregistre un FRP si un système d'identification faciale est mis en œuvre.

En conclusion, le rapport EFVP a révélé un certain nombre de risques d'atteinte à la vie privée associés au Projet de reconnaissance faciale et des mesures ont été recommandés pour les atténuer ou les éliminer.

Passeport Canada a déterminé qu’il existe des autorisations appropriées, aux fins prévues par la Loi sur la protection des renseignements personnels, pour la collecte de rendus numériques de photographies par l’organisme; toutefois, ces autorisations ne sont pas soutenues par un cadre législatif ou réglementaire global à l’échelle du gouvernement régissant l'utilisation, la divulgation, la conservation et la destruction d'identifiants biométriques. En outre, une analyse de l’article 8 de la Charte canadienne des droits et libertés indique l’absence d’autorisation légale pour certains volets du projet .

Le rapport EFVP a donc souligné la nécessité que soit mis en place un cadre législatif global au sein de Passeport Canada pour le fonctionnement du système de reconnaissance faciale et que la législation et la politique connexe fournissent des orientations en ce qui concerne l'utilisation, la divulgation, la conservation et la destruction d'identifiants biométriques, ainsi qu’un processus de plainte.