Logo du Secrétariat du conseil du trésor.
Vous êtes ici : AccueilRessources informationnellesCadre normatif de gestion des ressources informationnellesLoi concernant le cadre juridique des technologies de l'informationFoire aux questionsFoire aux questions - l'identification des personnes et la protection de la vie privée

Foire aux questions - l'identification des personnes et la protection de la vie privée

55- Pourquoi faut-il établir un lien entre une personne et un document ?

Pour disposer du degré de certitude nécessaire quant à l'origine du document. Dans plusieurs circonstances de la vie courante, on a besoin d'être certain qu'un document provient bien de telle personne et non d'une autre.

Retour en haut de la page

56-Comment établir un lien entre une personne et un document ?

Là encore, la loi laisse aux citoyens le choix des moyens. Le lien entre une personne et un document technologique, ou le lien entre un tel document et une association, une société ou l'État, peut être établi par tout procédé ou par une combinaison de moyens. Ces moyens doivent permettre soit d'une part de confirmer l'identité de la personne qui effectue la communication ou l'identification de l'association, de la société ou de l'État et, le cas échéant, de sa localisation, ainsi que la confirmation de leur lien avec le document, soit d'autre part d'identifier le document et, au besoin, sa provenance et sa destination à un moment déterminé.

En principe, il y a liberté dans le choix des moyens. Le lien peut être assuré par tout procédé ou moyen permettant de les relier. Il y a toutefois des limites à cette liberté de choix : les articles 40 à 46 précisent les qualités que doivent posséder les mécanismes utilisés pour établir ces liens et imposent des conditions pour l'utilisation de certains moyens et procédés.

Voir les articles 39, 40 et 46.

Retour en haut de la page

57- La signature ne se conçoit-elle pas que pour un document établi sur papier ?

Au sens du Code civil québécois, la signature consiste dans l'apposition qu'une personne fait à un acte de son nom ou d'une marque qui lui est personnelle et qu'elle utilise de façon courante, pour manifester son consentement. Quel que soit le support du document, la signature d'une personne peut servir à l'établissement d'un lien entre elle et un document. La signature peut être apposée au document au moyen de tout procédé qui permet de satisfaire aux exigences de l'article 2827 du Code civil.

La signature d'une personne apposée à un document technologique lui est opposable lorsqu'il s'agit d'un document dont l'intégrité est assurée et qu'au moment de la signature et depuis, le lien entre la signature et le document est maintenu.

Voir l'article 39.

Retour en haut de la page

58- Comment la loi contribue-t-elle à protéger la vie privée ?

La loi prévoit plusieurs mesures de protection de la vie privée.

Il faut, lors de chaque phase du cycle de vie d'un document, prendre les précautions de nature à garantir la protection des renseignements personnels. Des balises sont aussi édictées à l'égard de l'usage de mécanismes d'identification et de vérification de l'identité. Enfin, l'activité de certification comporte spécifiquement certaines mesures de protection de la vie privée et de contrôle de l'accès à de l'information jugée sensible.

Voir les articles 20, 24, 25, 26, 34, 40, 41, 43, 44, 45, 47, 50, 52, 57 et 58.

Retour en haut de la page

59- Comment une personne qui utilise les technologies de l'information peut-elle être identifiée ?

L'identification est un processus inhérent à la vie sociale. Pour assurer le déroulement de la plupart des activités, tous doivent procéder à l'identification des personnes physiques, des personnes morales et des choses. Il est en effet essentiel, pour la plupart des interactions humaines, de savoir à qui l'on a affaire. L'identification est un processus d'information par lequel on compare de l'information afin d'avoir le degré de certitude requis à l'égard des qualités de la personne avec laquelle on entre en contact.

La vérification de l'identité ou de l'identification doit se faire dans le respect de la loi. Elle peut être faite en se référant aux registres officiels et ce, quel que soit le support au moyen duquel elle communique. La vérification de l'identité d'une personne peut aussi être effectuée à partir de caractéristiques, connaissances ou objets qu'elle présente ou possède.

La vérification de l'identité, faite par une personne ou pour elle, peut être effectuée, sur place ou à distance, par constatation directe ou au moyen de documents dont l'intégrité est assurée et qui peuvent être disponibles sur différents supports pour consultation sur place ou à distance.

Voir l'article 40.

Retour en haut de la page

60- Quelles obligations incombent à ceux qui détiennent des documents d'identité à l'égard de tels documents ?

Les documents présentés au soutien d'une demande d'identification constituent les pièces justificatives sur lesquelles on s'appuie pour certifier l'identification. De tels documents doivent être conservés, et leur intégrité doit être préservée, notamment à des fins de vérification ou de renouvellement de l'identification.

Voir l'article 41.

Retour en haut de la page

61- Un document technologique peut-il servir à l'identification d'une personne ?

La loi détermine l'équivalent fonctionnel des pièces d'identité pour l'univers des technologies de l'information. Ainsi, toute attestation d'identité requise en vertu d'une loi québécoise peut être fournie au moyen d'un document technologique si le support utilisé le permet. Cela permettra, le moment venu, d'utiliser des identités numériques sur Internet.

Voir l'article 42.

Retour en haut de la page

62- Peut-on avoir recours à n'importe quelle technique pour identifier une personne ?

La loi interdit d'exiger l'utilisation d'un procédé ou d'un dispositif pour établir l'identité d'une personne et qui porte atteinte à son intégrité physique, par exemple l'implantation d'une puce dans le corps ou le prélèvement d'une substance corporelle.

Cependant, l'utilisation d'un dispositif permettant de retracer une personne (p. ex. un bracelet de localisation) dans le cas où le législateur le prévoit expressément en vue de protéger la santé des personnes ou la sécurité publique. Par exemple, ces procédés pourraient être utilisés afin de localiser des personnes atteintes de maladies laissant craindre qu'elles oublient le lieu de leur domicile. Ces dispositifs pourraient aussi servir en lieu et place de l'incarcération. En outre, la loi limite et encadre strictement le recours aux mesures biométriques à des fins d'identification.

Voir les articles 43 et 44.

Retour en haut de la page

63- Qu'entend-t-on par caractéristiques ou mesures biométriques ?

Les traits de la personne peuvent être utilisés dans le cadre du processus d'identification fondés sur la physiologie naturelle d'une personne. On parle alors d'identification biométrique. La biométrie s'appuie sur la prise en compte d'éléments morphologiques uniques et propres des individus, tels que les caractères physiologiques ou les traits comportementaux automatiquement reconnaissables et vérifiables. Ainsi il existe deux catégories de technologies permettant de saisir des caractéristiques ou des mesures biométriques :

1.Les techniques d'analyse du comportement :

  • la dynamique de la signature (la vitesse de déplacement du stylo, les accélérations, la pression exercée, l'inclinaison, etc.);
  • la façon d'utiliser un clavier d'ordinateur (la pression exercée, la vitesse de frappe, etc.);

2.Les techniques d'analyse de la morphologie humaine :

  • les empreintes digitales;
  • la forme de la main;
  • les traits du visage;
  • le dessin du réseau veineux de l'oeil (l'iris et la rétine);
  • la voix.

Par exemple, des dispositifs peuvent effectuer l'appariement entre une carte comportant une empreinte digitale et l'empreinte qui est présentée par le possesseur de la carte.

Retour en haut de la page

64- Peut-on exiger que l'identité d'une personne soit confirmée par des procédés biométriques ?

Oui mais le législateur limite le recours à l'identification par la biométrie en imposant les balises suivantes :

Premièrement, le consentement de la personne est nécessaire pour vérifier ou confirmer son identité au moyen de mesures biométriques. On ne précise pas la forme que doit prendre ce consentement, mais son importance appelle de consigner ce consentement dans un document explicite.

Deuxièmement, la prise de mesures ou de caractéristiques doit être minimale. On limite la quantité d'informations biométriques recueillies. L'identité ne peut être établie qu'en faisant appel au minimum de caractéristiques ou de mesures requises pour relier un individu à l'action qu'il pose.

Troisièmement, le procédé utilisé doit permettre à la personne de savoir que des mesures portant sur ses caractéristiques biométriques sont prises. Par conséquent, on ne peut capter de telles caractéristiques à l'insu de la personne.

Quatrièmement, tout autre renseignement concernant la personne et obtenu suite à la saisie des mesures ne peut être utilisé à aucune autre fin que l'identification de cette personne. Par exemple, la cueillette d'une image de la rétine d'un individu dans le cadre d'un système de sécurité pourrait en certains cas déceler une maladie de l'oeil. Cette information secondaire, en vertu du deuxième alinéa de l'article 44, ne pourrait être utilisée par l'employeur pour justifier une décision à son égard. De plus, cette information ne pourrait être dévoilée qu'au principal intéressé, et à sa demande s'il a connaissance qu'elle a été recueillie.

Enfin, les caractéristiques doivent être détruites lorsque l'objet fondant la vérification ou la confirmation d'identité est accompli ou lorsque le motif qui la justifie n'existe plus.

Voir l'article 44.

Retour en haut de la page

65- Lorsque des données biométriques sont utilisées, peuvent-elles être conservées ?

Ces données peuvent être conservées dans une banque de données biométriques. Toutefois, la loi oblige de divulguer l'existence de toute banque de données biométriques à la Commission d'accès à l'information (CAI).

La CAI exerce un pouvoir étendu à l'égard des banques de données biométriques. Elle peut rendre toute ordonnance sur les règles qui gouverneront la confection, l'utilisation, la consultation, la communication et la conservation, y compris l'archivage ou la destruction de telles banques. Elle peut aussi en suspendre ou interdire la mise en service ou en ordonner la destruction, si ses ordonnances ne sont pas respectées ou si la banque porte atteinte au respect de la vie privée.

Voir l'article 45.

Retour en haut de la page

66- Comment une personne qui utilise les technologies de l'information peut-elle être localisée ?

La loi interdit d'exiger qu'une personne soit liée à un dispositif qui permet de savoir où elle se trouve. On peut localiser une personne qui utilise les technologies de l'information en ayant recours aux moyens licites et à la condition que l'intéressé ait consenti.

Voir l'article 43.

Retour en haut de la page

67- Comment les documents ou les objets utilisés pour la communication peuvent-ils être identifiés et localisés ?

Il importe en effet que puisent être identifiés les documents utilisés afin d'effectuer une communication sur un réseau, c'est-à-dire transmettre une information, et que ce document doit être conservé afin de pouvoir, le moment venu, en faire la preuve.

La principale exigence est que l'on doit conserver l'identifiant du document, et ce, pendant tout le cycle de vie du document. La personne responsable du document assume cette obligation.

Un identifiant est une fonctionnalité technique qui vise essentiellement le nom de référence du document et des objets qui servent à établir sa provenance ou sa destination. Pour que cette preuve puisse être faite, les identifiants doivent être inscrits dans un répertoire accessible au public.

L'identifiant d'un document consiste en le nom de référence distinct et non ambigu utilisé pour le retracer dans le réseau local où il se trouve, ainsi que des extensions additionnelles requises pour le retracer dans le réseau global. Autrement dit l'identifiant correspond, par exemple, à l'adresse d'un document sur le Web.

Ainsi, lorsqu'un document est utilisé pour effectuer une communication en réseau et qu'il doit être conservé pour servir de preuve, il doit être conservé à l'adresse qui lui a été attribuée au départ. Si un certificat a été émis pour garantir le lien entre le document et son identifiant, ce certificat doit être disponible pour consultation publique au moyen d'un service de répertoire. La nature et les fonctions des services de répertoire sont précisées aux articles 50 et 51.

Enfin, lorsque la provenance ou la destination d'un document à un moment déterminé doit être établie, le dernier alinéa de l'article 46 prévoit que les autres objets qui ont servi à établir la communication doivent pouvoir eux aussi être identifiés et localisés par leurs propres identifiants.

Voir l'article 46.

Retour en haut de la page