Rien de nouveau dans le domaine de la collecte de données chez les consommateurs : Amazon récolte les renseignements personnels depuis des années et en fait une priorité. Comme recensé par Leo Kelio, dans son article pour la BBC intitulé « Why Amazon knows so much about you » : « Amazon construit [depuis ses débuts], un bataillon d’experts en exploration de données ». Le 29 septembre 2020, Amazon ajoute une corde à son arc par l’annonce de sa plus récente technologie : Amazon one, système de paiement rapide et sans contact qui associe le numéro d’une carte de crédit à une « signature de la paume de la main unique ». Les utilisations du service de paiement Amazon One peuvent donc, dans deux succursales « Amazon Go », effectuer paiement de leurs achats par le simple flottement d’une main au-dessus de l’appareil Amazon One. Selon la compagnie, les images des paumes de mains seront cryptées et envoyées vers une zone « hautement sécurisée et personnalisée dans le Cloud ». Qui plus est, Amazon annonce déjà son intention de vendre sa technologie de paiement à « plusieurs acheteurs potentiels ».
Comme il sera développé ci-dessous, la compagnie n’est pas à sa première controverse dans le monde des renseignements personnels et des données sensibles. De plus, dans l’éventualité où Amazon implanterait des succursales avec Québec avec la technologie Amazon Go, à quelles dispositions législatives devra-t-elle se conformer ?
Amazon et la controverse : la quête incessante de collecte de données et renseignements personnels
En tant que consommateurs, nous sommes déjà habitués à plusieurs technologies qui dépendent sur la collecte de nos données personnelles. À la lecture de cet article d’Investopedia, il est effectivement possible de constater les multiples façons dont Amazon stocke, collecte et analyse les données personnelles de ses clients. Par exemple, nous sommes maintenant familiers avec les recommandations personnalisées basées sur nos habitudes d’achat, nos listes de souhaits et les articles examinés et ajoutés à notre panier.
Amazon n’est pas nouvelle aux controverses entourant cette utilisation massive de données. Par exemple, la nouvelle « Amazon Ring », sonnette d’entrée équipée de caméras, a été la source de nombreux débats ; cette dernière technologie fait effectivement l’objet de vives critiques par EFF (la Electronic Frontier Fondation), qui l’accuse d’être un véhicule pour de nombreux « trackers tiers » qui envoie une pléthore d’informations personnelles identifiables des consommateurs. Notamment, EFF soutient avoir réussi à déterminer que les données sensibles des utilisateurs recueillies par la Amazon Ring ont été délivrées à des tiers non-responsables envers Amazon et sans le consentement ni même la connaissance des utilisateurs.
La collecte de données par l’assistant vocal d’Amazon, « Alexa », est également critiquée dans un article du Washington Post, alors que la technologie est décrite comme « l’espion dans nos haut-parleurs ». L’article fait état de précédentes controverses reliées à l’enregistrement par Alexa des clips audios, notamment de leur envoi accidentel aux contacts de l’utilisateur et leur écoute par les employés d’Amazon pour l’avancement de leur technologie d’intelligence artificielle, de plus que l’accès par ces mêmes employés aux informations de localisations relatives à ces enregistrements.
Somme toute, il serait imprudent de banaliser l’importante crainte associée à la collecte et l’utilisation massive des données par Amazon. Aux États-Unis, l’arrivée d’Amazon Go consterne déjà les experts en matière de données et renseignements personnels. Par exemple, Evan Greer, directrice adjointe de Fight For the Future (groupe de défense des droits numériques), met en garde que :
« Les personnes à faible revenu et les personnes de couleurs, qui sont déjà soumises de manière disproportionnée à la collecte de données invasive des entreprises et du gouvernement, sont les plus touchées par ces alternatives de paiement basées sur la surveillance ».
Ainsi, il est possible de se questionner sur l’avenue potentielle de la toute nouvelle technologie Amazon Go au Québec, et sur le corpus législatif mis en place pour potentiellement protéger les consommateurs québécois. L’arrivée de telles technologies au Québec serait-elle aussi facile qu’elle l’est présentement dans les magasins Amazon Go américains ? Nous nous permettons d’en douter.
Collecte de données biométriques et législation québécoise sur la protection des renseignements personnels
Au Québec, la Commission d’accès à l’information (ci-après, « la Commission ») a pour mandat de veiller à l’application de la Loi sur la protection des renseignements personnels dans le secteur privé depuis son entrée en vigueur en 1994. Cet organisme voit notamment à la protection des renseignements personnels des citoyens québécois. Considérant le recours accru à la biométrie, la Commission porte donc une attention grandissante envers l’implication de la popularité de la biométrie en matière de protection des renseignements personnels, tel qu’il est possible de le constater dans son plus récent guide sur le sujet (juillet 2020). Il est notamment possible d’y lire, dès l’introduction :
« La popularité de la biométrie engendre […] une certaine banalisation de ses implications en matière de protection des renseignements personnels. Si on la dit sécuritaire, on oublie cependant trop souvent que son utilisation présente des risques pour la vie privée des personnes. Le cadre légal qui s’applique à la biométrie est par ailleurs méconnu. »
À propos de ce cadre légal, l’article 45 de la Loi concernant le cadre juridique des technologies de l’information crée une obligation pour les organisations qui souhaitent utiliser la biométrie de divulgation à la Commission. Les renseignements biométriques sont des renseignements personnels en vertu de l’article 2 de la Loi sur la protection des renseignements personnels dans le secteur privé, et cette loi serait applicable à Amazon à titre d’exploitante d’une entreprise au sens de l’article 1525 du Code civil du Québec et de personne qui recueille, détient, utilise ou communique à des tiers des renseignements personnels (article 1 de la Loi sur la protection des renseignements personnels dans le secteur privé).
Comme mentionné précédemment, la Commission d’accès à l’information du Québec a rédigé, au mois de juillet 2020, un guide d’accompagnement à l’intention des entreprises qui collectent des renseignements personnels issus de la biométrie. Ce guide inclut une démarche préventive qui vise à mieux protéger les renseignements personnels. Cette démarche prend notamment en compte la conformité d’un projet à la législation application à la protection des renseignements personnels ainsi que l’identification des risques d’atteinte à la vie privée.
Dans ce guide, la Commission souligne notamment que le recours à la biométrie doit viser à résoudre une situation problématique, donc poursuivre un objectif important et légitime. Si la collecte des mesures biométriques s’avère nécessaire, le projet devra être déclaré à la Commission, qui a pour pouvoir de suspendre ou interdire la mise en service d’une telle banque de mesures biométriques ou d’en ordonner la destruction (article 45 de la Loi concernant le cadre juridique des technologies de l’information). Il nous est possible d’entrevoir que la « problématique importante » dans le cadre du paiement sans contact serait débattue dans un contexte de pandémie à coronavirus, mais la Commission souligne tout particulièrement que « l’utilité ou la commodité ne justifient pas le recours à la collecte de caractéristiques ou de mesures biométriques ». Autre problématique : la Commission mentionne que la collecte éventuelle de données doit être le plus minimale possible, et donne pour exemple qu’une seule empreinte digitale doit être recueillie, et non pas les 10 doigts. Or, Amazon déclare déjà que les clients d’Amazon Go possèdent le choix d’utiliser la capture des deux paumes de mains.
D’un autre côté, l’article 44 de la Loi concernant le cadre juridique des technologies de l’information dispose que l’entreprise ne peut exiger, sans le consentement exprès de la personne, que la vérification ou la confirmation de son identité soit faite au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques. Ainsi, le consentement (qui ne libère pas l’entreprise de son obligation de ne recueillir que les renseignements personnels nécessaires) doit être éclairé. Selon la Commission, l’entreprise doit alors donner toute information pertinente au consommateur (notamment l’utilisation prévue des renseignements biométriques, les mesures de sécurité mises en place pour les protéger et les paramètres encadrant leur communication éventuelle.
Décision de la Commission d’accès à l’information du Québec : Fermeture envers l’utilisation de modes de paiement avec empreintes digitales
Au mois de février 2020, la Commission a rendu une décision relative à cet article 45 de la Loi concernant le cadre juridique des technologies de l’information. Effectivement, dans l’affaire Les 3 Pilliers inc., l’entreprise déclare à la Commission son intention de constituer une banque de caractéristiques biométriques à partir des empreintes digitales de ses clients afin que ceux-ci puissent payer leurs achats. Alors que cette intention se rapproche considérablement du projet « Amazon Go », la Commission décide d’interdire à l’entreprise de mettre en service sa banque de caractéristiques biométriques, pour plusieurs motifs.
L’entreprise justifie l’utilisation de cette nouvelle technologie par un désir de réduction de l’empreinte écologique associée à ses opérations, la réduction de la fraude et du temps d’attente aux caisses (paragraphe 20). Or, de l’avis de la Commission et après analyse des trois motifs apportés par l’entreprise, la collecte d’empreinte digitale des clients ne présente pas de caractère légitime, important et réel (paragraphes 43, 46, 48 et 50). Puis, la Commission émet une conclusion ferme quant aux risques relatifs à la vie privée des consommateurs reliés à cette pratique :
[56] Or, dans ses observations, l’entreprise ne présente aucun argument permettant d’apprécier en quoi l’atteinte au droit à la vie privée consécutive à la collecte des empreintes digitales serait proportionnelle aux objectifs qu’elle poursuit, ni en quoi les avantages issus de cette collecte surpassent l’atteinte à la vie privée des clients.
[57] De plus, considérant le fait que les empreintes digitales et les caractéristiques biométriques constituées à partir des empreintes sont distinctives, uniques et permanentes ou encore les risques et les préjudices encourus en termes de confidentialité et de sécurité de ce type de renseignements pour les personne concernée, la Commission considère que l’entreprise n’a pas rencontré son fardeau quant à la démonstration de la minimisation de l’atteinte à la vie privée que constitue cette collecte.
[…]
[60] Ainsi, les risques et les conséquences de cette collecte pour les personnes concernées surpassent de manière importante les avantages pour l’entreprise.
Conclusion : La technologie Amazon Go n’est pas prête à apparaitre au Québec, et la Commission d’accès à l’information du Québec réclame un meilleur encadrement de la collecte des données biométriques
En bref, est-ce que la technologie Amazon Go respecte, selon sa forme actuelle, le cadre législatif québécois ? Nous en doutons fortement. Amazon proclame fièrement que l’adhésion à Amazon Go « prend moins d’une minute » et se résume à l’insertion d’une carte de crédit et la collecte de données pour la création de la « signature unique » à l’aide de la paume de la main. Les images des mains sont envoyées dans une zone très peu définie « sécurisée, construite par Amazon dans le Cloud ». Or, la Commission, dans son guide, propose que les entreprises doivent privilégier les systèmes qui convertissent une image ou une empreinte en code, de façon irréversible pour limiter la sensibilité des mesures biométriques recueillies et conservées. De plus, la Commission recommande de ne pas avoir recours à une solution d’entreposage Cloud. Somme toute, il semble que nous sommes loin de voir apparaitre la technologie Amazon Go chez les succursales d’entreprises québécoises ou les futurs points de commerce Amazon. L’entreprise ne serait probablement pas en mesure de justifier l’utilisation de cette technologie à la lumière de l’article 5 de la Loi sur la protection des renseignements personnels dans le secteur privé, tel qu’il nous a été possible de le constater par la décision de la Commission d’accès à l’information du Québec dans l’affaire Les 3 Pilliers inc.
Le 29 septembre 2020, la Commission rend public son mémoire présenté à la Commission des institutions dans le cadre des consultations particulières et auditions publiques sur le projet de loi no 64. La Commission y aborde notamment la question de l’utilisation de la biométrie et formule cinq recommandations à son sujet puisqu’elle considère que le projet de loi ne prévoit aucune amélioration significative à ce sujet.
D’abord, la Commission propose que les articles 44 et 45 de la LCCJTI doivent se retrouver dans les lois en matière de protection des renseignements personnels, jugeant inadéquate leur position actuelle dans la LCCJTI ce qui a pour effet de rendre les obligations qu’ils disposent plus difficiles à repérer pour les entreprises (page 28 du rapport). Également, la Commission suggère l’intégration au corpus législatif d’une définition de l’expression « renseignements biométriques », et le retrait du terme de « banque de données » actuellement utilisé dans la LCCJTI (page 29 du rapport). Puis, la Commission aborde l’idée d’introduire une obligation aux entreprises de réaliser une évaluation des facteurs relatifs à la vie privée avant la mise en activité d’un système utilisant des technologies reliées à la biométrie, l’interdiction de la conservation de l’image brute captée et leur destruction suite à sa conversion en code, et l’intégration de sanctions administratives pécuniaires ou pénales dans les cas de non-respect d’éventuelles obligations liées à l’utilisation de la biométrie (page 30 du rapport).
Commentaires