Utilisation d’empreintes vocales à des fins d’authentification : points à retenir de l’affaire Rogers

Éloïse Gratton October 26, 2022

Face à l’augmentation constante des risques de fraude, de plus en plus d’organisations, notamment des banques et des entreprises de télécommunications, songent à se tourner vers l’empreinte vocale pour authentifier leurs clients. Cette dernière, qui fait partie de la catégorie des données biométriques, est un modèle numérique de la signature vocale d’une personne. On peut donc s’y fier au même titre qu’une empreinte digitale pour identifier ou authentifier une personne. Contrairement aux identifiants traditionnels et aux mots de passe – qui sont de plus en plus sujets à des incidents de confidentialité et donc disponibles aux malfaiteurs – les technologies d’empreinte vocale sont plus fiables puisqu’elles font appel à de l’information biométrique, unique à chaque personne.

Les technologies d’empreintes vocales ne font cependant pas l’unanimité : certains voient ce type d’analyse comme une atteinte à la vie privée, comme le démontre la décision rendue plus tôt cette année par le Commissariat à la protection de la vie privée du Canada (le « Commissariat » ou le « CPVP ») contre Rogers Communications Inc. («Rogers ») (voir Conclusions en vertu de la LPRPDE n^o 2022-003).

Les organisations qui ont recours à la biométrie de manière illicite s’exposent à divers risques réglementaires de même qu’à des poursuites en justice; plusieurs actions collectives ont d’ailleurs récemment été intentées dans le district sud de la Californie contre des banques qui utilisaient la reconnaissance vocale pour authentifier des clients, et l’Illinois a rendu sa première décision sur le fond en vertu de l’Illinois Biometric Information Privacy Act, dans un dossier qui concernait l’authentification d’employés par l’entremise de leurs empreintes digitales, sans leur consentement (les plaignants se sont vu accorder 228 M$ US en dommages-intérêts).

Afin d’aider les entreprises à mieux comprendre le contexte juridique dans lequel elles évoluent et à minimiser les risques auxquels elles font face, nous avons préparé un article qui résume les conclusions publiées dans l’affaire Rogers et fournit quelques conseils de conformité devant être pris en compte avant de mettre en œuvre un programme d’authentification par empreinte vocale.

Vous pouvez accéder à notre article disponible sur le site de BLG.

This content has been updated on October 27, 2022 at 14 h 34 min.

Éloïse Gratton

Privacy & Data Protection Law

Utilisation d’empreintes vocales à des fins d’authentification : points à retenir de l’affaire Rogers

Data governance and privacy risks in Canada: A checklist for boards and c-suite

An Update on New Québec Confidentiality Incidents and Record-Keeping Requirements

The inside scoop on how to become a privacy lawyer: 10 tips from the top

Preparing for the Privacy Reform in Canada

Getting Ready for Québec’s New Privacy Law in 2023 (Part 1): Using what we know so far

Getting Ready for Quebec’s New Privacy Law in 2023 (Part 2): Navigating uncertainty in the Law

Une fugitive recherchée depuis 30 ans, capturée à Berlin grâce à la reconnaissance faciale

CBC Windsor Morning Radio Show

La Cour suprême vient compliquer les cyberenquêtes

Une fugitive capturée à Berlin grâce à la reconnaissance faciale

Aide-mémoire en matière de protection de la vie privée et de sécurité des renseignements personnels

Lucky 7 data privacy and security cheat sheet