Skip to content
Cas clientTarifsSécuritéComparatifBlog
GlossaireGuides paysChecklistsCalculateur ROI

Europe

Americas

Oceania

Données15 min de lecture

Vérification biométrique au Québec : empreintes, visage et voix

Vérification biométrique au Québec et au Canada : empreintes digitales, reconnaissance faciale et vocale. Cadre Loi 25, LPRPDE, CANAFE et bonnes pratiques KYC.

L'équipe CheckFile
L'équipe CheckFile·
Illustration for Vérification biométrique au Québec : empreintes, visage et voix — Données

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

La vérification biométrique désigne la comparaison 1:1 d'une donnée biologique capturée en temps réel avec un gabarit de référence préalablement enregistré. Au Québec et au Canada, elle s'applique aux empreintes digitales, au visage et à la voix pour confirmer qu'une personne est bien celle qu'elle prétend être. Ces traitements sont soumis à la Loi 25 — Loi sur la protection des renseignements personnels dans le secteur privé (en vigueur depuis 2023, notamment ses articles 12 et 44 relatifs aux données biométriques), à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au niveau fédéral, et aux exigences de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT) pour les entités déclarantes.

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique, financier ou réglementaire. Les références réglementaires sont exactes à la date de publication. Les exigences varient selon la province, le secteur d'activité et le type d'entité. Consultez un professionnel qualifié pour un accompagnement adapté à votre situation.

Qu'est-ce que la vérification biométrique ?

La vérification biométrique est une comparaison 1:1 entre un échantillon biométrique en direct et un gabarit stocké. Elle est distincte de l'identification biométrique, qui consiste à comparer un échantillon contre une base de données entière (comparaison 1:N). Cette distinction est juridiquement déterminante, notamment au regard de l'article 44 de la Loi 25 et des lignes directrices de la CAI (Commission d'accès à l'information du Québec).

La vérification biométrique 1:1 — par exemple, confirmer qu'un égoportrait correspond au permis de conduire québécois — est moins exposée que l'identification 1:N, mais demeure soumise à l'article 44 de la Loi 25 qui impose une notification obligatoire à la CAI 60 jours avant toute collecte de données biométriques dans une base de caractéristiques (CAI, Loi 25 et données biométriques).

Les trois modalités principales

Modalité Principe de fonctionnement EER typique Usages courants
Empreinte digitale Analyse des minuties (crêtes, bifurcations) 1–2 % Contrôle d'accès, KYC mobile
Reconnaissance faciale Géométrie du visage, points de repère 3D 0,1–2 % Ouverture de compte à distance, e-KYC
Reconnaissance vocale Empreinte spectrale de la voix 2–5 % Authentification téléphonique, centres d'appels
Iris Motif irien unique 0,01 % Frontières, accès haute sécurité

L'Equal Error Rate (EER) est le point d'équilibre où le taux de faux acceptés (False Acceptance Rate, FAR) égale le taux de faux rejetés (False Rejection Rate, FRR). Pour les applications à haute sécurité, le FAR cible est inférieur à 0,01 %. Plus l'EER est bas, plus le système est précis.

Vérification vs identification : une distinction critique sous la Loi 25 et la LPRPDE

La Loi 25 introduit à son article 44 une réglementation spécifique des bases de données de caractéristiques biométriques : toute organisation qui constitue une telle base doit en informer la CAI au moins 60 jours avant sa mise en service. Cette obligation s'applique que la base serve à la vérification 1:1 ou à l'identification 1:N. La distinction reste toutefois pertinente pour l'évaluation du risque : l'identification à grande échelle dans des espaces publics comporte des enjeux de droits fondamentaux plus prononcés et est susceptible d'une surveillance réglementaire accrue par la CAI.

Le cadre juridique applicable au Québec et au Canada

Loi 25 : renseignements personnels biométriques et EFVP

La Loi 25, pleinement en vigueur depuis septembre 2023, constitue le principal cadre provincial de protection des renseignements personnels au Québec. Elle introduit deux obligations clés pour la biométrie :

  • Article 12 : toute organisation qui collecte des renseignements personnels sensibles — dont les données biométriques — doit réaliser une Évaluation des facteurs relatifs à la vie privée (EFVP) préalablement au déploiement du système. L'EFVP est l'équivalent québécois de l'AIPD (analyse d'impact relative à la protection des données) du RGPD européen.
  • Article 44 : toute organisation qui constitue une base de données de caractéristiques biométriques doit en aviser la CAI au moins 60 jours avant la mise en service, en précisant la nature des données collectées, les fins poursuivies et les mesures de sécurité appliquées.

La CAI est l'autorité de contrôle chargée de veiller à l'application de la Loi 25. Elle peut imposer des sanctions administratives pécuniaires allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les violations les plus graves.

Les fondements de traitement les plus courants en contexte d'entreprise québécoise sont :

  • Consentement manifeste : la personne doit manifester son accord de façon claire et libre, en comprenant à quoi elle consent.
  • Fins déterminées : les renseignements biométriques ne peuvent être utilisés qu'aux fins pour lesquelles ils ont été collectés.
  • Minimisation : seuls les renseignements nécessaires à la finalité peuvent être collectés — en pratique, le gabarit et non l'image brute lorsque c'est techniquement possible.

LPRPDE : cadre fédéral complémentaire

La LPRPDE s'applique aux entreprises privées qui exercent des activités commerciales interprovinciales ou interterritoriales au Canada. Pour les entreprises québécoises opérant dans le secteur financier fédéral (banques à charte fédérale, sociétés de fiducie fédérales), la LPRPDE coexiste avec la Loi 25. Le Commissariat à la protection de la vie privée du Canada (CPVP) supervise la conformité à la LPRPDE. La Loi C-27 (en cours d'adoption au moment de la publication) vise à remplacer la LPRPDE par la Loi sur la protection de la vie privée des consommateurs (LPVPC) et renforcerait les obligations relatives aux données biométriques.

LRPCFAT, AMF Québec et CANAFE

La LRPCFAT encadre les obligations de vigilance en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) pour les entités déclarantes canadiennes. Les signalements d'opérations douteuses s'effectuent auprès du CANAFE (Centre d'analyse des opérations et déclarations financières du Canada), homologue canadien de TRACFIN.

Au Québec, la supervision des marchés financiers est assurée par l'AMF Québec (Autorité des marchés financiers), qui a publié des lignes directrices sur la vérification d'identité à distance, notamment pour les assureurs, les courtiers et les planificateurs financiers. La Banque du Canada exerce un rôle de banque centrale et de surveillance du système de paiement.

La vérification biométrique est reconnue comme un moyen valide de vérification d'identité dans le cadre KYC canadien, sous réserve des exigences de la Loi 25 et de la LPRPDE. En 2024, les amendes mondiales liées aux manquements LCB-FT ont atteint 4,6 milliards de dollars. Le recours à la biométrie ne dispense pas de l'obligation de vigilance documentaire.

Pour approfondir les obligations documentaires, consultez notre article sur le RGPD et les documents d'identité.

Les documents d'identité québécois et canadiens

Au Québec et au Canada, les documents d'identité principaux utilisés en contexte de vérification biométrique sont :

  • Permis de conduire québécois : document d'identité courant, émis par la Société de l'assurance automobile du Québec (SAAQ), comportant une photo et des données d'identité. Il est couramment utilisé pour la comparaison faciale lors de l'ouverture de compte à distance.
  • Carte RAMQ : carte d'assurance maladie du Québec, émise par la Régie de l'assurance maladie du Québec. Son utilisation comme pièce d'identité principale est limitée — elle ne comporte pas de photo — mais elle peut compléter d'autres documents.
  • Passeport canadien : document d'identité de référence pour les vérifications à haute assurance, comportant une zone de lecture automatique (MRZ) et, dans les versions récentes, une puce biométrique (RFID).
  • Numéro d'assurance sociale (NAS) : identifiant fiscal canadien utilisé pour la vérification d'identité dans certains contextes financiers et fiscaux (Revenu Québec, ARC).

La comparaison entre un égoportrait en direct et la photo du permis de conduire québécois constitue le flux biométrique le plus courant dans les parcours d'ouverture de compte à distance au Québec.

La détection de vivacité (liveness detection)

La détection de vivacité est la couche de sécurité qui distingue une personne réelle d'une attaque par artefact (photo imprimée, masque 3D, deepfake vidéo). Elle est indispensable à tout système de vérification biométrique à distance, y compris dans les parcours d'ouverture de compte à distance conformes aux lignes directrices de l'AMF Québec.

La détection de vivacité passive — analyse de texture, de profondeur et de micro-mouvements sans demander d'action à l'utilisateur — réduit les taux de fraude par présentation de plus de 95 % dans les benchmarks publiés par iBeta (niveau ISO/IEC 30107-3) (ISO/IEC 30107-3, iBeta Evaluation).

Active vs passive

  • Active : l'utilisateur est invité à réaliser une action (cligner des yeux, tourner la tête, lire un code). Efficace contre les attaques statiques, mais crée de la friction dans le parcours client.
  • Passive : l'analyse s'effectue en arrière-plan sans interaction. Elle détecte les deepfakes, les masques et les injections vidéo numériques. Recommandée pour les parcours d'onboarding à faible friction.

Les lignes directrices de l'AMF Québec sur la vérification d'identité à distance recommandent l'utilisation de systèmes certifiés intégrant une détection de vivacité robuste pour les niveaux d'assurance élevés.

Performances et indicateurs clés

FAR, FRR et EER : ce qu'ils signifient en pratique

  • FAR (False Acceptance Rate) : probabilité qu'un imposteur soit accepté. Un FAR de 0,01 % signifie qu'en moyenne 1 tentative frauduleuse sur 10 000 aboutit.
  • FRR (False Rejection Rate) : probabilité qu'un utilisateur légitime soit rejeté. Un FRR élevé génère de la friction et des coûts de support, ce qui est particulièrement sensible dans les parcours d'ouverture de compte en ligne au Québec.
  • EER : point où FAR = FRR. Il est utilisé pour comparer les systèmes biométriques entre eux.

Pour les applications KYC réglementées au Québec — notamment soumises à la supervision de l'AMF et aux exigences de la LRPCFAT — le standard de l'industrie fixe un FAR inférieur à 0,01 % avec une détection de vivacité certifiée ISO/IEC 30107-3 niveau 2.

Données CheckFile

Notre plateforme de vérification documentaire et biométrique affiche un taux de rappel en détection de fraude de 94,8 %, un taux de faux positifs de 3,2 % et un délai moyen de vérification de 4,2 secondes. Les fraudes aux documents d'identité représentent 19 % de l'ensemble des fraudes documentaires détectées — un signal qui justifie le couplage systématique de l'analyse documentaire et de la vérification biométrique, en particulier pour les permis de conduire québécois et les passeports canadiens.

Déploiement : bonnes pratiques au Québec

Choisir la bonne modalité selon le contexte

Le choix de la modalité biométrique dépend du canal, du niveau de risque et des contraintes réglementaires québécoises et canadiennes. L'empreinte digitale convient aux contextes physiques (succursales, bornes d'accueil) ; la reconnaissance faciale est la plus adaptée à l'ouverture de compte à distance (comparaison égoportrait / permis de conduire) ; la reconnaissance vocale s'intègre aux canaux téléphoniques des centres d'appels.

Intégrer la biométrie dans un dispositif multicouche

La biométrie seule ne suffit pas à satisfaire les obligations de vigilance réglementaire au Québec et au Canada. Elle doit être couplée à la vérification documentaire (analyse OCR du permis de conduire, détection de falsification, vérification MRZ du passeport) et à la vérification des données (listes de sanctions CANAFE, vérification adresse, REQ/NEQ pour les entités). C'est cette combinaison qui constitue un dispositif KYC conforme au sens de la LRPCFAT et des lignes directrices de l'AMF Québec.

Pour en savoir plus sur les méthodes de vérification d'identité disponibles, consultez notre article sur la vérification d'identité : méthodes et technologies.

Conformité Loi 25 et CAI : les étapes clés au Québec

  1. Réaliser une EFVP (Évaluation des facteurs relatifs à la vie privée) avant tout déploiement, conformément à l'article 12 de la Loi 25.
  2. Aviser la CAI au moins 60 jours avant la mise en service de toute base de données de caractéristiques biométriques (article 44 de la Loi 25), en précisant la nature des données, les fins et les mesures de sécurité.
  3. Obtenir le consentement manifeste de la personne concernée, de façon libre, éclairée et spécifique.
  4. Appliquer le principe de minimisation : ne collecter que le gabarit, pas l'image brute, lorsque c'est techniquement possible.
  5. Définir la durée de conservation et les modalités de suppression des gabarits, et les communiquer à la personne concernée.
  6. Désigner un responsable de la protection des renseignements personnels (RPRP) au sein de l'organisation, conformément à la Loi 25.
  7. Publier une politique de confidentialité claire décrivant le traitement des données biométriques et les droits des personnes concernées (accès, rectification, retrait du consentement).
  8. Pour les entités déclarantes sous la LRPCFAT, documenter les procédures de vérification d'identité et les rendre disponibles pour inspection par CANAFE.

Consultez la page dédiée de la CAI et les lignes directrices de l'AMF Québec pour les dernières recommandations.

Risques et limites à connaître

La vérification biométrique présente des risques spécifiques, particulièrement en contexte québécois et canadien. Les gabarits biométriques sont permanents : contrairement à un mot de passe ou même à un NAS, ils ne peuvent pas être réinitialisés en cas de compromission. Les attaques par injection (substitution d'un flux vidéo synthétique à la caméra) contournent les systèmes sans détection de vivacité certifiée.

Les biais algorithmiques — variation des performances selon l'origine ethnique, l'âge ou le sexe — sont documentés et peuvent exposer l'opérateur à des risques de discrimination au sens de la Charte des droits et libertés de la personne du Québec et de la Loi canadienne sur les droits de la personne. La CAI a exprimé des préoccupations spécifiques sur ce point dans ses communications relatives à la Loi 25.

En cas d'incident de confidentialité impliquant des données biométriques, la Loi 25 impose de notifier la CAI et les personnes concernées lorsque l'incident présente un risque de préjudice sérieux, dans les meilleurs délais.

Questions fréquemment posées

La vérification biométrique est-elle obligatoire pour le KYC au Québec ?

Non, la vérification biométrique n'est pas obligatoire par défaut au Québec. La LRPCFAT impose la vérification de l'identité à partir de documents fiables, mais laisse le choix des moyens. L'AMF Québec reconnaît les méthodes de vérification à distance intégrant la biométrie faciale comme conformes pour les niveaux d'assurance appropriés. Certaines institutions financières imposent la vérification biométrique dans leurs politiques KYC internes pour les ouvertures de compte entièrement à distance.

Qu'est-ce que l'article 44 de la Loi 25 impose concrètement pour la biométrie au Québec ?

L'article 44 de la Loi 25 impose à toute organisation qui constitue une base de données de caractéristiques biométriques d'en aviser la CAI au moins 60 jours avant la mise en service. Cet avis doit préciser la nature des caractéristiques collectées (empreintes, visage, voix, etc.), les fins poursuivies, les mesures de sécurité mises en place, et la durée de conservation prévue. Cette obligation s'applique même si la base sert uniquement à la vérification 1:1. Le non-respect de cette obligation peut entraîner des sanctions administratives pécuniaires significatives.

Un consentement est-il toujours requis pour la collecte de données biométriques au Québec ?

Sous la Loi 25, le consentement est en principe requis pour la collecte de renseignements personnels sensibles, dont les données biométriques. Ce consentement doit être manifeste, libre, éclairé et spécifique à la finalité. Pour la biométrie en contexte de travail, la CAI recommande la prudence : le consentement d'un employé peut ne pas être considéré comme libre en raison du lien de subordination. Des bases légales alternatives — nécessité pour la finalité de la relation d'emploi, disposition légale — peuvent être envisagées, mais doivent être documentées soigneusement.

Comment CANAFE intervient-il dans les vérifications biométriques au Canada ?

Le CANAFE ne réglemente pas directement la technologie biométrique, mais ses lignes directrices sur la vérification d'identité (Ligne directrice 7a, 7b et 7c) précisent les méthodes acceptables pour identifier les clients à distance. La biométrie faciale couplée à la vérification documentaire est reconnue comme méthode conforme lorsqu'elle satisfait aux critères de fiabilité et de robustesse définis par le CANAFE. Les entités déclarantes doivent conserver les résultats des vérifications d'identité pendant au moins cinq ans et les rendre disponibles pour inspection.

Comment une organisation québécoise doit-elle gérer les gabarits biométriques au regard de la Loi 25 ?

Les gabarits biométriques doivent être chiffrés au repos et en transit, stockés séparément des données d'identité, et supprimés dès que la finalité du traitement est atteinte. La durée de conservation doit être définie et communiquée à la personne concernée avant la collecte. En cas d'incident de confidentialité impliquant des données biométriques, l'organisation doit évaluer le risque de préjudice sérieux et, si ce risque est avéré, notifier la CAI et les personnes concernées sans délai. Un registre des incidents de confidentialité doit être tenu à jour. Contrairement à un mot de passe, un gabarit biométrique compromis ne peut pas être modifié — la gestion des incidents est donc particulièrement critique pour ces données.

La vérification biométrique est une technologie mature, précise et désormais intégrée aux principaux référentiels réglementaires québécois et canadiens. Son déploiement au Québec exige une conformité rigoureuse à la Loi 25 (notamment ses articles 12 et 44), à la LPRPDE, à la LRPCFAT et aux recommandations de la CAI et de l'AMF Québec, ainsi qu'une architecture technique qui couple biométrie, analyse documentaire et détection de vivacité certifiée.

CheckFile, solution de vérification documentaire et d'identité, intègre l'analyse biométrique dans un dispositif multicouche conforme aux exigences de la LRPCFAT, de la Loi 25 et des lignes directrices de l'AMF Québec. Découvrez nos fonctionnalités de sécurité ou comparez nos offres tarifaires pour estimer le coût selon votre volume de vérifications. Pour une vue d'ensemble du cadre données et fraude, consultez notre guide données et fraude.

Approfondir le sujet

Découvrez nos guides pratiques et ressources pour maîtriser la conformité documentaire.

Articles associés

Données10 min

Statistiques fraude documentaire : tendances 2026

Fraude documentaire au Canada en 2026 : 1,2 milliard CAD de pertes, +31 % de deepfakes détectés, tendances par secteur.

Lire
Données15 min

ROI de l'automatisation conformité : étude chiffrée par secteur

Retour sur investissement de l'automatisation de la conformité documentaire : benchmarks par industrie, calculateur de coûts et données 2026.

Lire
Données9 min

Fraude documentaire : coûts : les chiffres

Chiffres clés de la fraude documentaire et coût réel de la validation manuelle au Québec et au Canada. Données, études et ROI de l'automatisation.

Lire