Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Fiches des enjeux au sujet de l’examen la loi sur la protection des renseignements personnels de l’Alberta

Comparution devant le Comité permanent de l’Alberta

Sur cette page

Comparateurs fédéraux, provinciaux, territoriaux et internationaux

Dans la présente section

Régimes essentiellement similaires

Principaux messages

  • En 2004, la loi sur la protection des renseignements personnels de l’Alberta (Personal Information Protection Act [PIPA] de l’Alberta) a été considérée comme étant essentiellement semblable à la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
  • La Loi sur la protection de la vie privée des consommateurs (LPVPC) proposée dans le projet de loi C-27 maintient les dispositions de la LPRPDE au titre desquelles les organisations seront largement exemptées de l’application de la loi fédérale dans les provinces ou les territoires où les lois sur la protection de la vie privée sont essentiellement similaires.
  • Le projet de loi C-27 ne dit rien sur ce qu’il adviendra des décrets d’exemption existants pour des lois provinciales essentiellement similaires.

Contexte

  • Conformément à l’article 26(2)b) de la LPRPDE, il existe actuellement plusieurs lois provinciales sur la protection de la vie privée qui ont été jugées essentiellement similaires à la partie 1 de la LPRPDE.
  • Le gouverneur en conseil peut, par décret, exclure les organisations (à l’exception des entreprises fédérales) de l’application de la partie 1 de la LPRPDE en ce qui concerne la collecte, l’utilisation et la communication de renseignements personnels qui ont lieu dans ces provinces.
  • Innovation, Sciences et Développement économique Canada (ISDE) a établi des critères pour déterminer si une loi provinciale en matière de protection de la vie privée est considérée comme essentiellement similaire, notamment si elle fournit une protection de la vie privée équivalente à celle de la LPRPDE et cohérente avec celle de la LPRPDE.
  • Le projet de loi C-27 abrogerait la partie 1 de la LPRPDE et édicterait la LPVPC.
  • La LPVPC autorise le gouverneur en conseil à prendre des décrets d’exemption pour des lois essentiellement similaires; toutefois, la Loi ne contient aucune disposition concernant les décrets d’exemption existants pris en vertu de la LPRPDE.
  • Comme les décrets actuels sont conçus comme des exemptions à l’application de la LPRPDE plutôt qu’à l’application de la LPVPC, les décrets d’exemption actuels pour des lois essentiellement similaires, notamment celui pour la PIPA de l’Alberta, devront être remplacés par de nouveaux décrets pris par le gouverneur en conseil si la LPVPC entre en vigueur.

Responsable : Services juridiques

Collaboration fédérale, provinciale et territoriale

Principaux messages

  • L’interopérabilité des lois sur la protection des renseignements personnels contribue à rassurer les gens que leurs données sont soumises à des mesures de protection semblables lorsqu’elles traversent les frontières et à réduire les coûts liés à la conformité pour les organisations.
  • En tant que commissaires, nous essayons d’adopter une approche uniforme dans l’ensemble des juridictions pour relever les défis liés à la conformité en matière de protection de la vie privée.
  • Je rencontre chaque mois mes homologues provinciaux et territoriaux, en plus de les rencontrer en personne chaque année, pour discuter de questions d’intérêt commun, fournir des mises à jour et établir les préoccupations communes.
  • Le groupe publie également des résolutions et des déclarations conjointes pour exprimer un consensus sur des politiques publiques d’intérêt commun ou des préoccupations communes pour les commissaires.
  • Pour des activités comme la tenue d’enquêtes conjointes et l’établissement d’orientations destinées aux organisations, le Commissariat à la protection de la vie privée du Canada travaille en étroite collaboration avec les commissariats à la protection de la vie privée de l’Alberta, de la Colombie-Britannique et du Québec, car ils sont soumis à des lois provinciales jugées essentiellement similaires à la Loi sur la protection des renseignements personnels et les documents électroniques.

Contexte

  • En mai 2022, le Commissariat à la protection de la vie privée du Canada, de concert avec les commissariats de l’Alberta, du Québec et de la Colombie-Britannique, a conclu un protocole d’entente pour permettre l’échange d’information, la tenue de consultations sur des questions d’application de la loi, les discussions sur des points d’intérêt commun en matière de politiques, et l’élaboration de ressources liées à la sensibilisation du public et à la conformité. Pour y arriver, les commissariats ont créé deux forums qui se réunissent régulièrement, soit le Forum sur la protection des renseignements personnels dans le secteur privé et le Forum national de collaboration sur l’application de la loi.
  • En octobre 2023, les commissaires fédéral, provinciaux et territoriaux (FPT) ont adopté deux résolutions sur la protection de la vie privée, soit Mettre l’intérêt supérieur des jeunes à l’avant-plan en matière de vie privée et d’accès aux renseignements personnels et La protection de la vie privée des employés sur les lieux de travail modernes. En décembre 2023, les commissaires FPT ont publié les principes pour des technologies de l’intelligence artificielle (IA) générative responsables, dignes de confiance et respectueuses de la vie privée.
  • Le Commissariat mène actuellement plusieurs enquêtes conjointes avec les commissariats à la protection de la vie privée provinciaux, notamment sur TikTok, Open AI et Certn. Les résultats seront publiés dans les prochains mois.

Responsable : Relations internationales, provinciales et territoriales

Loi 25 du Québec

Principaux messages

  • La Loi 25, auparavant le projet de loi 64, a placé la barre haute en matière de protection de la vie privée au Canada.
  • Contrairement au projet de loi C-27, la Loi 25 comprend des dispositions qui protègent le droit à la réputation, donne aux personnes le droit de contester des décisions automatisées et s’applique aux partis politiques.
  • Elle permet également à mon homologue du Québec de vérifier de façon proactive la conformité d’une organisation et d’imposer des sanctions pécuniaires pour un large éventail d’infractions, notamment celles liées à la collecte, à l’utilisation ou à la communication de renseignements personnels.
  • Un grand nombre de mes recommandations sur le projet de loi C-27 étaient inspirées de la Loi 25 et de lois d’autres administrations nationales et internationales.

Contexte

  • La Loi 25 a été promulguée le 21 septembre 2021 et est entrée en vigueur en trois phases. En date du 22 septembre 2024, elle est pleinement en vigueur; le droit à la portabilité des données visait la phase finale.
  • Bien que la LPVPC prévoie de nouveaux droits pour les personnes, de nouvelles obligations et de nouveaux mécanismes d’application, ils sont limités en comparaison à ce qui a été introduit au titre de la Loi 25. La Loi 25 comprend des dispositions relatives à la protection de la vie privée par défaut, aux évaluations des facteurs relatifs à la vie privée (EFVP), à la circulation transfrontalière des données, aux audits proactifs et à l’application aux partis politiques.
  • La Loi 25 permet la communication de renseignements personnels à des fins de recherche sans obtenir le consentement des personnes concernées, mais prévoit également des mesures de protection, comme la réalisation par l’organisation d’une EFVP avant la communication. Dans le contexte du projet de loi C-27, le Commissariat à la protection de la vie privée du Canada a recommandé que l’exception de la LPVPC pour le consentement à la recherche soit plutôt limitée à des fins d’étude ou de recherche érudites.
  • La Loi 25 exige que l’anonymisation soit effectuée selon les « meilleures pratiques généralement reconnues ». Dans le cadre de l’étude article par article du projet de loi C-27, le Comité permanent de l’industrie et de la technologie (INDU) a adopté une motion visant à modifier la définition d’« anonymiser » de la LPVPC afin de supprimer ce passage, comme l’avait recommandé le Commissariat. Les règlements publiés le 15 mai 2024 pour la Loi 25 décrivent un processus en trois phases qui oblige les organisations à établir des objectifs, à mettre en œuvre des techniques d’anonymisation qui tiennent compte des meilleures pratiques et des risques de réidentification, et à réévaluer périodiquement les données anonymisées.

Responsable : Politiques, recherche et affaires parlementaires (PRAP)

RGPD et adéquation

Principaux messages

  • Le 15 janvier 2024, la Commission européenne a conclu que le Canada continue d’offrir un niveau de protection adéquat au titre du Règlement général sur la protection des données (RGPD), ce qui permet aux organisations de continuer à transférer des données de l’Union européenne (UE) vers le Canada sans exigences supplémentaires.
  • La Commission recommande d’inscrire dans la loi certaines mesures de protection élaborées au niveau infra-législatif en vue de renforcer la sécurité juridique et de regouper les nouvelles exigences, comme celles concernant les renseignements personnels de nature sensible.
  • La Commission note que la réforme en cours de la LPRPDE (projet de loi C-27) pourrait offrir une telle occasion.

Contexte

  • L’article 45 du RGPD autorise le transfert de données personnelles vers un pays tiers sans exigences supplémentaires, une fois que la Commission européenne a déterminé que le pays tiers assure un « niveau de protection adéquat ».
  • La LPRPDE s’est vu accorder le statut en matière de protection adéquate en 2001, conformément au paragraphe 25(6) de la directive 95/46/CE. Lorsque le RGPD est entré en vigueur, en 2018, les décisions existantes sont restées en vigueur jusqu’à ce qu’elles soient modifiées, remplacées ou abrogées par la Commission.
  • Le 15 janvier 2024, la Commission européenne a conclu l’examen de 11 décisions d’adéquation, dont celle du Canada. L’examen s’est concentré sur les développements survenus au Canada depuis l’adoption de la décision en 2001, notamment le cadre canadien pour la protection des données, les règles relatives à la surveillance, à l’application de la législation, aux recours et à l’accès du gouvernement aux données. Comme les décisions sont réexaminées tous les quatre ans, un nouvel examen devrait avoir lieu en 2028.
  • Conformément à la décision d’adéquation, les provinces n’ont pas besoin de lois essentiellement similaires pour que les organisations puissent recevoir des renseignements personnels de l’UE, car ces transferts sont des transferts transfrontaliers de données et sont donc assujettis à la LPRPDE.

Responsable : PRAP

Développements sur la scène internationale : Généralités

Principaux messages

  • Le renforcement des droits en matière de protection de la vie privée à l’échelle mondiale et les partenariats internationaux contribuent à assurer la protection des renseignements personnels des Canadiens lorsqu’ils sont traités à l’extérieur des frontières du pays.
  • L’interopérabilité internationale des lois sur la protection des renseignements personnels est également bénéfique pour les organisations, car elle leur permet de réduire les coûts liés à la conformité.
  • Le Commissariat participe à des réseaux internationaux et collabore avec les autres commissariats à la protection de la vie privée afin d’optimiser les ressources, d’élaborer des positions stratégiques communes et de partager les pratiques exemplaires en matière d’application de la loi.

Contexte

  • Table ronde des autorités de protection des données et de la vie privée du G7 : L’événement de 2024 aura lieu à Rome en octobre. Le Commissariat sera responsable de l’organisation de l’événement en 2025. Les trois groupes de travail sont : Libre circulation des données en toute confiance; Collaboration en matière d’application de la loi; Technologies émergentes (dont le Commissariat assure la présidence).
  • Assemblée mondiale pour la protection de la vie privée (AMVP) : Le Commissariat préside trois groupes de travail (le Groupe de travail sur la protection des données et d’autres droits et libertés, le Groupe de travail sur la coopération internationale en matière d’application de la loi, et le Groupe de travail sur le citoyen et le consommateur numérique), et est membre de huit autres groupes, notamment sur l’éthique de l’intelligence artificielle (IA) et sur l’éducation numérique. L’AMVP de 2024 aura lieu en octobre à Jersey (îles Anglo-Normandes).
  • Autres forums : Le Commissariat est membre du Global Privacy Enforcement Network (GPEN), des autorités de protection de la vie privée de la zone Asie-Pacifique; et de l’Association francophone des autorités de protection des données (AFAPDP). Le Commissariat participe également au Sous-groupe sur la protection des données de la Coopération économique Asie-Pacifique, au Forum mondial sur les règles relatives aux transferts transfrontaliers de données, et au groupe de travail sur la gouvernance des données et la protection de la vie privée dans l’économie numérique de l’ Organisation de coopération et de développement économiques (OCDE).
  • Initiatives conjointes : Le Commissariat a signé 10 protocoles d’entente bilatéraux et 3 protocoles d’entente multilatéraux et participe à l’accord de coopération de la Coopération économique de la zone Asie-Pacifique (APEC) pour l’application transfrontalière de la protection de la vie privée, à l’entente de coopération transfrontalière dans l’application des lois de l’AMVP et à l’entente mondiale de coopération en matière d’application de la loi pour protéger la vie privée. Le Commissariat mène actuellement une enquête conjointe sur 23andMe avec le commissariat à l’information du Royaume-Uni dans le cadre du protocole d’entente entre les deux commissariats.
  • Adéquation du RGPD : En janvier 2024, la Commission européenne a déterminé que la loi canadienne sur la protection des renseignements personnels dans le secteur privé, la LPRPDE, continuait d’offrir une protection adéquate au titre du RGPD.

Responsable : Relations internationales, provinciales et territoriales

Développements sur la scène internationale : Loi sur l’IA de l’UE

Principaux messages

  • La loi sur l’IA de l’UE (EU AI Act) adopte une approche fondée sur le risque, qui interdit certaines pratiques d’IA (comme la notation sociale) et en qualifie d’autres de systèmes à haut risque (comme les systèmes d’IA qui sont utilisés pour évaluer l’admissibilité aux prestations ou aux services publics).
  • Les principales exigences de la loi sur l’IA de l’UE s’appliquent à ces systèmes à haut risque et aux modèles d’IA à usage général (comme ceux sur lesquels repose l’IA générative). Certaines exigences en matière de transparence s’appliqueront également aux systèmes à faible risque.
  • Une approche semblable est adoptée pour la Loi sur l’intelligence artificielle et les données (LIAD) du Canada, mais l’uniformité entre les lois dépendra en grande partie des amendements qui seront apportés à la LIAD pendant ou après l’étude du projet de loi C-27 par le comité INDU ainsi que des règlements qu’il faudra mettre en place si le projet de loi est adopté.

Contexte

  • La loi sur l’IA de l’UE est entrée en vigueur le 1er août 2024; ses dispositions entreront en vigueur par étapes, de six mois à deux ans après cette date.
  • La prochaine étape pour la mise en œuvre de la loi sur l’IA de l’UE consiste à ce que chaque État membre désigne un organisme de surveillance, ce qui doit être fait d’ici novembre 2024.
  • Dans la loi sur l’IA de l’UE, les systèmes d’IA à haut risque sont soumis à certaines exigences :
    • évaluation des risques et de la qualité;
    • enregistrement pour la traçabilité;
    • contrôles humains généraux;
    • données exactes et représentatives pour la formation de l’IA;
    • évaluations ex ante de la conformité;
    • responsabilité démontrable.
  • Les similitudes entre la loi sur l’IA de l’UE et la LIAD comprennent le fait que la plupart des exigences s’appliquent aux systèmes d’IA à haut risque et aux modèles d’IA à usage général; les types de systèmes à haut risque; et (de façon générale) la nature des exigences.
  • Les différences comprennent le fait que la LIAD ne comprend pas de pratiques interdites en matière d’IA et (dépendamment du texte final) de précisions sur la terminologie et les exigences.

Responsable : PRAP

Projet de loi C-27

Dans la présente section

Projet de loi C-27 : Généralités

Principaux messages

  • Si le projet de loi C-27 est adopté, il permettrait de renforcer les mesures de protection de la vie privée pour les personnes et de créer des incitatifs pour que les organisations se conforment aux lois tout en leur laissant une plus grande marge de manœuvre pour innover.
  • Toutefois, je pense qu’il doit aller plus loin pour assurer une meilleure protection des droits des Canadiennes et des Canadiens en matière de vie privée dans l’environnement numérique, pour promouvoir l’innovation et pour éviter de faire la part trop belle à la réglementation.
  • Le Commissariat a proposé 15 recommandations pour renforcer le projet de loi, notamment celle de reconnaître la protection de la vie privée comme un droit fondamental et en protégeant la vie privée des enfants et l’intérêt supérieur de l’enfant.
  • Nous avons été très encouragés de voir le Comité tenir compte de ces recommandations, ainsi que d’autres formulées par le Commissariat, dans ses amendements au projet de loi. Nous continuons de suivre de près les progrès du projet de loi.

Contexte

  • Le comité INDU a entamé l’examen article par article du projet de loi C-27 le 8 avril 2024. À ce jour, le comité INDU a tenu 10 réunions et adopté 10 amendements, y compris :
    • Intégrer le préambule du projet de loi dans la Loi sur la protection de la vie privée des consommateurs et le modifier afin de reconnaître le droit fondamental à la vie privée et l’importance de protéger les mineurs et leur intérêt supérieur;
    • modifier la définition du terme « anonymiser » en supprimant les « meilleures pratiques généralement reconnues » et ajouter la norme « aucun risque raisonnablement prévisible dans les circonstances » pour la repersonnalisation;
    • modifier la définition française du terme « dépersonnaliser » pour mieux l’harmoniser avec la définition anglaise;
    • ajouter les définitions des termes « autorité légitime », « mineur » et « profilage »;
    • modifier la définition de « renseignement personnel » pour y inclure les renseignements qui sont le résultat d’inférences.
  • Dans le cadre du projet de loi C-27, l’approche de la LPRPDE à l’égard des lois essentiellement similaires serait maintenue, bien que de nouvelles dispositions permettraient au gouverneur en conseil de prendre des règlements établissant les critères et le processus permettant de conclure qu’une loi est essentiellement similaire ou de reconsidérer une telle conclusion.

Responsable : PRAP

Projet de loi C-27 : Tribunal de la protection des données

Principaux messages

  • La partie 2 du projet de loi C-27 constituerait le Tribunal de la protection des renseignements personnels et des données, qui serait habilité à entendre les appels des conclusions, des ordonnances, des décisions, des ordonnances provisoires et des recommandations de sanctions administratives pécuniaires (SAP) du Commissariat.
  • Le Tribunal peut substituer sa propre conclusion, ordonnance ou décision à celle faisant l’objet de l’appel s’il estime qu’une erreur a été commise par le Commissariat. Conformément à l’article 21 de la Loi sur le Tribunal de la protection des renseignements personnels et des données, toute décision du Tribunal est définitive et ne peut faire l’objet d’un contrôle judiciaire que par la Cour fédérale.
  • Contrairement aux ordonnances du Commissariat en vertu de la LPVPC, les ordonnances du Commissariat à l’information et à la protection de la vie privée (CIPVP) de l’Alberta ne peuvent pas faire l’objet d’appels devant un tribunal externe.

Contexte

  • Le Tribunal serait composé de trois à six membres nommés par le gouverneur en conseil sur recommandation du ministre et au moins trois des membres doivent avoir de l’expérience dans le domaine du droit à l’information et à la protection des renseignements personnels (art. 6 de la Loi sur le Tribunal de la protection des renseignements personnels et des données).
  • Aucun des commissariats à la protection de la vie privée provinciaux soumis à des lois essentiellement similaires à celles auxquelles le Commissariat est soumis ne dispose d’un organe d’examen équivalent à un tribunal; à la place, ces affaires sont portées directement devant une cour provinciale ou une cour supérieure.
  • Contrairement à la LPVPC, les ordonnances des commissariats à la protection de la vie privée visés par des lois essentiellement similaires ne peuvent faire l’objet d’appels; ils peuvent seulement faire l’objet de contrôles judiciaires par un tribunal.
  • Le tribunal pourrait créer de l’incertitude quant à la capacité du Commissariat de mener des enquêtes conjointes avec le CIPVP de l’Alberta (et les autres commissariats à la protection de la vie privée visés par des lois essentiellement similaires) puisque ce dernier ne dispose pas de mécanismes du genre lui permettant de faire appel auprès d’un organe d’examen externe.
  • Le fait que les décisions du Tribunal soient examinées directement par la Cour d’appel fédérale éliminerait une étape de révision, accélérerait le processus de révision, permettrait de clore les affaires plus rapidement et correspondrait davantage aux niveaux d’examen des commissariats à la protection de la vie privée visés par des lois essentiellement similaires.
  • Ce nouveau Tribunal peut également imposer des sanctions administratives pécuniaires (SAP) sur la recommandation du Commissariat ou de sa propre initiative. À l’heure actuelle, la PIPA de l’Alberta, tout comme la LPRPDE, ne comporte pas de régime de SAP.

Responsable : Services juridiques

Loi sur l’intelligence artificielle et les données

Principaux messages

  • La LIAD établirait des exigences relatives à la détermination et à l’atténuation des risques graves de préjudice et de préjugés qui pourraient découler de l’utilisation de systèmes d’IA « à incidence élevée ».
  • Compte tenu des risques que présente la technologie pour les droits de la personne, il s’agit d’un effort louable de la part du Canada.
  • Cependant, nous croyons comprendre que la LIAD ne vise pas à contrer les risques pour la vie privée associés précisément aux systèmes d’IA; ces risques seront plutôt couverts par la LPVPC. Il est donc important que les lois sur la protection des renseignements personnels comportent des exigences semblables pour déterminer et atténuer les risques liés à la protection des renseignements personnels, en particulier ceux associés aux technologies comme l’IA.
  • À cette fin, nous avons recommandé qu’une exigence d’EFVP soit incluse dans la LPVPC pour les activités présentant un risque élevé. Cela permettrait d’accélérer la prise de confiance dans ces technologies.

Contexte

  • À titre de contexte, on a demandé au comité permanent de l’Alberta d’examiner s’il y avait lieu d’accorder au ministre le pouvoir de réglementer les normes et les directives en matière d’IA, semblables à la LIAD, afin de veiller à ce que les organisations fassent l’objet d’une surveillance du gouvernement visant l’utilisation éthique des technologies d’IA.
  • Article pertinent de la LIAD : L’article 8 prévoit que le responsable d’un système à incidence élevée établit, conformément aux règlements, des mesures visant à cerner, évaluer et atténuer les risques de préjudice ou de résultats biaisés que pourrait entraîner l’utilisation du système d’intelligence artificielle.
  • Justification de l’exigence de l’EFVP dans la LPVPC : Compte tenu de la définition limitée de « préjudice » dans la LIAD, il ne serait pas nécessaire d’éliminer ou d’atténuer les risques d’atteinte à la vie privée. L’ajout d’une obligation d’évaluation des facteurs relatifs à la vie privée concernant les activités à haut risque dans la LPVPC comblerait cette lacune. Les évaluations des risques de la LIAD et de la LPVPC pourraient avoir une incidence l’une sur l’autre. Les EFVP sont particulièrement importantes lorsqu’une exception à l’obligation d’obtenir le consentement est utilisée pour traiter des renseignements personnels à l’aide de l’IA, car la personne concernée n’en serait pas consciente.

Responsable : PRAP

Enjeux

Dans la présente section

Sanctions administratives pécuniaires

Principaux messages

  • L’ajout d’un régime de SAP à la PIPA de l’Alberta pourrait inciter les organisations à se conformer à la loi provinciale sur la protection des renseignements personnels dans le secteur privé.
  • L’introduction de SAP en vertu de la LPVPC du projet de loi C-27 a été appuyé par le Commissariat comme incitatif pour que les organisations se conforment à la loi fédérale sur la protection de la vie privée.
  • L’article 94 de la LPVPC permettent au commissaire de recommander qu’une SAP soit imposée par le Tribunal de la protection des renseignements personnels et des données à une organisation qui a enfreint une ou plusieurs des dispositions énoncées à l’article 94(1) (p. ex. l’obtention du consentement et la conservation ou le retrait approprié des renseignements personnels).

Contexte

  • À l’heure actuelle, la PIPA de l’Alberta, tout comme la LPRPDE, ne comporte pas de régime de SAP. La Commission d’accès à l’information (CAI) du Québec est actuellement le seul organisme de réglementation de la protection de la vie privée au Canada capable d’imposer des SAP.
  • Bon nombre des commissariats à la protection de la vie privée à l’étranger ont été en mesure d’imposer des sanctions financières pendant un certain nombre d’années en vertu de leurs lois sur la protection des renseignements personnels (p. ex. le Royaume-Uni, la France, l’Allemagne).
  • Le paragraphe 94(1) de la LPVPC énumère les infractions pour lesquelles le Commissariat peut recommander au Tribunal qu’une SAP soit infligée et comprend des choses comme la collecte, l’utilisation ou la communication de renseignements personnels sans consentement si aucune exception correspondante n’a été établie dans la Loi.
  • Le montant maximal de la SAP en vertu de la LPVPC est le plus élevé des montants suivants : 10 millions de dollars ou 3 % des recettes globales brutes d’une organisation au cours de l’exercice précédant celui pendant lequel la pénalité est infligée.
  • Les éléments à prendre en compte dans le cadre de la LPVPC pour recommander une SAP comprennent la nature et la portée de l’infraction, la preuve (ou l’absence de preuve) que l’organisation a fait preuve de diligence raisonnable et les efforts pour atténuer les conséquences.
  • Le Commissariat soutient qu’une évaluation de la sensibilité des renseignements et de la mesure dans laquelle la perte de la vie privée serait proportionnelle à l’avantage obtenu devrait être prise en compte lors de la détermination d’une SAP en vertu de la LPVPC.

Responsable : Services juridiques

Règlement sur l’IA

Principaux messages

  • Pour maintenir leur pertinence dans un monde moderne, les lois sur la protection des renseignements personnels devraient réglementer efficacement les risques pour la vie privée associés aux technologies comme l’IA et la prise de décisions automatisée.
  • Des mesures comme celles recommandées par le ministère de la Technologie et de l’Industrie de l’Alberta serviraient à améliorer la transparence, la responsabilisation, l’exactitude et la sécurité des systèmes d’IA et seraient des pas dans la bonne direction.
  • Comme nous l’avons indiqué dans nos recommandations pour le projet de loi C-27, d’autres mesures pourraient être envisagées, notamment :
    • exiger des évaluations des facteurs relatifs à la vie privé pour les activités présentant un risque élevé (qui, dans de nombreux cas, comprendraient l’utilisation de systèmes d’IA);
    • permettre aux personnes de demander des explications sur les décisions automatisées et le profilage;
    • permettre aux commissaires à la protection de la vie privée de coordonner leurs activités avec celles d’autres autorités de réglementation qui surveillent les systèmes d’IA dans les cas où ce n’est pas déjà possible.

Contexte

  • À titre de contexte, le ministère provincial de la Technologie et de l’Innovation a recommandé que le comité permanent sur la gestion des ressources envisage d’établir des droits individuels et des mesures de protection de la vie privée au sein de la PIPA en ce qui concerne la prise de décisions automatisée et les systèmes d’IA, notamment :
    • exiger des organisations qu’elles informent les personnes du recours à la prise de décisions automatisée avant d’utiliser leurs renseignements personnels de cette façon;
    • permettre aux personnes de demander que les décisions soient examinées par un humain;
    • mettre en œuvre des processus pour protéger la sécurité des renseignements personnels utilisés par les systèmes d’IA et la logique qui sous-tend les décisions automatisées;
    • exiger des organisations qu’elles mènent des audits ou assurent l’exactitude du traitement des données, et mettent en place des dispositions permettant aux personnes de demander des corrections.

Responsable : PRAP

Contenu modifié et hypertrucages

Principaux messages

  • En décembre 2023, les commissaires à l’information et à la protection de la vie privée des provinces et des territoires du Canada et moi-même avons publié des principes communs pour des technologies de l’intelligence artificielle (IA) générative responsables, dignes de confiance et respectueuses de la vie privée.
  • Dans ce document, nous avons laissé entendre qu’il est probable que la création de contenu d’IA à des fins malveillantes, notamment d’hypertrucages et d’images intimes d’une personne identifiable générées sans son consentement, constitue une « zone interdite ».
  • Lorsqu’un système d’IA est entraîné ou utilise des renseignements personnels, les lois sur la protection des renseignements personnels s’appliquent. Toutefois, préciser clairement le fait que les lois s’appliquent à la création ou à la diffusion de contenu modifié pourrait fournir une certitude réglementaire. Notre recommandation sur le profilage formulée dans le contexte de la LPVPC va aussi dans ce sens.
  • Mes collègues du Forum canadien des organismes de réglementation numérique et moi-même nous penchons cette année sur la question des médias synthétiques, notamment les hypertrucages, et la façon dont ils pourraient avoir une incidence sur chacun de nos mandats respectifs. Nous avons hâte de publier nos conclusions plus tard cette année.

Contexte

  • Dans le document qu’il a présenté au comité permanent sur la gestion des ressources, le ministère de la Technologie et de l’Innovation de l’Alberta signale que certaines administrations canadiennes ont pris des mesures pour s’attaquer au contenu modifié. La Saskatchewan et la Colombie-Britannique ont apporté des modifications législatives afin de mieux protéger les victimes du partage non consensuel d’images (en Colombie-Britannique, des mesures s’appliquent indépendamment du fait que les images soient synthétiques ou réelles).
  • Dans le document, le ministère reconnaît qu’il est possible que les dispositions de la PIPA de l’Alberta s’appliquent déjà à la création et à la diffusion de contenu modifié, mais demande au comité d’envisager de le préciser pour plus de certitude.
  • Le contenu modifié et les hypertrucages seront généralement considérés comme des renseignements personnels au titre de la LPRPDE et, par conséquent, ils seront visés par la réglementation, pourvu qu’ils concernent une personne identifiable et répondent à d’autres exigences (p. ex. celle d’activité commerciale).

Responsable : PRAP

Prise de décisions automatisée : transparence

Principaux messages

  • Le projet de loi C-27 obligerait les organisations à fournir une explication générale sur l’usage de tout système automatisé pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés.
  • Il permettrait aussi aux personnes de demander une explication pour ces décisions. Il s’agit d’un pas dans la bonne direction et d’une bonne nouvelle.
  • Des améliorations pourraient également être envisagées, notamment :
    • permettre aux personnes de demander une explication pour toute décision automatisée (pas seulement celles qui ont une incidence importante);
    • appliquer explicitement les exigences de transparence au profilage des personnes;
    • faire en sorte que la transparence ait une plus grande incidence en permettant aux personnes de demander que les décisions automatisées soient examinées par un humain ou de contester de telles décisions.

Contexte

  • Il a été demandé au comité permanent de l’Alberta d’envisager d’établir dans la PIPA une exigence selon laquelle les organisations devraient informer les personnes du recours à la prise de décisions automatisée pour leur permettre de demander un examen de la décision par un humain.
  • Portée des explications : Bien qu’il soit raisonnable de restreindre la portée de l’« explication générale » d’une organisation sur le recours à la prise de décisions automatisée, limiter la capacité des personnes de demander une explication pour des décisions qui pourraient avoir une « incidence importante » sur elles est en contradiction avec le principe de la transparence algorithmique.
  • Profilage : De nombreuses lois modernes sur la protection des renseignements personnels, notamment celles du Québec, de la Californie et de l’Europe, font expressément référence au fait que le concept de profilage (c.-à-d. à l’utilisation de renseignements personnels par les systèmes de prise de décisions automatisée pour évaluer ou prédire les caractéristiques d’une personne) est compris dans celui de prise de décisions automatisée. Comme nous l’avons souligné dans notre mémoire sur le projet de loi C-27, il est possible que cette inclusion soit implicite dans le projet de loi C-27, mais il serait préférable qu’elle soit explicite.

Responsable : PRAP

Données biométriques

Principaux messages

  • Le Commissariat est d’avis que les renseignements biométriques sont généralement sensibles, car les caractéristiques biométriques sont souvent uniques, difficiles à modifier et intimement liées au corps d’une personne.
  • J’ai trouvé très encourageant de voir que le comité INDU a tenu compte d’une recommandation formulée par le Commissariat dans ses amendements au projet de loi C-27 concernant les renseignements de nature sensible. Les renseignements de nature sensibles seraient désormais définis de manière à établir un principe général de sensibilité suivi d’une liste non exhaustive d’exemples, qui comprend les données biométriques permettant d’identifier une personne en particulier.
  • De façon plus générale, le Commissariat appuie une approche fédérale à l’égard des renseignements de nature sensible qui est propre au contexte et qui comprend des mesures de protection plus rigoureuses dans les cas où les risques sont élevés.

Contexte

  • Dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta, il est question de savoir si des dispositions devraient être ajoutées à la PIPA pour protéger davantage les renseignements potentiellement sensibles, notamment les renseignements biométriques.
  • Dans son document, le ministère de la Technologie et de l’Innovation de l’Alberta a proposé que le comité envisage la création d’une catégorie distincte de renseignements personnels de nature sensible qui comprendrait les renseignements biométriques. Le Ministère a également demandé au comité d’envisager l’ajout d’exigences strictes concernant la collecte, l’utilisation, la communication et la conservation des renseignements personnels de nature sensible associés à la nouvelle catégorie et l’accès à de tels renseignements, comme l’exigence d’une EFVP si des données de nature sensible sont recueillies.
  • Dans son mémoire sur l’ancien projet de loi C-11, le Commissariat a recommandé qu’une définition des renseignements de nature sensible soit incluse dans la LPVPC; la définition comporterait un principe général de sensibilité et serait suivie d’une liste non exhaustive d’exemples. La liste proposée comprenait les « renseignements biométriques dans le but d’identifier précisément un individu ». Le comité INDU a adopté une motion proposant une définition de « renseignements de nature sensible » et une liste non exhaustive d’exemples, ce qui respecte la recommandation du Commissariat.
  • Le Commissariat finalise le document d’orientation sur le traitement des données biométriques à l’intention des organisations du secteur public et privé à la suite d’une consultation publique menée à l’automne 2023 et à l’hiver 2024.

Responsable : PRAP

Avis d’incident

Principaux messages

  • Les atteintes à la vie privée doivent être traitées rapidement afin de réduire le risque de préjudice aux personnes concernées. Toutefois, les délais pour signaler des atteintes en vertu de la LPRPDE sont vagues (« le plus tôt possible »), ce qui peut entraîner des retards et réduire la capacité du Commissariat d’assurer la conformité.
  • J’ai recommandé que les organisations soient tenues de signaler une atteinte à la vie privée au Commissariat dans les sept jours suivant sa détection.
  • De plus, en vertu de la LPRPDE, seules les organisations qui gèrent les renseignements personnels sont tenues de signaler les atteintes au Commissariat; si une atteinte se produit chez un fournisseur de services tiers, elles ne sont pas tenues de le faire.
  • Le fait d’obliger les fournisseurs de services à signaler les atteintes au Commissariat ainsi qu’à la liste des clients touchés permettrait au Commissariat de mieux évaluer ce qui s’est passé, de déterminer si les mesures de protection étaient adéquates et de veiller à ce que des mesures correctives appropriées soient rapidement prises.

Contexte

  • La PIPA de l’Alberta exige que les organisations qui subissent une atteinte à la vie privée avisent le CIPVP sans délai déraisonnable si l’atteinte présente un risque réel de préjudice important pour les personnes touchées. Si le ou la commissaire détermine que l’atteinte présente un tel risque, il ou elle peut exiger que l’organisation avise les personnes touchées dans un délai donné. Dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta, il est question de savoir si les dispositions de la PIPA en matière de signalement des atteintes sont appropriées.
  • Pour l’exercice en cours, le délai moyen pour signaler au Commissariat une atteinte en vertu de la LPRPDE a été de quatre mois.
  • Certains fournisseurs de services ont volontairement signalé au Commissariat des atteintes ou fourni des renseignements relatifs à une atteinte. Dans d’autres cas, les organisations ont transmis des renseignements partiels (elles n’étaient pas au courant des détails).
  • Depuis janvier 2024, les atteintes à trois fournisseurs de services ont généré près de 100 signalements d’atteintes au Commissariat.

Responsable : Services de conformité

Vie privée des enfants

Principaux messages

  • L’une de mes principales priorités stratégiques est de veiller à ce que la vie privée des enfants soit protégée et à ce que les jeunes comprennent leurs droits en matière de vie privée et puissent les exercer.
  • Je trouve que les récentes propositions fédérales visant à protéger la vie privée des enfants sont encourageantes. Par exemple, la Loi sur la protection de la vie privée des consommateurs (LPVPC) proposée introduirait des mesures de protection supplémentaires pour les mineurs, notamment en considérant leurs renseignements comme étant de nature sensible.
  • Dans mes recommandations concernant la LPVPC, j’ai demandé que le projet de loi reconnaisse la vie privée des enfants et l’intérêt supérieur de l’enfant — une recommandation qui a été adoptée par le comité.
  • Pour y arriver, il faut que les droits et le bien-être des jeunes soient des considérations primordiales dans toute décision ou mesure les concernant, tout en encourageant les organisations à intégrer la protection de la vie privée des mineurs dans leurs produits et services dès la conception.

Contexte

  • Voici d’autres mesures de protection des mineurs prévues par la LPVPC :
    • que les parents ou les tuteurs puissent exercer les droits prévus par la Loi pour au nom d’un mineur, à moins que le mineur veuille lui-même exercer ces droits et qu’il en ait la capacité;
    • qu’un consentement exprès soit requis par défaut pour la collecte, l’utilisation et la communication de renseignements sur les enfants;
    • qu’il soit interdit aux organisations d’utiliser des techniques de manipulation pour recueillir les renseignements des enfants.
  • Dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta, il est question de savoir si des dispositions devraient être ajoutées à la PIPA pour améliorer la protection des renseignements personnels des enfants, en faisant référence à l’approche énoncée dans le projet de loi C-27. De son côté, le ministère de la Technologie et de l’Innovation de l’Alberta demande si une catégorie distincte de renseignements de nature sensible devrait être créée dans le cadre de la PIPA, notamment une qui comprendrait les renseignements personnels des enfants.

Responsable : PRAP

Consentement

Principaux messages

  • Le consentement est un élément essentiel de la LPRPDE. La loi exige généralement que les organisations obtiennent un consentement valide pour la collecte, l’utilisation et la communication des renseignements personnels.
  • Le projet de loi C-27 maintient cette approche et précise certains renseignements qui doivent être fournis aux personnes pour que le consentement soit considéré comme valide. Ces renseignements doivent être fournis dans un langage clair et raisonnablement compréhensible pour un individu visé par les activités de l’organisation.
  • Cette nouvelle exigence constitue une amélioration et harmoniserait davantage le projet de loi avec les lignes directrices du Commissariat pour l’obtention d’un consentement valable.

Contexte

  • Le projet de loi C-27 ajouterait une exigence de langage clair qui répond en partie à notre recommandation sur l’ancien projet de loi C-11; il serait maintenant obligatoire que les consommateurs reçoivent des renseignements sur le consentement en langage clair et qu’ils comprennent ce à quoi on leur demande de consentir (par. 15(4)).
  • Conformément au paragraphe 15(3) de la LPVPC, les organisations doivent informer les individus des 1) des fins de la collecte, de l’utilisation ou de la communication des renseignements personnels; 2) de la manière dont les renseignements personnels seront recueillis, utilisés ou communiqués; 3) des conséquences raisonnablement prévisibles; 4) du type précis de renseignements personnels qui sera recueilli, utilisé ou communiqué; 5) des noms des tiers ou des catégories de tiers auxquels les renseignements pourraient être communiqués.
  • De même, le CIPVP de l’Alberta a recommandé que la PIPA de l’Alberta soit modifiée afin d’exiger pour la validité du consentement que les organisations fournissent un avis complet, précis et clair de toutes les fins de la collecte, l’utilisation, ou la communication, et ce, d’une manière qui soit raisonnablement compréhensible pour un individu.
  • Dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta, il est question de savoir si les dispositions actuelles de la PIPA en matière de consentement sont appropriées et si les personnes devraient recevoir un avis en langage clair. Il est aussi question d’une exigence de langage clair dans le document du ministère de la Technologie et de l’Innovation.

Responsable : PRAP

Portabilité des données

Principaux messages

  • Dans l’ensemble, le Commissariat appuie l’introduction de dispositions sur la mobilité des données dans la LPVPC; cependant, j’ai recommandé certaines modifications afin de mieux harmoniser le projet de loi avec les modèles internationaux.
  • Plus précisément, j’ai recommandé que la disposition sur la mobilité soit élargie de sorte qu’elle s’applique à tous les renseignements personnels d’une personne – y compris les renseignements dérivés ou inférés – et non seulement aux renseignements recueillis auprès d’une personne.
  • Je suis également en faveur de l’élargissement du droit pour permettre aux particuliers, quand cela est techniquement possible, de recevoir cette information dans un format structuré, couramment utilisé et lisible par machine, comme cela a été fait dans d’autres juridictions, ce qui est communément appelé la « portabilité des données ».

Contexte

  • Dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta, il est question de savoir si la PIPA devrait être modifiée pour permettre, à la demande d’une personne, qu’une organisation soit tenue de transférer les renseignements personnels numériques de cette personne à une autre organisation dans un format structuré, couramment utilisé et lisible par machine lorsque cela est techniquement possible. Une question semblable est soulevée dans le document du ministère de la Technologie et de l’Innovation.
  • Le CIPVP de l’Alberta a demandé que la PIPA soit modifiée pour y inclure un droit à la portabilité et à la mobilité des données, notamment en ajoutant qu’une personne a le droit d’obtenir ses renseignements personnels d’une organisation ou de faire transférer ses renseignements personnels directement à une autre organisation dans un format structuré, couramment utilisé et lisible par machine.
  • L’article 72 de la LPVPC oblige les organisations à communiquer, sur demande, les renseignements personnels qu’elles ont recueillis auprès d’une personne à l’organisation que cette dernière désigne si ces deux organisations sont assujetties à un cadre de mobilité des données.
  • Le droit des individus de recevoir leurs propres données dans un format structuré, couramment utilisé et lisible par machine ne fait pas partie de la LPVPC, mais se trouve dans d’autres lois sur la protection des données comme le Règlement général sur la protection des données (RGPD), et des lois de la Californie et du Québec.

Responsable : PRAP

Définition d’« activité commerciale »

Principaux messages

  • Au titre de la LPRPDE, une activité commerciale correspond à toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature.
  • Les organismes à but non lucratif ou ceux qui offrent des services « gratuits » peuvent néanmoins être assujettis à la LPRPDE dans la mesure où leurs services sont considérés comme des activités commerciales.
  • La PIPA de l’Alberta définit l’expression « activité commerciale » de la même façon, mais elle dresse aussi explicitement une liste de certaines entités privées du secteur de l’éducation (c.-à-d. les écoles privées, les programmes de services à la petite enfance, les établissements d’enseignement postsecondaire) telles que définies dans des lois distinctes de l’Alberta.

Contexte

  • La question de savoir si une organisation peut être accusée de recueillir, d’utiliser ou de communiquer des renseignements personnels dans le cadre d’une activité commerciale au titre de la LPRPDE dépendra des faits de chaque cas.
  • Dans la plupart des cas, il est facile de déterminer si une organisation se livre à une activité commerciale, mais il arrive parfois que la question soit plus complexe et exige un examen plus minutieux.
  • Les organisations qui offrent des services soi-disant « gratuits » peuvent néanmoins se livrer à une activité commerciale au sens de la LPRPDE; la question doit être examinée dans le contexte du modèle d’affaires dans son ensemble [Renvoi relatif au titre du paragraphe 18.3(1) de la Loi sur les Cours fédérales, 2021 CF 723].
  • Les organisations qui sont considérées comme des organismes à but non lucratif aux fins de l’impôt ne sont pas automatiquement exemptées de la LPRPDE si elles recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d’une activité commerciale [Rodgers c. Calvert, 2004 CanLII 22082 (ON SC)].
  • La LPRPDE ne s’applique pas à la divulgation de renseignements pertinents requis dans le contexte d’une procédure judiciaire (qui n’est pas considérée comme une activité commerciale) [Hatfield c. Intact Insurance Company, 2014 NSSC 232].

Responsable : Services juridiques

Dépersonnalisation et l’anonymisation

Principaux messages

  • À l’échelle fédérale, le Commissariat appuie un cadre de réglementation de l’utilisation et de la communication subséquente de renseignements dépersonnalisés et anonymisés qui clarifie les responsabilités des organisations et offre une certaine souplesse quant aux exigences en matière de protection de la vie privée.
  • Il est important que les seuils pour l’examen des renseignements personnels dépersonnalisés ou anonymisés soient fixés à un niveau approprié en fonction du risque de réidentification et de la nature sensible des renseignements.
  • Il est également important que tout cadre interdise les tentatives non autorisées de réidentification et précise que les renseignements dépersonnalisés (non anonymisés) demeurent des renseignements personnels.
  • De façon générale, le Commissariat est d’avis que les individus devraient être avisés de toutes les fins auxquelles leurs renseignements personnels sont recueillis, utilisés et communiqués.

Contexte

  • Dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta, il est question de savoir si la PIPA devrait réglementer la dépersonnalisation ou l’anonymisation des renseignements personnels qui relèvent d’une organisation ainsi que l’utilisation ou la communication subséquente de ces renseignements (et, le cas échéant, comment ils sont utilisés ou communiqués).
  • Dans le document qu’il a présenté au comité, le ministère de la Technologie et de l’Innovation de l’Alberta a recommandé qu’il soit envisagé de mettre en place des dispositions en ce qui concerne les avis envoyés aux personnes lorsque des renseignements dépersonnalisés ou anonymisés sont utilisés ainsi que des sanctions pour la réidentification.
  • Le CIPVP de l’Alberta recommande que la PIPA contienne un cadre pour les renseignements dépersonnalisés et anonymisés, notamment des définitions, des normes et certaines pratiques interdites.
  • En ce qui concerne le projet de loi C-27, le Commissariat a recommandé que : 1) les organisations soient tenues d’appliquer des mesures de dépersonnalisation proportionnelles au risque de réidentification; 2) le projet de loi précise que les renseignements dépersonnalisés demeurent des renseignements personnels; 3) un seuil élevé doit être utilisé pour considérer l’information anonymisée (en particulier, en supprimant la référence dans le seuil aux « meilleures pratiques généralement reconnues »).

Responsable : PRAP

Déréférencement

Principaux messages

  • Dans le contexte du projet de loi C-27, le Commissariat a recommandé un droit clair et explicite au déréférencement et à la suppression de renseignements personnels des résultats de recherche et d’autres sources en ligne. La loi 25 du Québec est un modèle utile.
  • Cette forme de protection est particulièrement pertinente pour les mineurs, qui devraient pouvoir se développer en tant que personnes dans un environnement en ligne sans craindre que toute trace de leur vie numérique n’entraîne un traitement injuste dans le futur.
  • Comme les droits constitutionnels risquent d’entrer en conflit ici, l’Alberta devrait considérer, dès le départ, édicter des mécanismes et des critères pour équilibrer la protection de la réputation des individus, en particulier des enfants, tout en préservant la liberté d’expression.

Contexte

  • Dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta il est question de savoir si la PIPA devrait prévoir un droit au déréférencement.
  • Le terme « déréférencement » désigne le fait de retirer des renseignements provenant d’un site Web, d’une page Web ou d’une partie d’une page Web des résultats d’un moteur de recherche.
  • L’article 28.1 de la Loi 25 du Québec énonce des critères raisonnables pour exiger le déréférencement ou le retrait de renseignements, à savoir si cela cause un préjudice grave à la réputation ou à la vie privée de la personne concernée; si le préjudice est supérieur à l’intérêt du public de connaître le renseignement ou à l’intérêt de la liberté d’expression; et si la cessation de la diffusion, réindexation ou de déréférencement (désindexation dans la Loi) n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.
  • Dans une décision rendue en 2023, la Cour d’appel fédérale a confirmé une décision de 2021 de la Cour fédérale selon laquelle le moteur de recherche de Google recueille, utilise et communique des renseignements personnels dans le cadre d’activités commerciales et qu’il n’est pas exempté de la LPRPDE selon l’exemption à des fins journalistiques de la Loi.
  • Nous finalisons notre enquête sur la conformité de Google à la LPRPDE en ce qui concerne le déréférencement des résultats de recherche contenant des renseignements personnels.

Responsable : PRAP

Pouvoir d’émettre des ordonnances

Principaux messages

  • Contrairement au commissaire à l’information et à la protection de la vie privée de l’Alberta, qui a le pouvoir d’émettre des ordonnances en vertu de la PIPA de l’Alberta, je ne suis pas en mesure d’émettre des ordonnances exécutoires en vertu de la LPRPDE.
  • Je suis d’avis que le Commissariat a besoin de pouvoirs exécutoires pour favoriser la conformité et l’application de la loi.
  • Les pouvoirs proposés dans le projet de loi C-27 (la LPVPC) donneraient au Commissariat les outils d’application nécessaires pour favoriser la conformité à la Loi (c.-à-d. émettre des ordonnances, recommander des SAP).

Contexte

  • Selon la LPRPDE, les recommandations découlant d’un audit ou d’une enquête ne sont pas exécutoires : si une organisation ne suit pas les recommandations, la partie plaignante ou le Commissariat peut, dans certaines circonstances, présenter une demande de novo pour faire appliquer ces recommandations par la Cour fédérale. [art. 14 de la LPRPDE].
  • En vertu de la PIPA de l’Alberta, le commissaire peut émettre une ordonnance après une enquête menée en vertu de l’article 50 pour exiger, entre autres choses, que l’organisation fasse (ou cesse de faire) une chose donnée et qu’elle se conforme ainsi aux exigences de la Loi [article 52]. Ces ordonnances sont définitives et ne peuvent faire l’objet d’un appel, mais elles peuvent faire l’objet d’un contrôle judiciaire par la Cour du Banc du Roi.
  • Selon la LPVPC proposée, les ordonnances du commissaire fédéral à la protection de la vie privée pourraient faire l’objet d’un appel devant un tribunal externe qui pourrait annuler la décision. Les ordonnances de ce tribunal pourraient à leur tour faire l’objet d’un contrôle judiciaire devant la Cour fédérale.
    • Si ces ordonnances pouvaient être contrôlées par la Cour fédérale plutôt que par un tribunal externe, le processus concorderait davantage avec celui du commissariat provincial à la protection de la vie privée.

Responsable : Services juridiques

Partis politiques

Principaux messages

  • Les partis politiques devraient être assujettis à des règles de protection de la vie privée qui sont similaires aux exigences qui sont énoncées pour les secteurs public et privé dans la LPRP et la LPRPDE.
  • Ces exigences en matière de protection de la vie privée devraient s’appuyer sur une loi et être fondées sur des principes de protection de la vie privée reconnus à l’échelle internationale, dont celui de pouvoir s’adresser à un tiers indépendant.
  • En mai 2023, lorsque j’ai comparu devant le Sénat au sujet des modifications à la Loi électorale du Canada contenues dans le projet de loi C-47, j’ai souligné que les règles actuelles n’établissent pas d’exigences minimales en matière de protection de la vie privée pour les partis politiques et ne prévoient pas de surveillance indépendante des pratiques en matière de protection de la vie privée.
  • Tout parti politique et ses affiliés peuvent recueillir, utiliser, communiquer et conserver des renseignements personnels, ainsi que procéder à leur retrait, conformément à la politique sur la protection des renseignements personnels du parti, qu’il élabore et révise s’il le juge approprié.

Contexte

  • PIPA, LPRPDE et LPVPC : Selon ce qui est indiqué dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta, les partis politiques ne sont pas actuellement définis comme des organisations au titre des lois sur la protection des renseignements personnels dans le secteur commercial de l’Alberta. La PIPA de l’Alberta prévoit plutôt des exemptions pour les partis politiques provinciaux enregistrés, les associations de circonscription et les personnes candidates à une élection. À l’heure actuelle, la LPRPDE ne vise pas précisément les partis politiques et la LPVPC non plus.
  • Comparaisons avec les provinces : Par contre, la PIPA de la Colombie-Britannique s’applique à la fois aux partis politiques provinciaux et fédéraux qui exercent leurs activités dans la province. De même, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec a été modifiée pour qu’elle puisse s’appliquer aux renseignements personnels détenus par un parti politique.
  • Changements proposés dans le projet de loi C-65 : Au niveau fédéral, le projet de loi C-65 adopte une approche consistant à intégrer la réglementation et la surveillance en matière de protection de la vie privée dans le régime existant pour les partis politiques qui se trouve dans la Loi électorale du Canada. Élections Canada et le commissaire aux élections fédérales seraient responsables de la surveillance des politiques en matière de protection de la vie privée établies par les partis politiques. Nous n’avons pas encore été appelés à comparaître au sujet de ce projet de loi.

Responsable : PRAP

Évaluations des facteurs relatifs à la vie privée

Principaux messages

  • Dans le mémoire que j’ai présenté au Parlement au sujet du projet de loi C-27, j’ai formulé une mise en garde contre le fait que l’exigence d’une EFVP pour toutes les activités pourrait représenter un fardeau excessif, surtout pour les petites et moyennes entreprises, mais le fait d’exiger des EFVP pour les activités à risque élevé contribuerait à faire en sorte que les risques plus importants en matière de protection de la vie privée soient évalués et atténués.
  • Les activités à risque élevé pourraient comprendre les initiatives dans lesquelles l’utilisation de l’IA pour prendre des décisions ayant des répercussions sur les individus, à savoir s’ils recevront une offre d’emploi, s’ils remplissent les conditions requises pour obtenir un prêt, s’ils doivent payer une prime d’assurance plus élevée ou s’ils sont soupçonnés de comportement suspect ou illégal.
  • L’exigence d’une EFVP pour les activités à risque élevé est conforme à l’article 35 du RGPD de l’UE. L’harmonisation avec le RGPD appuie le statut adéquat du Canada, qui permet le transfert de données de l’UE au Canada sans exigences supplémentaires.

Contexte

  • Dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta, il est question de savoir si les organisations devraient être tenues de soumettre des EFVP au CIPVP de l’Alberta pour des initiatives précises concernant les renseignements personnels. Dans son document, le ministère de la Technologie et de l’Innovation de l’Alberta demande si la PIPA devrait inclure un programme de gestion de la protection des renseignements personnels et des exigences en matière d’EFVP pour les organisations, et ce, selon la taille de l’entreprise et la nature sensible des renseignements en question.
  • Le CIPVP de l’Alberta a recommandé que les EFVP soient soumises afin de faire l’objet d’un examen et d’obtenir des commentaires avant que les organisations entreprennent des activités liées à des renseignements personnels de nature sensible, à du profilage ou un à changement important à un programme concernant ce qui précède. De plus, il a recommandé que le commissaire soit autorisé à exiger d’une organisation qu’elle fournisse une EFVP aux fins d’examen lorsqu’il y a des motifs raisonnables de croire que l’activité de traitement crée des risques pour les droits à la vie privée des Albertaines et des Albertains.
  • L’article 109 de la LPVPC énonce les éléments que le commissaire doit prendre en compte dans l’exercice de ses attributions (objet de la loi, taille et recettes des organisations, volume et du degré de sensibilité des renseignements personnels et questions d’intérêt public).

Responsable : PRAP

Programmes de gestion des renseignements personnels

Principaux messages

  • Un programme de gestion de la protection des renseignements personnels est un outil de responsabilisation essentiel qui aide les organisations à démontrer leur conformité aux exigences en matière de protection de la vie privée.
  • Le projet de loi C-27 vise à renforcer la responsabilité en exigeant des organisations qu’elles mettent en œuvre et maintiennent un programme de gestion de la protection des renseignements personnels, et qu’elles fournissent au Commissariat l’accès à ce programme sur demande.
  • Le paragraphe 9(2) de la LPVPC exige que les organisations tiennent compte du volume et de la nature sensible des renseignements personnels lorsqu’elles élaborent des programmes de gestion de la protection des renseignements personnels.
  • J’appuie l’inclusion des exigences visant le programme de gestion de la protection des renseignements personnels dans la loi.

Contexte

  • Dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta, il est question de savoir si la PIPA devrait obliger les organisations à avoir un programme de gestion de la protection des renseignements personnels et à fournir aux individus et au CIPVP de l’Alberta de l’information par écrit sur les programmes de gestion de la protection des renseignements personnels. Dans son document, le ministère de la Technologie et de l’Innovation de l’Alberta a également demandé au comité permanent d’examiner la possibilité de mettre en œuvre des exigences pour rendre obligatoire le programme de gestion de la protection des renseignements personnels.
  • Le CIPVP de l’Alberta recommande que la PIPA soit modifiée pour exiger que les organisations mettent en place un programme de gestion de la protection des renseignements personnels comportant des éléments semblables à ceux énoncés dans le projet de loi C-27 et la Loi 25 du Québec et pour permettre au commissaire de faire l’audit d’un tel programme d’une organisation.
  • Le projet de loi C-27 oblige les organisations à mettre en œuvre et à tenir à jour un programme de gestion de la protection des renseignements personnels qui comprend les politiques, les pratiques et les procédures qu’elles ont mises en place pour se conformer aux obligations (par. 9(1)), à tenir compte du volume et de la nature délicate des renseignements personnels (par. 9(2)), et à fournir au Commissariat l’accès au programme de gestion de la protection des renseignements personnels sur demande (par. 10(1)). Le Commissariat doit fournir sur demande des conseils sur les programmes de gestion de la protection des renseignements personnels des organisations (alinéa 110(1)e)), mais il n’est pas tenu de donner suite aux demandes déraisonnables et peut prioriser les demandes en fonction des besoins des organisations (paragraphe 110(2)).
  • L’article 111 interdit au Commissariat d’utiliser les renseignements obtenus dans le cadre d’un examen du programme de gestion de la protection des renseignements personnels pour déposer une plainte ou procéder à une vérification, sauf si l’organisation a volontairement ignoré ses recommandations.
  • En 2012, le Commissariat et les commissaires de la Colombie-Britannique et de l’Alberta ont publié Un programme de gestion de la protection de la vie privée : la clé de la responsabilité, qui fournit des conseils sur les composantes d’un rigoureux programme de gestion de la protection des renseignements personnels.

Responsable : PRAP

Droit à l’effacement ou à la suppression

Principaux messages

  • Au niveau fédéral, le projet de loi C-27 prévoit que les organisations doivent procéder au retrait des renseignements personnels d’une personne sur demande si certaines conditions sont respectées.
  • Toutefois, il crée également des exceptions selon lesquelles de telles demandes peuvent être refusées, notamment lorsqu’il faut déjà procéder au retrait des renseignements selon la politique de conservation d’une organisation (à condition que les renseignements ne visent pas un mineur et que l’individu soit informé de la période restante avant le retrait).
  • J’ai recommandé de supprimer cette exception du projet de loi C-27 parce qu’elle limiterait la capacité des individus de faire supprimer leurs renseignements personnels en temps opportun et, de façon générale, réduirait leur contrôle sur leurs renseignements personnels.

Contexte

  • Dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta, il est indiqué que la PIPA ne contient pas de disposition concernant l’effacement, le retrait ou le déréférencement et il est question de savoir si la PIPA devrait prévoir le droit d’un individu à l’oubli ou au déréférencement. Dans son document, le ministère de la Technologie et de l’Innovation de l’Alberta recommande également d’envisager la possibilité d’établir dans la PIPA des droits individuels en matière de données, notamment le droit à l’effacement.
  • Le CIPVP de l’Alberta recommande d’inclure dans la PIPA un droit de déréférencement et de suppression, dans certaines circonstances.
  • Le paragraphe 55(1) du projet de loi C-27 prévoit qu’une organisation doit procéder dès que possible au retrait des renseignements personnels d’un individu à la demande de celui-ci si i) les renseignements ont été recueillis, utilisés ou communiqués en violation de la Loi; ii) l’individu a retiré son consentement, en tout ou en partie, à la collecte, à l’utilisation ou à la communication des renseignements; iii) les renseignements ne sont plus nécessaires à la fourniture continue du bien ou à la prestation continue du service à l’individu.
  • Le projet de loi C-27 prévoit également des exceptions supplémentaires selon lesquelles une organisation peut refuser une demande de retrait en vertu du paragraphe 55(1), par exemple, les cas où le retrait entraînerait celui des renseignements personnels d’un autre individu; les exigences légales ou contractuelles empêchent le retrait; les renseignements sont nécessaires à l’établissement d’une défense juridique ou à l’exercice d’autres recours juridiques; les renseignements sont nécessaires à la fourniture continue d’un produit ou d’un service à l’individu concerné en question et ne concernent pas un mineur; ou la demande est vexatoire ou entachée de mauvaise foi.

Responsable : PRAP

Droit à la contestation

Principaux messages

  • Le projet de loi C-27 exigerait que les organisations qui utilisent des systèmes décisionnels automatisés pour faire une prédiction, formuler une recommandation ou prendre une décision concernant des personnes leur fournissent une explication de cette décision. De façon générale, j’appuie ces nouvelles obligations, mais j’ai toutefois formulé des recommandations visant à favoriser une transparence accrue.
  • Toutefois, les individus n’auraient pas le droit de contester de telles décisions ou de demander qu’elles soient examinées par un humain.
  • Les individus ne devraient pas être liés par des décisions automatisées sans avoir recours à un examen humain, particulièrement lorsque de telles décisions peuvent être fondées sur des données inexactes, refléter un biais ou constituer une décision qu’un humain jugerait inappropriée.

Contexte

  • Dans le document qu’il a présenté au comité permanent, le ministère de la Technologie et de l’Innovation de l’Alberta a demandé aux membres d’envisager l’établissement de droits individuels en matière de données au sein de la PIPA en ce qui concerne la prise de décisions automatisée et l’IA, notamment permettre aux individus de demander qu’une décision soit examinée par un humain.
  • Le CIPVP de l’Alberta recommande l’ajout dans la PIPA d’un droit de contester une décision fondée sur la prise de décisions automatisée (en plus des exigences en matière de transparence et de responsabilisation).
  • Dans son mémoire sur le projet de loi C-27, le Commissariat a recommandé la suppression du qualificatif « incidence importante » pour l’exigence d’explication prévue au par. 63(3) de la LPVPC pour les systèmes de prise de décisions automatisée. Dans son mémoire sur l’ancien projet de loi C-11, le Commissariat a recommandé l’inclusion d’un droit de contestation des décisions automatisées.
  • De façon générale, le droit de contester devrait être accordé en plus de la capacité de retirer le consentement. Il importe de disposer des deux droits à la fois, puisque le droit de retirer son consentement est absolu, alors que le droit de contester une décision offre un recours à la personne même quand celle-ci choisit de continuer à participer à l’activité qui fait intervenir la prise de décision automatisée.
  • La Loi 25 (art. 12.1) du Québec et le RGPD (art. 22.3) prévoient tous deux le droit de contester une décision automatisée ou de demander qu’elle soit examinée par un humain.

Responsable : PRAP

Renseignements personnels de nature sensible

Principaux messages

  • Le Commissariat a demandé que le projet de loi C-27 contienne une définition des renseignements de nature sensible dans laquelle serait énoncé un principe général suivi d’une liste non exhaustive d’exemples.
  • Une telle définition garantirait que certains types de renseignements sont toujours considérés comme étant de nature sensible, tout en permettant une interprétation contextuelle pour tenir compte des nouvelles formes de renseignements.
  • Dans le mémoire du Commissariat sur le projet de loi C-27, j’ai également recommandé l’ajout de dispositions exigeant que les organisations effectuent des EFVP pour les activités à risque élevé, ce qui comprendrait les activités liées à des renseignements de nature sensible.

Contexte

  • Dans le document sur les nouveaux enjeux préparé par le bureau de l’Assemblée législative de l’Alberta, il est question de savoir si des dispositions devraient être ajoutées à la PIPA pour protéger davantage les renseignements de nature potentiellement sensible, notamment les renseignements biométriques et les renseignements personnels des enfants.
  • Le ministère de la Technologie et de l’Innovation de l’Alberta a demandé au comité permanent d’envisager la création dans la PIPA d’une catégorie distincte de renseignements de nature sensible qui comprendrait les renseignements sur les enfants, les renseignements personnels intimes et les données biométriques. Le Ministère a également encouragé le comité à envisager l’établissement d’exigences strictes pour la collecte, l’utilisation, la communication et la conservation de ces renseignements, et l’accès à ces renseignements.
  • Le CIPVP de l’Alberta recommande l’ajout dans la PIPA d’une définition des renseignements de nature sensible ainsi que des exigences précises reflétant la sensibilité et le potentiel de préjudice.
  • Au cours de l’étude article par article du projet de loi C-27, le comité INDU a adopté une motion proposant une définition de « renseignements de nature sensible » et une liste non exhaustive d’exemples, ce qui respecte la recommandation du Commissariat.
  • Selon le projet de loi C-27, les renseignements personnels des mineurs sont considérés comme étant de nature sensible (paragraphe 2(2)).
  • La Loi sur la protection des renseignements personnels dans le secteur privé du Québec contient une définition des renseignements sensibles fondée sur des principes.
  • L’article 9(1) du RGPD recense des catégories particulières de données (comme les données génétiques et biométriques) qui pourraient présenter des risques liés aux droits des personnes et par rapport auxquels certaines conditions doivent être respectées (comme l’obtention du consentement explicite) avant que le traitement ne soit autorisé.

Responsable : PRAP

Fournisseurs de services

Principaux messages

  • Il est particulièrement important de veiller à ce que les organisations aient en place des mesures de responsabilisation rigoureuses lorsqu’elles passent des marchés avec des fournisseurs de services pour recueillir ou utiliser des renseignements personnels en leur nom.
  • La LPVPC exige que les organisations qui transfèrent des renseignements personnels à un fournisseur de services s’assurent d’offrir une protection « équivalente » sous le régime de la Loi (par. 11(1)).
  • Dans l’ensemble, ce régime est raisonnable. Cependant, j’ai recommandé que les dispositions qui s’appliquent aux fournisseurs de services soient amendées de manière à englober un plus large éventail de mesures relatives à la collecte, à l’utilisation et à la communication des données (au-delà des transferts de données).
  • J’ai également recommandé que la Loi soit amendée pour préciser que, dans les situations de passation de sous-traitance, l’organisation ou le responsable du traitement demeure en dernier ressort responsable des données personnelles.

Contexte

  • Le document du CIPVP de l’Alberta comprend une foule de recommandations propres aux fournisseurs de services, notamment que la PIPA soit modifiée pour exiger que les organisations s’assurent, par contrat, que les fournisseurs de services offrent la même protection que l’organisation est tenue de fournir ou une protection supérieure (comme dans le projet de loi C-27). Le CIPVP de l’Alberta a également recommandé que les fournisseurs de services d’aval soient assujettis à la PIPA de la même façon afin qu’ils puissent eux aussi être tenus responsables des cas de non-conformité.
  • Une partie de la recommandation 26 du mémoire du Commissariat sur le projet de loi C-11, qui proposait que les fournisseurs de services nationaux ne puissent se prévaloir de l’exception relative aux « activités commerciales » pour consentir à l’alinéa 18(2)e), a été adoptée et la disposition ne figure pas dans le projet de loi C-27.
  • Le mémoire sur le projet de loi C-27 reprenait d’autres recommandations connexes, notamment que les paragraphes 7(2), 11(1) et 11(2), l’article 19 et l’alinéa 62(2)d) de la LPVPC soient amendés pour que ces règles reflètent adéquatement la vaste portée des transferts de données entre les organisations et les fournisseurs de services; que le paragraphe 11(2) soit amendé afin que la responsabilité ne se limite pas aux transferts de données, mais vise aussi les renseignements que les fournisseurs de services recueillent, utilisent ou communiquent au nom de l’organisation; et que la loi précise que les responsables du traitement demeurent en dernier ressort responsables des données personnelles dans les situations de sous-traitance.

Responsable : PRAP

Date de modification :