Fiches des enjeux, certificat de nomination de Daniel Therrien au poste de commissaire à la protection de la vie privée

Arriérés du Secteur de la conformité

Principaux messages

En 2019, le Commissariat a reçu un financement temporaire pour l’aider à réduire l’arriéré d’enquêtes sur les plaintes de plus d’un an. Nous avons dépassé nos objectifs de 2019 et avons réduit l’arriéré de plaintes remontant à plus de 12 mois de 91 %.
Les résultats que nous avons pu obtenir lorsqu’on nous a confié des fonds supplémentaires, malgré les perturbations de la pandémie mondiale, parlent d’eux-mêmes.
Pourtant, sans le pouvoir discrétionnaire voulu en ce qui concerne ses enquêtes sur les plaintes, les pressions de l’arriéré persisteront. Le projet de loi C‑11 ne tient pas suffisamment compte de ce point.

Contexte

Progression de l’arriéré

Année financière	Arriéré de plaintes au titre de la LPRP	Arriéré de plaintes au titre de la LPRPDE	Total des cas accumulés	Baisse par rapport à 2018-2019 (%)
2018-2019	260	64	324	-
2019-2020	115	52	167	48 %
2020-2021	14	15	29	91 %

Nous avons réduit l’arriéré de plaintes en mettant en oeuvre un certain nombre de mesures, y compris :
- Une amélioration de l’efficacité des procédures, notamment en amont du processus de traitement des plaintes. Nous avons notamment créé un formulaire de plainte en ligne amélioré qui a permis de simplifier et d’automatiser la réception et le tri des plaintes.
- Une augmentation temporaire des ressources du Commissariat prévue dans le budget fédéral de 2019. Nous avons embauché des employés contractuels et redistribué des dossiers, ce qui nous a permis de renforcer notre capacité. Nous avons ainsi pu nous concentrer sur les dossiers qui dataient et ceux qui risquaient de s’accumuler.
- Des conclusions de présomption de refus sont formulées lorsque les ministères ne répondent pas aux demandes d’accès, ce qui permet aux plaignants de saisir la Cour fédérale de l’affaire.

Préparé par : Secteur de la conformité

Statistiques et tendances sur les atteintes

Principaux messages

Au total, les secteurs public et privé fédéraux ont soumis plus de 1 000 rapports d’atteinte à la vie privée l’an dernier (les atteintes au titre de la LPRPDE représentant 74 % de ce nombre).
La rapidité est un défi permanent, puisqu’environ 40 % des rapports du secteur privé sont soumis au moins trois mois après l’atteinte. Cette tendance, ainsi que d’autres que nous avons observées, a alimenté notre analyse de la réforme de la Loi.
Depuis de nombreuses années, nous demandons que le signalement des atteintes à la vie privée devienne obligatoire en vertu de la Loi sur la protection des renseignements personnels, afin de lutter contre le faible taux de signalement dans le secteur public fédéral, un problème systémique. Nous sommes heureux de constater que notre recommandation figure dans les propositions du ministère de la Justice sur la modernisation de la Loi sur la protection des renseignements personnels.
Les rapports d’atteintes à la vie privée sont des outils importants. Ils constituent une source précieuse de renseignements opérationnels qui fournissent de l’information sur les menaces actuelles à la vie privée auxquelles les Canadiens sont confrontés. Ils permettent également au Commissariat de veiller à ce que des mesures d’atténuation appropriées soient mises en place pour protéger les Canadiens à la suite d’une atteinte à la vie privée.
Nous avons enquêté et continuons d’enquêter sur des atteintes majeures de la vie privée, comme celles sur Desjardins, Capital One et CléGC.

Contexte

Atteintes au titre de la LPRP et de la LPRPDE entre 2015-2016 et 2020-2021

EXERCICE LPRPDE LPRP

2020-2021 782 280

2019-2020 678 341

2018-2019 315 155

2017-2018 116 286

2016-2017 95 147

2015-2016 115 298

EXERCICE	LPRPDE	LPRP
2020-2021	782	280
2019-2020	678	341
2018-2019	315	155
2017-2018	116	286
2016-2017	95	147
2015-2016	115	298

Préparé par : Secteur de la conformité

Collaboration sur l’application de la loi

Principaux messages

Dans un monde marqué par une numérisation croissante, plusieurs autorités de protection des données ont l’objectif commun de protéger les renseignements personnels à l’extérieur de leurs frontières.
Le Commissariat est un chef de file au chapitre de la coopération nationale et internationale en matière d’application de la loi, et joue un rôle clé sur des tribunes comme l’Assemblée mondiale pour la protection de la vie privée (AMVP), le réseau mondial d’application des lois de protection de la vie privée (Global Privacy Enforcement Network [GPEN]) et le Forum des autorités de protection de la vie privée de la zone Asie-Pacifique (Asia Pacific Privacy Authorities [APPA] Forum).
Sur le plan national, le Commissariat a participé à plus d’enquêtes conjointes qu’à tout autre moment de son histoire. Citons par exemple les enquêtes touchant Desjardins, Clearview et Tim Hortons.

Contexte

AMVP : Coprésident de deux groupes de travail : i) le Groupe de travail du citoyen et du consommateur numérique, qui préconise une plus grande coopération en matière de réglementation croisée axée sur les entrecroisements entre les sphères réglementaires de la protection de la vie privée, de la protection des consommateurs et de la concurrence; et ii) le Groupe de travail sur la coopération internationale en matière d’application de la loi, qui se concentre sur la collaboration au chapitre de l’application de la loi.
GPEN : Siège au comité exécutif et a introduit le ratissage international pour la protection de la vie privée, qui en est maintenant à sa 8^e année.
APPA : Membre actif, nous développons des partenariats, discutons des pratiques exemplaires, et échangeons de l’information sur les technologies émergentes et les changements dans la réglementation sur la vie privée.
FNCAL : Président du Forum national de collaboration sur l’application de la loi, qui facilite la collaboration entre le Commissariat et ses homologues de l’Alberta, de la Colombie-Britannique et du Québec.
Exemples d’application de la loi : Nous avons enquêté sur Desjardins aux côtés de nos homologues du Québec. Notre enquête sur Cadillac Fairview a été menée conjointement avec l’Alberta et la Colombie-Britannique. Notre enquête conjointe sur Clearview AI était la première avec les commissaires des trois provinces dotées de lois sur la protection des renseignements personnels dans le secteur privé : l’Alberta, la Colombie-Britannique et le Québec. Les enquêtes du Commissariat sur Facebook et AggregateIQ ont également été menées conjointement avec le commissariat de la Colombie-Britannique.

Préparé par : Secteur de la conformité

Loi sur la protection des renseignements personnels – Enquêtes en cours annoncées publiquement

Principaux messages

Atteintes à la vie privée visant l’Agence de revenu du Canada (ARC) et CléGC : Nous avons lancé des enquêtes après que le Secrétariat du Conseil du Trésor du Canada (SCT) a révélé publiquement que CléGC, un service utilisé dans une trentaine d’institutions fédérales, et des comptes de l’ARC avaient été victimes d’attaques de bourrage de justificatifs au début de l’année.
Organisme UNIS / Emploi et Développement social Canada (EDSC) : Nous enquêtons sur des plaintes reçues contre l’organisme UNIS et EDSC concernant des renseignements personnels recueillis en lien avec la Bourse canadienne pour le bénévolat étudiant.
La GRC et le projet Wide Awake : Nous faisons enquête sur une plainte reçue au sujet du projet Wide Awake de la GRC.

Contexte

Comme il s’agit d’enquêtes en cours, nous ne pouvons fournir aucun détail supplémentaire pour le moment.

Préparé par : Secteur de la conformité

Enquêtes en vertu de la LPRPDE en cours

Principaux messages

Tim Hortons : Le Commissariat et ses homologues provinciaux du Québec, de la Colombie-Britannique et de l’Alberta ont lancé une enquête conjointe sur l’application mobile de commande de Tim Hortons. Cette enquête fait suite à des reportages dans les médias qui ont indiqué que cette application pourrait recueillir et utiliser les données sur l’emplacement et les déplacements des personnes alors qu’elles vaquent à leurs occupations quotidiennes.
Capital One : Nous avons lancé une enquête sur la fuite de données chez Capital One après avoir reçu des plaintes de la part de consommateurs canadiens. Capital One a informé le Commissariat qu’elle avait été victime d’une atteinte à la vie privée dans le cadre de laquelle les renseignements personnels y compris, dans certains cas, le numéro d’assurance sociale, de six millions de ses clients canadiens ont été touchés.
Landlord Credit Bureau : Nous avons aussi récemment entamé une enquête sur les pratiques de cette entreprise de services et agence d’évaluation du crédit en matière de protection des renseignements personnels après avoir reçu des plaintes de locataires indiquant que leurs propriétaires avaient communiqué à cette dernière leurs renseignements personnels afin d’établir des dossiers de crédit de locataire, à leur insu ou sans leur consentement.
Restaurants Hai Di Lao : Comme suite aux récents reportages dans les médias au sujet du système de vidéosurveillance mis en place dans plusieurs restaurants Hai Di Lao Hot Pot situés en Colombie-Britannique et en Ontario, le Commissariat examine actuellement la question aux côtés du Commissariat de la Colombie-Britannique.
Organisme UNIS / Emploi et Développement social Canada (EDSC) : Nous avons reçu des plaintes contre l’organisme UNIS et EDSC concernant des renseignements personnels recueillis en lien avec la Bourse canadienne pour le bénévolat étudiant. Nous enquêtons sur ces plaintes.

Contexte

Les enquêtes sur Tim Hortons, Capital One et le Landlord Credit Bureau étant toujours en cours, nous ne pouvons fournir aucun détail supplémentaire pour le moment.
Restaurants Hai Di Lao : Aucun détail supplémentaire n’est disponible.

Préparé par : Secteur de la conformité

Élaboration d’orientations

Principaux messages

L’augmentation permanente du financement de 15 % reçue en 2019 a permis au Commissariat d’accroître sa capacité à protéger la vie privée des Canadiens dans le contexte de la croissance exponentielle de l’économie numérique.
En 2019-2020, nous avons préparé : des conseils sur les signalements d’atteinte à la vie privée à l’intention des personnes; une version entièrement actualisée de notre document d’orientation sur les EFVP (évaluations des facteurs relatifs à la vie privée) destiné aux institutions fédérales; des conseils propres à la pandémie et un document d’orientation à l’intention des fabricants d’appareils de l’IdO.
En juin 2021, nous avons publié une ébauche de document d’orientation sur l’utilisation de la technologie de reconnaissance faciale (TRF) par les corps policiers. Cette ébauche fait actuellement l’objet d’une consultation jusqu’au 15 octobre 2021.
Nous continuons de mettre l’accent sur l’élaboration de documents d’orientation sur les principaux enjeux liés à la protection des renseignements personnels, y compris la biométrie.

Contexte

Documents d’orientation publiés au cours de l’exercice 2019-2020 :

La protection des renseignements personnels et l’éclosion de COVID-19 : Orientations sur les lois fédérales applicables en matière de protection des renseignements personnels (mars 2020)
Nos attentes : Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée (mars 2020)
Guide à l’intention des entreprises qui font du cybermarketing (janvier 2020)
Lignes directrices conjointes du Commissariat et du directeur général des élections pour aider les partis politiques à protéger les renseignements personnels des Canadiens (avril 2019)
Réception d’un avis d’atteinte à la vie privée (septembre 2019)

Statut des principaux documents d’orientation :

Nous travaillons actuellement à la préparation d’un document d’orientation sur la biométrie à l’intention de l’industrie. D’autres documents sont en cours de préparation, mais leur publication est retardée en raison du projet de loi C‑11; il faut inclure des lignes directrices sur les technologies financières (FinTech), le suivi en magasin, les voitures connectées, et des lignes directrices à l’intention des développeurs d’applications éducatives pour les écoles primaires et secondaires.
L’ébauche du document d’orientation sur la TRF est publiée, la consultation des intervenants se poursuit jusqu’au 15 octobre 2021.

Préparé par : PRAP

Affaires parlementaires

Principaux messages

Nous sommes fréquemment sollicités par des députés et les commissions parlementaires pour fournir notre expertise en matière de protection de la vie privée.
En raison de la COVID-19, les deux dernières sessions parlementaires ont été bouleversées; nous avons comparu beaucoup moins souvent qu’à l’habitude.
Au cours des deux dernières sessions parlementaires, nous :
- avons comparu à cinq reprises devant des comités permanents, dont une fois devant l’Assemblée nationale du Québec;
- avons déposé notre Rapport spécial au Parlement sur l’enquête réalisée par le Commissariat à la protection de la vie privée du Canada sur l’utilisation par la GRC de la technologie de Clearview AI et version préliminaire d’un document d’orientation conjoint à l’intention des services de police qui envisagent d’avoir recours à la technologie de reconnaissance faciale.
- avons surveillé et examiné dix-sept projets de loi et études;
- avons répondu à douze demandes individuelles de députés.

Contexte

Comité PROC : Fonctions parlementaires et pandémie de COVID-19 (question de la sécurité sur Internet), 29 avril 2020;
Comité INDU : Réponse canadienne à la pandémie de COVID-19 (question de la recherche des contacts), 29 mai 2020;
Assemblée nationale du Québec, Comité des institutions : Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 24 septembre 2020;
Comité ETHI : Budget principal des dépenses 2021-2022 et reconnaissance faciale, 10 mai 2021;
Comité LCJC : Projet de loi S-203, Loi limitant l’accès en ligne des jeunes au matériel sexuellement explicite.

Les enjeux en matière de protection de la vie privée portés à notre attention par les parlementaires au cours du dernier exercice :

Réformes potentielles des lois sur la protection de la vie privée (projets de loi C-11 au Canada et 64 au Québec), sécurité sur Internet, recherche de contacts, services bancaires ouverts et vol d’identité.

Préparé par : PRAP

Sur la scène internationale (général)

Principaux messages

Collaborer avec d’autres organismes de réglementation nous aide à mieux protéger les Canadiens dans un monde sans frontières.
Les renseignements personnels des Canadiens qui se retrouvent à l’extérieur du Canada aux fins de traitement sont mieux protégés si le droit à la vie privée est davantage respecté ailleurs dans le monde, et si le Commissariat dispose de partenariats avec des autorités étrangères.
Le Commissariat collabore depuis longtemps avec ses homologues internationaux afin de mettre en commun des ressources, d’élaborer des politiques communes, de partager des pratiques exemplaires, et de faire respecter de manière plus efficace les lois sur la protection des renseignements personnels, au Canada et à l’étranger.
Nous collaborons avec d’autres autorités en participant à des groupes de travail internationaux, en adoptant des résolutions conjointes, en publiant des déclarations communes et en collaborant avec nos homologues en matière d’application de la loi.

Contexte

AMVP :
- Président du volet du groupe de travail sur la stratégie de politiques de cette assemblée sur le lien entre le respect de la vie privée et d’autres droits et libertés qui élabore un texte explicatif sur la vie privée et les droits de la personne.
- Coprésident du « Digital Citizens and Consumers Working Group ».
- Coprésident du groupe de travail sur la coopération internationale en matière d’application de la loi.
- Membre d’autres groupes de travail de l’AMVP, dont les suivants : groupes sur l’éthique et l’IA, l’éducation numérique, l’avenir de la conférence, les métriques, la Covid-19 et la reconnaissance faciale.
- Co-proposeur de la résolution de 2020 sur une plus grande responsabilité dans l’élaboration et l’utilisation de la technologie de reconnaissance faciale et des systèmes d’intelligence artificielle, et les défis de la vie privée soulevés par la COVID-19.
Autres réseaux d’autorités : 1) Forum des autorités de protection de la vie privée de la zone Asie-Pacifique (Asia Pacific Privacy Authorities [APPA] Forum); 2) Association francophone des autorités de protection des données personnelles (AFAPDP); 3) Common Thread Network (CTN); 4) Groupe de travail de Berlin.
Participation à des tribunes internationales gouvernementales : 1) le Groupe de travail sur la sécurité de l’information et la vie privée dans l’économie numérique (groupe de l’OCDE); 2) le sous-groupe de l’Association économique de la zone Asie-Pacifique (Asia-Pacific Economic Cooperation [APEC]) sur la protection des données.

Préparé par : PRAP

Programme des contributions

Principaux messages

Le Programme finance des projets de recherche ou d’initiatives connexes d’application des connaissances afin de favoriser l’expertise et la compréhension d’un large éventail de questions relatives à la vie privée dans le cadre de la LPRPDE.
Ces projets génèrent de nouvelles informations et compréhension pour aider les organisations à mieux protéger les renseignements personnels et les Canadiens à protéger leur vie privée. L’année dernière, la plupart des projets financés concernaient l’IA. Par exemple, un projet (du Groupe CSA) a examiné les conséquences de l’IA sur le droit à la vie privée des enfants, et un autre (de l’UQAM) portait sur le développement responsable de l’apprentissage automatique du point de vue de la vie privée.
Depuis ses débuts en 2004, le Programme a alloué environ 7 millions de dollars à près de 160 projets.
L’année dernière, 11 projets sur 43 propositions ont été retenus; les bénéficiaires de cette année seront annoncés prochainement.

Contexte

Orientation du programme : Les projets financés permettront de faire progresser les priorités du Commissariat en matière de protection de la vie privée, qui visent principalement à répondre aux préoccupations des Canadiens en la matière. Tous les projets doivent être axés sur la LPRPDE, puisque le programme découle de cette dernière.
Financement : Tous les projets sont évalués sur la base de leur mérite par des experts en la matière du Commissariat et, à l’occasion, lorsque cela est nécessaire pour valider nos évaluations, par des pairs externes. Le budget annuel du Programme des contributions s’élève à 500 000 $. Presque tous les ans, jusqu’à 50 000$ sont accordés à chaque projet et une somme maximale de 100 000 $ par organisme bénéficiaire.
Modalités du programme : Le ministre de la Justice a renouvelé les modalités du programme pour cinq ans en 2020-2021. La liste complète des projets qui ont reçu un financement se trouve sur le site Web du Commissariat. S’y trouvent également les résumés de tous les projets terminés financés au fil des ans.

Préparé par : PRAP

Services-conseils au gouvernement – Statistiques et tendances

Principaux messages

La Direction des services-conseils au gouvernement (DSCG) a été créée pour accroître les consultations avec les institutions et fournir des conseils proactifs, et ainsi faciliter l’atténuation des risques d’atteinte à la vie privée associés aux programmes et aux activités du gouvernement par une mobilisation précoce et fréquent.
Les institutions ont été très réceptives : nous avons été consultés 109 fois en 2020-2021, comparativement à 66 fois en 2019-2020 et 48 en 2018-2019. C’est le signe que les institutions obtiennent des bénéfices quand elles s’adressent à la DSCG. Cela montre également que les institutions n’ont pas en interne l’expertise pour répondre à leurs besoins en ce qui touche aux questions de protection de la vie privée.
Au cours de l’année écoulée, nous nous sommes attachés à soutenir les activités menées en réponse à la pandémie de COVID‑19. Nous avons notamment examiné l’application Alerte COVID et procédé à des consultations sur la télémédecine et la thermographie, entre autres sujets. Pendant la pandémie, Santé Canada, l’ASPC et EDSC ont beaucoup consulté la DSCG pour obtenir des conseils sur les dossiers COVID pendant la pandémie.
Les institutions demandent conseil auprès de la DSCG sur des dossiers complexes et techniquement difficiles dont les délais sont courts dans tous les domaines, y compris l’application de la loi et la sécurité publique.

Contexte

Statistiques sur les consultations : Au cours de l’exercice 2020-2021, nous avons ouvert 109 nouveaux dossiers de consultation, dont 28 pour des programmes et activités liés à la COVID-19.
EFVP : En 2020-2021, nous avons reçu à la fois des EFVP et des évaluations de la conformité aux lois (ECL) sur la protection des renseignements personnels, une évaluation moins rigoureuse autorisée par la politique provisoire du SCT pour les initiatives urgentes liées à la COVID-19. Nous avons reçu 81 évaluations au total : 65 EFVP et 16 ECL.
Avis : La DSCG a reçu 491 avis de divulgations de renseignements personnels dans l’intérêt public, ou dans des circonstances qui ont bénéficié à la personne, contre 611 au cours de l’exercice 2019-2020. Il s’agit d’une légère baisse, mais elle s’inscrit dans la tendance que nous avons observée ces dernières années, à savoir un grand nombre de divulgations d’intérêt public.

Préparé par : DSCG

Services-conseils au gouvernement - Activités principales

Principaux messages

La Direction des services-conseils au gouvernement (DSCG) fournit des conseils et des recommandations aux institutions à la suite d’un examen des EFVP, d’ententes de communication d’information et, de plus en plus, de consultations encore plus précoces avec les organismes fédéraux au moment où les initiatives sont conceptualisées et élaborées.
- Les dossiers sont complexes et variés et font de plus en plus appel aux technologies émergentes et aux liens avec le secteur privé.
La DSCG consulte aussi régulièrement le SCT sur l’élaboration de politiques, de directives et de normes pangouvernementales.

Contexte

Application Alerte COVID : a consulté Santé Canada pendant le développement de l’application pour s’assurer que les risques liés à la vie privée étaient pris en compte. Le travail se poursuit au fur et à mesure de la mise à jour de l’application.
Systèmes d’aéronef télépiloté de la GRC (drones) : a donné des conseils sur la formation de la GRC concernant l’utilisation de drones afin que l’intrusion soit nécessaire, proportionnelle à la situation et minimale et que les renseignements personnels recueillis soient comptabilisés. La GRC a révisé ses politiques sur la base de nos conseils. Notre travail est en cours.
Banque nationale de données génétiques de la GRC : est en cours de modification afin de permettre aux membres d’une famille de fournir volontairement leur ADN pour retrouver des personnes disparues et identifier des restes humains. Sur nos conseils, la GRC a révisé les formulaires de consentement des donneurs volontaires pour les rendre plus clairs et a inclus des mesures de protection de la vie privée dans les accords de transmission de profils d’ADN et d’autres renseignements personnels sensibles avec d’autres pays.
Cadre canadien d’intervention policière collaborative en matière de violence sexuelle : Suivant notre recommandation, l’Association canadienne des chefs de police a inclus des dispositions relatives au signalement des atteintes à la vie privée dans les ententes de confidentialité signées par les membres des comités d’examen des cas de violence sexuelle.
VidCruiter : étant donné l’utilisation accrue des plateformes numériques d’entrevue à distance pour la dotation en personnel, nous avons fait plusieurs recommandations à Justice Canada, à l’Agence spatiale canadienne, à Santé Canada, au MPO, à Infrastructure Canada et à EDSC afin de protéger la vie privée.

Préparé par : DSCG

Direction des services-conseils à l’entreprise

Principaux messages

La Direction des services-conseils à l’entreprise (DSCE) s’engage de manière proactive auprès des entreprises pour les aider à évaluer les conséquences de leur travail sur la vie privée, et pour examiner les répercussions des nouvelles technologies et des nouveaux modèles d’entreprise sur la vie privée avant leur déploiement sur le marché.
Le fait d’aborder les questions de vie privée en amont permet d’atténuer les risques qui y sont liés, d’éviter les problèmes de conformité et d’assurer la prévisibilité réglementaire.
70 % des organisations avec lesquelles nous avons eu des contacts l’année dernière étaient des PME. La plupart des entreprises faisant appel à nos services-conseils mettaient en œuvre des projets à forte dimension technologique avec beaucoup de données.
Notre relation avec les PME est essentielle, car nombre d’entre elles ne disposent pas des ressources nécessaires pour prendre en compte les questions de protection de la vie privée de manière proactive.

Contexte

Sensibilisation : La DSCE a lancé 13 nouvelles missions de consultation et a organisé 33 événements virtuels, notamment des expositions, des présentations, des réunions avec les intervenants et des séances consultatives dédiées aux entreprises.

Clinique sur la protection de la vie privée – plateforme innovante créée pour fournir des conseils en protection de la vie privée aux PME. En 2020-2021, la DSCE a organisé une clinique sur la protection de la vie privée en collaboration avec un centre d’innovation à Waterloo, en Ontario, et a fourni des conseils en matière de protection de la vie privée à sept organisations en démarrage.
ORSMEN – en 2020-2021, la DSCE a poursuivi son partenariat de longue date avec le Réseau des petites et moyennes entreprises de l’Ontario (Ontario Region Small and Medium Enterprise Network [ORSMEN]) afin d’atteindre les PME et de leur fournir des conseils utiles en matière de protection de la vie privée.

Consultations clés :

Application COVID MILA : Certaines mesures adoptées après notre consultation : utiliser les renseignements personnels dans le but strictement défini et restreint d’atténuer la crise de santé publique; limiter l’utilisation de l’application dans le temps, c’est-à-dire jusqu’à la fin de la pandémie; communiquer uniquement des données regroupées et désidentifiées au gouvernement, si adopté.
Organisations de technologies de la santé : La DSCE a formulé 24 recommandations à une entreprise canadienne possédant un produit de pointe, qui a volontairement demandé des conseils pour la conception de la prochaine génération de ce produit.
Prise de la température : En réponse à la proposition d’un détaillant d’introduire des contrôles de température dans ses établissements afin de minimiser la propagation de la COVID-19, la DSCE a fourni des conseils sur la conception et la mise en œuvre proposées.

Préparé par : Services-conseils à l’entreprise

Statistiques et tendances en matière de communication

Principaux messages

La Direction des communications soutient les efforts du Commissariat pour informer la population et bien lui faire comprendre les questions relatives à la protection de la vie privée en mettant en œuvre des stratégies pluriannuelles visant à sensibiliser les particuliers à leur droit à la vie privée et les fonctionnaires et les entreprises à leurs obligations.
Parmi nos activités, citons des sondages d’opinion; des relations avec les médias; la production de publications, de vidéos et d’infographies; la participation à des événements et la publication de contenus sur notre site Web et sur les médias sociaux.
Nous tenterons de sensibiliser les groupes vulnérables, comme les jeunes et les personnes âgées. Par exemple, nous avons réalisé un roman graphique pour les jeunes, notre publication la plus populaire, qui a été traduit par des organisations au Mexique, en Italie et en Suisse. Nous menons également des campagnes dans les bibliothèques et avons parlé de la protection de la vie privée avec des groupes de personnes âgées.

Contexte

Statistiques clés : En 2020-2021, nous avons prononcé 35 discours/présentations, publié 33 communiqués et annonces et distribué 1 452 publications. Il y a eu 2,5 millions de visites sur le site Web, dont plus de 26 000 visites sur les blogues, et nous avons répondu à 300 demandes des médias.

Centre d’information :

Nombre de demandes : L’année dernière, nous avons reçu 7 090 demandes d’information, et nous ne suffisons pas à la tâche pour répondre aux demandes d’informations et de conseils sur les droits et obligations en matière de protection de la vie privée.
Types de demandes :
- La majorité des demandes émanent de particuliers qui souhaitent savoir si les organisations recueillent trop d’informations ou les utilisent sans consentement, et qui expriment également des inquiétudes quant à de potentielles violations.
- 8 % des demandes proviennent d’organisations du secteur privé et portent sur des sujets tels que les mesures de dépistage de la COVID-19, le transfert transfrontalier d’informations personnelles, la protection des renseignements personnels et les exigences en matière de notification des violations.

Résultats du sondage semestriel auprès des entreprises : Notre sondage semestriel auprès des entreprises a montré que les grandes entreprises sont plus susceptibles d’avoir des politiques/procédures en place pour évaluer les risques liés à la vie privée. D’autres résultats ont souligné la nécessité d’accorder plus d’attention à la protection de la vie privée.

Préparé par : Communications

Direction de l’analyse des technologies (DAT)

Principaux messages

La DAT soutient les travaux du Commissariat visant à évaluer les répercussions de la technologie sur la vie privée, pour que nous contribuions à faire profiter les Canadiens des avantages des technologies numériques en toute sécurité.
Parmi les travaux récents de ce groupe, citons l’évaluation des nouvelles technologies mondiales de recherche des contacts, l’application Alerte COVID et le soutien aux enquêtes concernant Cadillac Fariview et Desjardins.
Pour améliorer notre capacité, la DAT travaille à l’expansion et à la modernisation de notre laboratoire technologique.

Contexte

Demandes d’analyse : D’avril 2020 à mars 2021, 159 demandes d’aide ont été ouvertes ou déposées auprès de la DAT.
- Quarante-cinq pour cent (45 %) des demandes concernent les politiques et la promotion
- Quarante-six pour cent (46 %) concernent la conformité
- Neuf pour cent (9 %) sont affectés à d’autres activités de soutien technique interne
- Soixante-sept pour cent (67 %) de ces demandes ont été traitées et fermées; les autres restent des dossiers actifs et une aide est encore accordée dans ces cas.
Agrandissement et modernisation du laboratoire technologique : L’agrandissement et la modernisation de notre laboratoire technologique permettront de mieux réaliser les activités des deux domaines de programme, la conformité (y compris les activités liées à la LCAP) et les politiques et la promotion.
- Les nouvelles capacités permettront de renforcer les protections, de réaliser les activités d’enquête, de développer la recherche et de diffuser des informations et orientations générales.
Programme Solutions innovatrices Canada : La DAT a récemment conclu un partenariat officiel avec Innovation, Sciences et Développement économique Canada, dans le cadre du programme Solutions innovantes Canada, et a mis à l’essai une plateforme logicielle alimentée par l’intelligence artificielle qui offre de nouveaux moyens de prodiguer des soins aux personnes souffrant d’une déficience intellectuelle ou une déficience de développement, y compris l’autisme.
- Cette innovation est un outil pratique à la disposition de chaque membre d’une équipe de soins auprès d’une personne atteinte d’une déficience, y compris les parents, les éducateurs, les thérapeutes, les professionnels de soutien direct et les gestionnaires de soins, pour transmettre des informations, dialoguer les uns avec les autres, élaborer des interventions personnalisées et améliorer les résultats à long terme. L’outil est composé d’une application mobile, d’un dispositif portable et de l’environnement dorsal basé sur Python.

Préparé par : DAT

Réforme de la Loi sur la protection des renseignements personnels

Principaux messages

Nous sommes heureux de constater que le processus de réforme de la loi semble être véritablement en marche avec la récente consultation publique du ministère de la Justice sur la modernisation de la Loi sur la protection des renseignements personnels.
Un certain nombre de propositions du ministère de la Justice sur la réforme de la Loi sur la protection des renseignements personnels apporteraient des changements favorables à la Loi pour faire face aux risques pour la vie privée que représentent les technologies émergentes, notamment l’inclusion d’un langage fondé sur les droits dans un préambule révisé.
On y trouve également des obligations renforcées en matière de respect de la vie privée dès la conception et des EFVP ainsi que des mesures de surveillance importantes telles que des pouvoirs de vérification proactive, un pouvoir de rendre des ordonnances simple et efficace (bien que de portée limitée). Ce sont tous des mécanismes nécessaires pour assurer la conformité.
Dans notre mémoire, nous proposons quelques modifications pour améliorer le seuil de collecte et le cadre des renseignements personnels accessibles au public, et nous recommandons d’inclure les éléments clés de la réglementation de l’intelligence artificielle dans une Loi sur la protection des renseignements personnels modernisée.

Contexte

Cadre applicable aux renseignements personnels « accessibles au public » : La définition pourrait être améliorée en déclarant explicitement le fait que les renseignements personnels accessibles au public n’incluent pas les renseignements à l’égard desquels une personne a des attentes raisonnables en matière de vie privée.
Intelligence artificielle : Nous recommandons d’inclure dans la Loi une définition de la prise de décision automatisée ainsi qu’un droit à une explication significative et à une intervention humaine en rapport avec son utilisation, une norme établie pour le niveau d’explication requis et des obligations de consigner et d’effectuer le traçage.
Seuil justifiant la collecte : Nous pensons que la norme de collecte « raisonnablement nécessaire » permet généralement d’atteindre un bon équilibre, mais nous avons proposé des modifications clés pour en accroître la clarté (notamment le fait que les objectifs établis soient spécifiques, explicites et légaux et le fait d’inclure une évaluation explicite de la proportionnalité, entre autres).

Préparé par : PRAP

Réforme de la LPRPDE (projet de loi C‑11)

Principaux messages

Le projet de loi C‑11 est le résultat des efforts déployés pour mettre sur pied une réforme que tout le monde attendait avec impatience. Malheureusement, malgré les ambitieux objectifs visés, nous considérons que le projet de loi sous sa forme actuelle représenterait globalement un pas en arrière dans le domaine de la protection de la vie privée.
Parmi les principaux problèmes de la nouvelle loi se trouve le fait qu’elle n’a pas de recours rapides et efficaces pour les particuliers, en raison de sanctions administratives pécuniaires considérablement restreintes, du tribunal et du manque de pouvoir discrétionnaire du commissaire.
Le projet de loi C‑11 imposerait plusieurs nouvelles responsabilités sans pouvoir discrétionnaire accru, ce qui réduirait notre capacité à faire une utilisation stratégique des ressources et à établir l’ordre de priorité de nos activités en fonction des risques pour les Canadiens.
Même si ces nouvelles fonctions étaient dotées de ressources adéquates, le Commissariat devrait avoir le pouvoir discrétionnaire légal de gérer les activités et d’en établir la priorité en fonction du risque, en maximisant les ressources limitées pour produire les résultats les plus efficaces pour les Canadiens. Ce pouvoir discrétionnaire existe dans les lois sur la protection de la vie privée d’autres juridictions.

Contexte

L’adoption d’une approche stratégique fondée sur le risque est essentielle à une réglementation efficace.
Les nouvelles responsabilités non discrétionnaires introduites dans le projet de loi C‑11 comprennent l’obligation pour le Commissariat d’approuver les codes, de fournir des conseils aux organisations sur les programmes de gestion des renseignements personnels à leur demande et de consulter les intervenants concernés sur toutes les directives.
D’autres juridictions accordent une discrétion accrue aux organismes de protection des données pour gérer leur travail, ce qui leur permet d’établir les activités prioritaires et de dialoguer de manière plus constructive avec les intervenants. Par exemple, ce pouvoir discrétionnaire est prévu en Alberta et en Colombie-Britannique ainsi que dans l’Union européenne et en Nouvelle-Zélande.
Il est possible d’obtenir les avantages d’un dialogue proactif sans qu’il soit obligatoire et dépendant de la demande, ce qui exige beaucoup de ressources au détriment d’autres fonctions.

Préparé par : PRAP

Application Alerte COVID

Principaux messages

Nos échanges avec Santé Canada sur l’application Alerte COVID a permis de concevoir une application qui respecte tous les principes de base de protection de la vie privée de notre cadre.
Malgré tout, le gouvernement a affirmé à l’époque que les lois sur la protection de la vie privée ne s’appliquaient pas, car il était peu probable que des informations personnelles soient recueillies par l’application.
Nous avons recommandé de faire en sorte que l’utilisation de l’application reste volontaire et que les informations recueillies pour la recherche de contacts ne soient pas utilisées à d’autres fins.
- D’autres juridictions ont pris des mesures législatives et réglementaires pour s’assurer que la recherche de contacts reste volontaire et que les informations utilisées sont limitées à l’objectif pour lequel elles ont été recueillies.

Contexte

Utilisation par les provinces : L’application peut être utilisée pour signaler un diagnostic dans 8 provinces : Ontario, Manitoba, Terre-Neuve et Labrador, Nouveau-Brunswick, Nouvelle-Écosse, Île-du-Prince-Édouard, Saskatchewan et Québec. L’Alberta a décidé de ne pas utiliser l’application fédérale. Le caractère volontaire de son utilisation est un principe clé de la déclaration commune des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée sur les principes pour les applications de traçage des contacts et autres applications similaires.
Dialogue continu : La DSCG communique régulièrement avec Santé Canada au sujet de l’application et du portail. Santé Canada s’est engagé à consulter le Commissariat concernant les modifications à l’application. Santé Canada continue à consulter le Commissariat concernant les modifications à l’application. Par exemple, nous avons été consultés au sujet de la nouvelle collecte de paramètres de rendement. Le Commissariat participera à une vérification (évaluation) conjointe de l’application avec Santé Canada afin d’en évaluer l’efficacité.
État actuel de l’évaluation du programme : La DSCG travaille avec Santé Canada sur une évaluation conjointe de l’application qui devrait être achevée d’ici la fin de 2021. L’évaluation portera spécifiquement sur la nécessité et la proportionnalité, l’efficacité et l’adhésion continue aux principes FPT.

Préparé par : DSCG/PRAP

Devant les tribunaux – Facebook

Principaux messages

Notre enquête a révélé que Facebook n’a pas réussi à obtenir un consentement valable et a enfreint les principes d’équité dans le traitement de l’information relativement au consentement, aux mesures de sécurité et à la reddition de compte de la LPRPDE.
Comme Facebook a refusé de mettre en œuvre nos recommandations, nous demandons à la Cour fédérale de rendre une ordonnance exécutoire pour obliger Facebook à prendre des mesures pour corriger ses pratiques en matière de protection de la vie privée et à se conformer à la LPRPDE.
Nous attendons la décision de la Cour sur deux contestations préliminaires avant de pouvoir entendre l’affaire sur le fond.
Nous n’avons pas d’autres commentaires pour le moment.

Contexte

Enquête : Le 25 avril 2019, le Commissariat a publié son rapport de conclusions sur son enquête concernant la conformité à la LPRPDE de l’application FB « This is Your Digital Life » (TYDL) et de Cambridge Analytica, un cabinet-conseil politique britannique. Le Commissariat a conclu que Facebook a contrevenu aux principes d’équité dans le traitement de l’information relativement au consentement, aux mesures de protection, et à la reddition de compte de l’annexe 1 de la LPRPDE. Nous avons également constaté que, en ce qui concerne les téléchargements de l’application TYDL par les utilisateurs après le 18 juin 2015, Facebook n’a pas obtenu de consentement valable au sens de l’article 6.1 de la LPRPDE.
Conclusions de l’enquête : Facebook a contesté les conclusions de l’enquête et a refusé de donner suite aux recommandations du Commissariat pour corriger les lacunes relevées. Par conséquent, le Commissariat a présenté une demande en vertu de l’article 15 de la LPRPDE devant la Cour fédérale contre Facebook.
Contrôle judiciaire : Facebook a présenté une demande de contrôle judiciaire distincte qui conteste notre décision d’enquêter et de poursuivre l’enquête ainsi que le processus d’enquête lui-même et cherche à annuler le rapport de conclusions. Nous avons déposé une requête en vue de radier cette demande. En même temps, FB a demandé à la Cour de radier certaines parties de la preuve par affidavit du Commissariat dans notre demande en vertu de l’article 15 de la LPRPDE. La Cour a entendu ces contestations préliminaires en janvier 2021 et a rendu sa décision le 15 juin 2021.

Préparé par : Services juridiques

Devant les tribunaux – Google

Principaux messages

En 2018, le Commissariat a demandé à la Cour fédérale de vérifier si le moteur de recherche de Google est soumis à la LPRPDE lorsqu’il indexe des pages Web et présente des résultats de recherche en réponse à des requêtes portant sur le nom d’une personne.
Cette question a été soulevée dans le cadre d’une plainte dans laquelle une personne alléguait que Google avait enfreint la LPRPDE en affichant de manière proéminente des liens vers des articles la concernant lorsque son nom était recherché, alléguant que les articles étaient périmés et inexacts et divulguaient des informations sensibles. Google affirme que la LPRPDE ne s’applique pas dans ce contexte.
À la suite de consultations publiques, le Commissariat a estimé, dans son projet de prise de position sur la réputation en ligne, que la LPRPDE prévoit un droit à la désindexation (suppression des liens des résultats de recherche sans supprimer le contenu lui-même) sur demande dans certains cas. Cela concerne généralement aux pages Web contenant des renseignements inexacts, incomplets ou désuets.
La Cour fédérale a entendu l’affaire les 26 et 27 janvier 2021; la Cour n’a pas encore rendu son jugement et nous ne pouvons pas faire de commentaires supplémentaires sur cette question pour le moment.

Contexte

Plainte : En 2017, nous avons reçu une plainte par un individu alléguant que Google contrevient à la LPRPDE en continuant d’afficher de manière visible des liens menant à des articles de presse en ligne le concernant dans les résultats de recherches lorsque l’on fait une recherche concernant son nom. Le plaignant allègue que les articles sont périmés et inexacts et qu’ils divulguent des informations sensibles (orientation sexuelle et condition médicale grave). Il soutient que Google lui a causé un préjudice direct en liant les articles à son nom.

Position de principe : En 2018, le Commissariat a publié un projet de position de principe sur la réputation en ligne dans le cadre d’une consultation continue sur la façon dont la loi sur la protection de la vie privée pourrait remédier aux préjudices subis par les personnes en raison de l’exposition accrue des renseignements personnels en ligne. Dans ce document, nous avons déclaré que nous croyons que la LPRPDE s’applique aux moteurs de recherche. Le document reste un projet et ne sera pas achevé avant la conclusion de la procédure de renvoi.

Litige : En 2018, Google a contesté la position du Commissariat selon laquelle la LPRPDE s’applique à son moteur de recherche. En octobre 2018, nous avons demandé à la Cour de déterminer si, à la base, la LPRPDE s’applique au moteur de recherche de Google.

Préparé par : Services juridiques

Résolution FPT sur les passeports vaccinaux

Principaux messages

En mai 2021, le Commissariat a publié une déclaration conjointe sur les passeports vaccinaux avec ses homologues provinciaux et territoriaux.
Dans cette déclaration, il décrivait les principes fondamentaux de protection de la vie privée dont il faut tenir compte dans l’élaboration des passeports vaccinaux ou de toute initiative visant à confirmer le statut de vaccination ou d’immunité d’une personne.
Compte tenu des risques importants pour la vie privée associés aux passeports vaccinaux, la déclaration souligne qu’il faut démontrer que ces justificatifs sont manifestement nécessaires, efficaces et proportionnels avant d’y recourir.

Contexte

Le statut de vaccination, l’accès aux services et l’autorisation légale soulèvent de graves préoccupations, tant du point de vue de la protection de la vie privée que de celui des droits en général. Par conséquent, avant que cela ne se produise, si les restaurants, les commerces de détail ou les salles de concert devaient exiger une preuve de vaccination comme condition de service, nous voudrions voir une ordonnance de santé publique précise ou une autre autorisation légale pour nous assurer qu’il n’y a pas d’atteinte aux droits.
Importance de la consultation : Les connaissances scientifiques sur la COVID-19 et les vaccins évoluent, tout comme les discussions sur les passeports vaccinaux dans de nombreuses administrations. La déclaration du Commissariat visait à garantir la prise en compte de la protection de la vie privée le plus tôt possible dans le processus d’élaboration d’un passeport vaccinal.
Importance de la compétence : Dans le cadre du processus d’élaboration, les organismes qui envisagent de mettre en place un passeport vaccinal devraient consulter les commissaires à la protection de la vie privée de leur administration. Plusieurs provinces (dont l’Ontario, l’Alberta et Terre-Neuve) ont des lois qui protègent spécifiquement les données sur la santé des personnes. De plus, la Colombie-Britannique, l’Alberta et le Québec ont des lois sur la protection des renseignements personnels dans le secteur privé qui sont essentiellement semblables à la LPRPDE.

Préparé par : PRAP

Décret sur l’obligation de s’isoler et ArriveCAN

Principaux messages

Le Commissariat a reçu de l’ASPC plusieurs évaluations de la conformité en matière de protection des renseignements personnels pour des mesures soutenant le décret sur l’obligation de s’isoler, y compris l’application et le portail Web ArriveCan.
Ces outils ont été évalués en fonction du cadre du Commissariat. Ils sont conformes aux pouvoirs de l’ASPC en vertu de la Loi sur la mise en quarantaine et se limitent aux objectifs de réduire la propagation de la COVID-19 et de prévenir l’introduction du virus au Canada.
L’ASPC est ouverte à nos conseils sur la transparence et la surveillance; nous lui avons également conseillé de veiller à effectuer rapidement les évaluations de sécurité des systèmes de TI utilisés pour recueillir, transmettre et conserver des renseignements personnels.
Nous prévoyons de recevoir et d’examiner d’autres évaluations de conformité en matière de protection des renseignements personnels de l’ASPC, y compris peut-être des changements à l’application ArriveCan qui permettraient de présenter une preuve de vaccination sur une base volontaire.

Contexte

Le SCT a dispensé l’ASPC d’effectuer des EFVP complètes pendant la pandémie, même si la Directive provisoire a expiré, et l’Agence continue d’utiliser une approche simplifiée. L’ASPC a fait savoir qu’en raison de la nécessité d’exécuter les programmes rapidement pendant la pandémie, il est impossible de réaliser des EFVP complètes avant le lancement des programmes. Elle continue de nous consulter régulièrement pour régler les problèmes liés à la protection de la vie privée dans le cadre de l’élaboration de ses programmes.
L’application ArriveCAN permet aux voyageurs de fournir des renseignements par voie numérique, ce qui accélère la recherche des contacts comparativement aux formulaires papier. Selon l’ASPC, l’application permet de réduire de 9 à 2 jours le délai moyen entre la date d’entrée d’une personne au Canada et la date de la communication de l’ASPC pour commencer la recherche des contacts.
L’ASPC nous consulte sur les mises à jour possibles de l’application ArriveCAN afin de permettre aux voyageurs entièrement vaccinés de télécharger une preuve de vaccination sur une base volontaire afin d’être exemptés de certaines mesures de quarantaine. L’ASPC partage l’information avec les autorités de santé publique de la province ou du territoire où la personne est en quarantaine. L’information peut être divulguée à la GRC et à d’autres organismes d’application de la loi au Canada à des fins d’application de la mise en quarantaine.

Préparé par : Services-conseils au gouvernement

Circulation transfrontalière des données

Principaux messages

La LPRPDE ne répond pas adéquatement aux risques pour la vie privée posés par les flux internationaux de données, et le projet de loi C‑11, dans sa forme actuelle, ne comblerait pas ces lacunes.
La plupart des lois modernes sur la protection de la vie privée traitent explicitement et séparément des flux transfrontaliers de données, notamment les lois de l’Australie et de la Nouvelle-Zélande, et le Règlement général sur la protection des données (RGPD).
Le projet de loi C‑11 n’établit pas de mécanisme exhaustif pour régir les flux transfrontaliers de données. Il devrait être modifié pour contenir de telles dispositions, afin que les droits et obligations soient clairement définis et respectés.
À l’instar du RGPD, des lois de l’Australie et de la Nouvelle-Zélande, ainsi que du projet de loi 64 du Québec, le projet de loi C‑11 devrait également être élargi pour englober les « divulgations » à l’extérieur du pays. De même, il devrait imposer des obligations de transparence aux organismes étrangers qui transfèrent les renseignements personnels de Canadiens à l’extérieur du pays et les exposent ainsi à des risques d’atteinte à la vie privée.

Contexte

Le paragraphe 11(1) du projet de loi C‑11 obligerait les organismes qui transfèrent des données à s’assurer que leur fournisseur de services offre une protection essentiellement équivalente à celle qu’ils seraient tenus d’offrir en vertu de la Loi. Le principe 4.1.3 de la LPRPDE exige que les organisations qui transfèrent des données fournissent un « degré comparable de protection ».
Le projet de loi C‑11 s’appuie sur l’utilisation de moyens contractuels (ou autres) pour offrir une protection « essentiellement équivalente », par opposition à « par voie contractuelle ou autre » dans la LPRPDE. D’autres territoires de compétence offrent un certain nombre d’options à cet égard, notamment des mécanismes tels que les décisions d’adéquation, les clauses contractuelles types, les codes de conduite ou des règles ou des régimes d’entreprise contraignants.
Le Commissariat à la protection de la vie privée du Canada recommande qu’un plan distinct pour la circulation transfrontalière des données tienne compte des considérations mentionnées dans le document de Teresa Scassa concernant : 1) à qui s’appliquent les obligations; 2) la responsabilité; 3) les conditions à remplir et 4) la protection dans le pays de destination.

Préparé par : PRAP

Intelligence artificielle (IA)

Principaux messages

L’intelligence artificielle a un immense potentiel, mais elle doit être mise en œuvre de façon à respecter la vie privée, l’égalité et les autres droits de la personne.
À notre avis, une cadre réglementaire approprié pour l’IA :
- rendrait possible l’utilisation des informations personnelles pour des intérêts publics et commerciaux légitimes, y compris pour la formation de l’IA; mais uniquement si la protection de la vie privée est inscrite dans le cadre approprié des droits de la personne;
- établirait des dispositions distinctes pour la prise de décision automatisée qui garantissent la transparence et l’équité (l’explication et la contestation), et,
- exigerait des entreprises qu’elles fassent preuve de responsabilité démontrable à la demande de l’autorité de réglementation, ultimement par l’entremise d’inspections proactives et d’autres mesures d’application de la loi.
La LPRPDE ne contient aucune de ces mesures et est mal adaptée à l’environnement de l’IA. Le projet de loi C-11 contient une exigence d’explication pour les décisions automatisées, mais sans aucune norme quant à ce qu’une telle explication devrait comporter.

Contexte

En janvier 2020, le Commissariat a lancé une consultation publique. Nous avons reçu 86 soumissions au total et avons tenu deux séances de consultation en personne à Montréal et à Toronto.
Le rapport de synthèse, intitulé Un cadre réglementaire pour l’IA, contient nos principales recommandations en matière de réglementation de l’IA et est accessible sur notre site Web.
Nous avons également commandé un rapport distinct d’un expert reconnu en IA que nous avons publié, celui-ci a orienté nos recommandations et tient lieu de la participation d’intervenants.
Plus largement, le Commissariat collabore avec les autorités internationales de protection des données au sein de groupes de travail sur l’IA par l’intermédiaire de l’Assemblée mondiale pour la protection de la vie privée (AMVP), un forum international de commissaires à la protection des données et de la vie privée.

Préparé par : PRAP

Cadillac Fairview

Principaux messages

Notre enquête sur Cadillac Fariview a révélé que l’entreprise a utilisé des caméras dissimulées intégrées dans des kiosques d’information numériques dans 12 centres commerciaux pour recueillir les images des clients, et a utilisé la technologie de reconnaissance faciale (RF) pour deviner leur âge et leur sexe.
Les clients n’avaient aucune raison de s’attendre à ce que leurs renseignements biométriques sensibles soient recueillis et utilisés de cette façon et ils n’avaient pas consenti à cette collecte ni à cette utilisation.
Les images ont été supprimées, mais les renseignements biométriques de 5 millions de visiteurs ont été envoyés à un fournisseur de services tiers et stockés dans une base de données centralisée sans que l’on sache pourquoi.
Nous demeurons inquiets du fait que Cadillac Fariview ait refusé notre demande de s’engager à obtenir le consentement explicite et valable des visiteurs si elle décide de redéployer la technologie à l’avenir.

Contexte

Coopération provinciale : Il s’agissait d’une enquête conjointe avec l’Alberta et la Colombie-Britannique, et elle impliquait un échange d’information avec le Québec. Les conclusions ont été publiées en octobre 2020.
Fins visées par la collecte : Cadillac Fairview a recueilli des renseignements personnels pour surveiller les tendances de la circulation pédestre et déterminer les caractéristiques démographiques des visiteurs des centres commerciaux (p. ex. âge et sexe). À son insu, le tiers fournisseur de services a créé et conservé une base de données renfermant environ 5 millions de représentations numériques de visages.
Résultats : Cadillac Fairview a cessé d’utiliser cette technologie et a fait savoir qu’elle ne prévoyait pas reprendre son utilisation pour l’instant. Nous craignons que Cadillac Fairview ne recommence tout simplement cette pratique, ou une pratique similaire, et que nous devions soit aller devant les tribunaux, soit lancer une nouvelle enquête sur la question.
Réforme de la loi : Comme en témoigne le refus de Cadillac Fairview de s’engager à obtenir le consentement explicite et valable pour une utilisation ultérieure de cette technologie, nous avons besoin de pouvoirs d’application de la loi accrus, notamment le pouvoir de rendre des ordonnances et d’imposer des sanctions administratives pécuniaires (SAP) pour mieux protéger la vie privée des Canadiens.

Préparé par : Secteur de la conformité

Clearview AI

Principaux messages

Nous avons constaté que Clearview n’a pas obtenu de consentement pour la collecte, l’utilisation et la divulgation de millions d’images de Canadiens qu’elle a prélevées de sites Web ou de profils biométriques qu’elle a générés.
Nous avons également constaté que ses pratiques s’apparentaient à une surveillance de masse continue et qu’elles visaient des fins inappropriées.
Clearview a contesté nos conclusions et a refusé de suivre la moindre de nos recommandations. Cette affaire montre que des outils de réglementation plus efficaces, notamment le pouvoir de rendre des ordonnances et d’imposer des sanctions administratives pécuniaires, s’imposent pour contribuer à obtenir la conformité des entreprises. Le projet de loi C-11 ne corrige pas adéquatement ces lacunes en raison de son régime de SAP.

Contexte

Coopération provinciale : Il s’agissait d’une enquête conjointe avec l’Alberta, la Colombie-Britannique et le Québec. Notre rapport de conclusions a été publié le 2 février 2021.
Sommaire : Clearview a fourni des services d’identification à l’aide de son produit de reconnaissance faciale à 48 organisations canadiennes, qui ont effectué collectivement des milliers de recherches. Clearview a recueilli plus de trois milliards d’images partout dans le monde.
Consentement : Elle n’a pas demandé de consentement pour l’utilisation des renseignements personnels des particuliers, affirmant que ces renseignements étaient « accessibles au public ». Les entreprises de médias sociaux ont déclaré que Clearview avait violé leurs conditions de service en procédant à ce ratissage et nous avons constaté que les renseignements n’étaient pas accessibles au public, au sens des règlements pertinents.
Fins visées : Clearview a recueilli, utilisé et communiqué des renseignements personnels sans discernement pour permettre à des organisations tierces abonnées à son service d’identifier des personnes en téléversant des photos en vue d’obtenir une correspondance.
Conclusions : Clearview a accepté de se retirer du marché canadien et de cesser d’offrir ses services aux Canadiens. À la fin de notre enquête, Clearview a refusé de suivre l’une ou l’autre des recommandations formulées par les commissariats, qui lui demandaient notamment de (i) s’engager à ne pas revenir sur le marché canadien; (ii) mettre fin à la collecte, à l’utilisation et à la communication d’images et de matrices biométriques; et (iii) supprimer les images et les matrices biométriques recueillies qu’elle a en sa possession.

Préparé par : Secteur de la conformité

Atteinte à la vie privée chez Facebook

Principaux messages

Les médias ont rapporté en avril 2021 que les renseignements d’environ 533 millions d’utilisateurs de Facebook ont été rendus publics.
L’ensemble de données, qui avait été mis en vente sur le Web invisible dès le 6 juin 2020, est présumé comprendre de l’information sur 3,5 millions de Canadiens.
Facebook n’a pas soumis de rapport d’atteinte à la vie privée au Commissariat pour cette affaire et nous sommes actuellement en communication avec l’entreprise.
Nous avons reçu une plainte liée à cette affaire et nous étudions actuellement les prochaines étapes. Nous ne sommes pas en mesure de fournir de détails supplémentaires pour le moment.

Contexte

Les données ont été prélevées des comptes Facebook des personnes concernées en profitant d’une vulnérabilité technique.
Après avoir détecté ce problème en août 2019, Facebook a apporté des modifications pour corriger la vulnérabilité en septembre 2019.
Les données comprenaient une variété de renseignements sur les profils Facebook et des coordonnées. Selon Facebook, les données ne comprenaient pas de renseignements financiers, de renseignements sur la santé ou de mots de passe.

Préparé par : Secteur de la conformité

Enquête sur l’atteinte à la vie privée chez Desjardins

Principaux messages

En mai 2019, Desjardins a notifié au Commissariat une atteinte aux mesures de sécurité qui a finalement touché près de 9,7 millions d’individus au Canada ainsi qu’à l’étranger. Le Commissariat a lancé une enquête en collaboration avec la Commission d’accès à l’information du Québec.
Notre enquête a conclu que Desjardins a contrevenu à la LPRPDE en ce qui concerne les principes de responsabilité, des limites de conservation, et des mesures de sécurité.
Tous les six mois, Desjardins fournira au Commissariat des rapports d’étape sur la mise en œuvre d’un plan d’action complet à la suite de cette atteinte à la vie privée.

Contexte

Les noms et prénoms, dates de naissance, numéros d’assurance sociale, adresses de résidence, numéro de téléphone, adresse courriel et historiques de transactions font partie des renseignements personnels compromis.
L’atteinte a été commise par un des employés de Desjardins. Celui-ci a exfiltré des renseignements personnels pendant une période d’au moins 26 mois.
Nous nous sommes concentrés sur les mesures de protection de Desjardins et sur sa responsabilité sur le plan des politiques et de la formation pour protéger les renseignements personnels. De plus, étant donné que certains documents dataient de plusieurs décennies, nous avons également examiné ses politiques de conservation et de destruction.
Points importants de cette enquête :
- Si les organisations doivent se prémunir contre les vecteurs d’attaque externes, elles doivent aussi regarder à l’intérieur.
- Pour que les politiques et les procédures soient efficaces, la formation et la sensibilisation des employés sont essentielles pour les concrétiser.
- L’application de bonnes pratiques de conservation des données permet de réduire les risques.

Préparé par : Secteur de la conformité

Vérification de l’identité

Messages clés

L’un des moyens de prévenir l’usurpation d’identité et la fraude consiste à vérifier l’identité en ligne d’une personne en utilisant un identifiant numérique fiable et sécurisé. Un identifiant numérique peut également aider les Canadiens à accéder en toute sécurité aux services en ligne.
Le 15 septembre 2020, le Conseil canadien d’identification et d’authentification numérique (CCIAN) a lancé le Cadre de confiance pancanadien (CCP). Ce cadre est conçu pour aider les entreprises et les gouvernements à mettre au point des outils et des services qui permettent de vérifier les renseignements relatifs à une opération particulière ou à un ensemble d’opérations.
Au cours de l’année, le commissariat a suivi le développement du CCP du CCIAN et du CCP du profil du secteur public du SCT.
Du système bancaire ouvert à la santé en ligne, les services d’identification numérique représentent un élément clé de l’économie numérique. Jusqu’à présent, les banques et les firmes de télécommunication ont pu tirer parti des services d’identification numérique existants pour aider les Canadiens.

Contexte

Un identifiant numérique est un ensemble de traits et de caractéristiques associés à un individu ou à une organisation identifiable de manière unique, stocké et authentifié dans la sphère numérique, et utilisé pour des transactions, des interactions et des représentations en ligne.
Le CCP est au stade de validation du principe. Plus récemment, le Commissariat a participé à un groupe de travail du CCIAN sur l’utilisation éthique et acceptable de la biométrie dans l’écosystème de l’identification numérique.
La norme « CAN/CIOSC 103-1 : 2020 Confiance et identité numériques - Partie I » est une norme accréditée par SPC. La norme a récemment été publiée et précise les exigences minimales et l’ensemble des contrôles requis pour créer et maintenir la confiance dans les systèmes et services numériques qui, dans le cadre du mandat d’une organisation, attestent ou utilisent l’identité et les justificatifs d’identité dans les données relatives aux personnes et aux organisations.

Préparé par : Analyse de la technologie

Suivi de l’enquête sur Statistique Canada

Principaux messages

Pour donner suite à notre enquête de 2019, nous avons fourni à Statistique Canada des directives pour l’aider à remanier le Projet de renseignements sur le crédit et le Projet relatif aux transactions financières.
Dans le cas du projet de renseignements sur le crédit, notre enquête a révélé que même si Statistique Canada avait le pouvoir légal de recueillir des renseignements personnels, il n’avait pas démontré que la collecte était nécessaire ou proportionnelle.
Notre enquête a soulevé des inquiétudes quant au fait que le projet relatif aux transactions financières, s’il était mis en œuvre, dépasserait l’autorité légale de Statistique Canada. Le projet a été arrêté pendant notre enquête.
Nous avons également noté des problèmes de transparence et des menaces internes. Nous avons demandé à Statistique Canada d’accroître la transparence de sa collecte de renseignements personnels, de s’attaquer aux risques liés aux vulnérabilités internes et nous avons recommandé que les projets susmentionnés soient interrompus et remaniés.
Nous conseillons actuellement Statistique Canada dans le cadre de la refonte de ces projets.

Contexte

Le Commissariat a affecté une ressource à temps plein pour aider Statistique Canada (StatCan) à mettre en œuvre nos recommandations afin de s’assurer que les collectes de renseignements personnels proposées sont nécessaires pour atteindre un objectif public important et qu’elles sont proportionnelles à l’incidence sur la vie privée.
À l’automne 2020, StatCan nous a fourni des plans de projet remaniés. Bien que des progrès aient été réalisés, nous avons constaté des lacunes dans les plans de projet dans un certain nombre de domaines, notamment : 1) les objectifs publics ne sont pas suffisamment décrits; 2) l’efficacité n’a pas été démontrée; 3) les répercussions sur la vie privée n’ont pas été suffisamment prises en compte.
Nous avons donc fait un certain nombre de recommandations à Statistique Canada pour répondre à nos préoccupations à cet égard et pour qu’il nous soumette de nouveau des plans de projet aux fins d’examen.

Préparé par : Secteur de la conformité

Pornhub et MindGeek

Principaux messages

Nous sommes en train d’étudier votre rapport Assurer la protection de la vie privée et de la réputation sur les plateformes comme Pornhub, déposé le 17 juin. Nous reconnaissons les nombreuses et les sérieuses préoccupations qui ont été soulevées concernant la vie privée et les questions connexes, car il s’agit de renseignements personnels très sensibles.
Le Commissariat a reçu une plainte concernant le consentement à la collecte, à l’utilisation et à la divulgation d’images intimes sur les sites Web de MindGeek et a ouvert une enquête. Notre enquête étant en cours, je ne peux pas commenter davantage les détails de la plainte pour le moment.
Cela dit, il est de la plus haute importance que les sites Web qui recueillent, utilisent ou divulguent des images intimes se conforment à la loi, pour réduire au minimum les atteintes à la vie privée et respecter le droit fondamental des Canadiens à la vie privée.

Contexte

ETHI a commencé son étude le 1^er février 2021 et a tenu neuf réunions sur le sujet avec plus de 34 témoins. Un rapport final a été publié le 17 juin, qui porte sur des questions comme la vérification de l’âge et de l’identité, la distribution non consensuelle d’images intimes, les méthodes d’élimination du contenu non consensuel et montrant des mineurs, les répercussions possibles du projet de loi de la ministre du Patrimoine canadien sur les méfaits en ligne; et si l’application des règlements existants, comme le Code criminel et la LPRPDE, assurera la conformité des entreprises aux obligations législatives et en matière de protection des renseignements personnels.
- Nous prenons note de la recommandation voulant que le Commissariat soit consulté en ce qui concerne les exigences relatives à la vérification de l’âge.
Le Toronto Star a publié un article sur la plainte (en anglais seulement) en question en janvier 2021.
Bien que le Commissariat n’ait pas rendu publique la portée de son enquête, le commissaire a déclaré lors de son témoignage devant le comité ETHI dans le contexte du Budget principal des dépenses que des sites Web comme Pornhub suscitent des questions sur le consentement et les objectifs appropriés. Des médias de plusieurs pays ont publié des articles sur l’enquête menée par le Commissariat à la suite de son témoignage.

Préparé par : PRAP / Conformité à la LPRPDE

Plainte contre des partis politiques fédéraux

Principaux messages

Le Commissariat a conclu que les activités du Parti libéral, du Parti conservateur et du NPD, visées par la plainte, ne sont pas assujetties à la LPRPDE parce qu’elles n’ont pas de caractère commercial.
Bien que la vente d’objets promotionnels, d’adhésions et de billets inclue un élément d’échange, le Commissariat n’est pas persuadé que ces transactions constituent des activités commerciales étant donné le contexte dans lequel évoluent les partis politiques fédéraux.
Même si ces transactions-là étaient considérées comme étant commerciales, le Commissariat n’aurait pas la compétence d’enquêter sur les pratiques générales des partis politiques fédéraux liées à la publicité politique et concernant les électeurs.
Le Commissariat a souligné à plusieurs reprises la nécessité d’assujettir les partis politiques à une loi qui comporte des obligations fondées sur des principes de protection de la vie privée reconnus à l’échelle internationale, et d’assurer qu’un tiers indépendant ait l’autorité de vérifier la conformité.

Contexte

Nous avons reçu la plainte contre les trois principaux partis politiques fédéraux le 22 août 2019. Les autres destinataires de la plainte étaient : Élections Canada, le Bureau de la concurrence, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (CIPVP C.-B.).
Malgré les observations exhaustives de la part du plaignant dans cette affaire, nous sommes parvenus à la conclusion que la LPRPDE ne s’applique pas aux activités des partis politiques fédéraux faisant l’objet de la plainte, étant donné la nature non commerciale de ces activités.
Pour en arriver à sa conclusion dans cette affaire, le Commissariat a examiné attentivement les nombreuses représentations du plaignant sur l’activité commerciale et celles reçues du NPD et du Parti libéral du Canada. Le Parti conservatesur du Canada n’a pas fourni de réponse à cet égard.

Préparé par : Secteur de la conformité

Ratissage des données (renseignements personnels auxquels le public a accès)

Principaux messages

Le ratissage de données permet de recueillir rapidement et facilement des quantités sans précédent de renseignements personnels dans des sites Web auxquels le public a accès, entre autres les médias sociaux.
Une grande partie de ces renseignements ne sont pas vraiment « accessibles au public », au sens de la LPRPDE, et ne sont donc pas exemptés des exigences en matière de consentement.
Notre enquête sur Clearview AI a révélé qu’elle a utilisé de tels outils pour recueillir des milliards d’images de divers sites Web afin de créer illégalement une base de données de référence pour son logiciel de reconnaissance faciale, car le consentement requis n’a pas été obtenu.
Les expériences comme celle de Clearview montrent la nécessité d’éviter toute interprétation large des façons dont on peut utiliser sans consentement les renseignements « accessibles au public », car cette pratique pourrait entraîner de graves préjudices. Les lois sur la protection des renseignements personnels doivent faire en sorte que les attentes raisonnables des individus soient prises en compte pour déterminer s’il s’agit de renseignements « accessibles au public ».

Contexte

Le ratissage du Web consiste à extraire des données à partir de sites Web – généralement au moyen d’un logiciel permettant de naviguer dans le Web et de recueillir des données de façon automatique. Les robots d’indexation naviguent dans ces sites et créent des copies des images auxquelles ils ont accès sans demander l’autorisation des exploitants des sites en question.
Les exploitants des sites Web peuvent avoir recours à diverses techniques antiratissage pour détecter et bloquer les robots, mais il est possible de contourner la plupart de ces contre-mesures.
À titre d’exemple, en menant ses activités de ratissage, Clearview AI contrevenait aux conditions de service de divers sites Web. Malgré les mises en demeure reçues de Google, Facebook et Twitter, elle continue de ratisser des images à partir de ces sites, affirmant qu’elle estime avoir le droit de le faire.

Préparé par : Secteur de la conformité

Reconnaissance faciale (RF)

Principaux messages

D’après de récentes enquêtes réalisées par le Commissariat, la RF constitue une technologie puissante qui présente de sérieux risques pour la vie privée.
Parmi ces risques figure la violation du droit fondamental d’une personne à accéder aux espaces publics et privés, y compris aux espaces en ligne, sans craindre d’être identifiée, surveillée et suivie à chaque instant par des entités privées et gouvernementales.
L’utilisation de la RF crée également des risques de partialité et de discrimination à l’égard de certains groupes, et peut limiter la capacité d’une personne à se prévaloir d’autres droits et libertés démocratiques.
La communauté mondiale de la protection de la vie privée a reconnu ces risques en adoptant une résolution sur l’utilisation de la RF lors de la dernière conférence annuelle de l’AMVP. Le Commissariat participe à un groupe de travail, formé dans le cadre de cette résolution, afin d’élaborer un ensemble général de principes politiques et d’attentes concernant l’utilisation de la RF.

Contexte

Plaintes : Le Commissariat a récemment mené deux enquêtes sur l’utilisation de la RF en vertu de la LPRPDE (Clearview AI et Cadillac Fariview) et une en vertu de la Loi sur la protection des renseignements personnels (la GRC).
Orientations : Le Commissariat a collaboré avec ses homologues provinciaux et territoriaux pour publier une ébauche de document d’orientation sur l’utilisation de la RF par la police. La consultation sur l’ébauche de document d’orientation se poursuit jusqu’au 15 octobre 2021.
International : Le 15 octobre 2020, lors de la conférence annuelle de l’AMVP, une résolution sur la RF a été adoptée à l’unanimité. Cette résolution oblige l’AMVP à travailler à l’élaboration d’un ensemble de principes et d’attentes convenus concernant l’utilisation des renseignements personnels dans la technologie de reconnaissance faciale. L’AMVP doit notamment déterminer où la RF pose le plus grand risque pour la protection des données et le droit à la vie privée, ainsi que formuler des recommandations sur l’atténuation potentielle de ces risques.

Préparé par : PRAP

Reconnaissance faciale – Orientations

Principaux messages

L’an dernier, plusieurs reportages dans les médias ont confirmé que de nombreux corps policiers canadiens avaient recours aux services de Clearview AI.
La RF pose de graves menaces pour la vie privée, mais certaines utilisations légitimes sont possibles pour les besoins de la sécurité publique si la technologie est utilisée de façon responsable et dans les situations appropriées.
Nous avons récemment publié une ébauche de document d’orientation sur l’utilisation de la technologie de reconnaissance faciale par la police, élaborée conjointement avec nos homologues provinciaux et territoriaux.
Nous tenons des consultations sur l’ébauche document d’orientation jusqu’au 15 octobre 2021.

Contexte

L’utilisation de la RF par les corps policiers est réglementée par un ensemble disparate de lois et de jurisprudences qui, pour la plupart, ne tiennent pas compte des risques propres à la RF. Cette situation crée une incertitude quant aux utilisations acceptables de la RF et à ses conditions d’utilisation.
Le document d’orientation vise à clarifier les responsabilités légales, telles qu’elles existent actuellement, afin de veiller à ce que toute utilisation de la RF par les services de police soit conforme à la loi, limite les risques d’atteinte à la vie privée et respecte le droit à la vie privée.
Il est opportun de fournir des conseils précis sur l’utilisation de la RF par la police, compte tenu de l’utilisation réelle de la RF par la police, de la possibilité d’avantages légitimes pour la sécurité publique et des risques très graves pour les droits et libertés fondamentaux en jeu.
Le Commissariat élabore également des lignes directrices sur l’utilisation des renseignements biométriques, qui comprennent la reconnaissance faciale, par les organisations des secteurs public et privé.

Préparé par : PRAP

Reconnaissance faciale – Utilisation dans le secteur public

Principaux messages

Les institutions devraient communiquer avec le Commissariat rapidement pour évaluer les répercussions d’une nouvelle initiative sur la protection des renseignements personnels, en particulier les initiatives à risque élevé comme la RF. Nous nous attendons également à recevoir une évaluation des facteurs relatifs à la vie privée (EFVP) avant la mise en place de tout programme de ce genre, comme l’exige la politique du gouvernement fédéral.
Nous avons collaboré avec les ministères à des initiatives de RF pour l’immigration et la sécurité frontalière, la sécurité nationale et l’application de la loi. Voici quelques-unes de nos recommandations :
- Conseiller aux institutions de vérifier si le recours à la RF est nécessaire, proportionnel et efficace dans le contexte.
- En ce qui a trait à l’exactitude, nous avons formulé des commentaires concernant la possibilité de préjudice et de répercussions disproportionnées dans le cas de certaines personnes (préjudice racial) relativement aux bornes d’inspection primaire de l’ASFC.
- Nous avons recommandé que l’ASFC s’assure qu’un consentement valable a été obtenu dans le cadre d’un projet pilote visant à vérifier l’efficacité d’un logiciel de RF dans un contexte opérationnel frontalier (projet Faces on the Move).

Contexte

Depuis 2010, la Direction des services-conseils au gouvernement a reçu cinq (5) évaluations des facteurs relatifs à la vie privée portant sur des initiatives qui faisaient explicitement appel à la technologie de RF et elle a mené six (6) consultations portant sur ce type de technologies. Les échanges avec les organismes d’application de la loi et de sécurité nationale au sujet des initiatives faisant appel à la RF étaient seulement des discussions préliminaires.
Les seules initiatives faisant appel à la RF dont nous sommes au fait sont celles que nous ont déclarées l’ASFC, la Gendarmerie royale du Canada, le ministère de la Défense nationale ainsi qu’Immigration, Réfugiés et Citoyenneté Canada.

Préparé par : DSCG

Reconnaissance faciale – Utilisation dans le secteur privé

Principaux messages

Des entreprises privées ont de plus en plus recours à la RF à diverses fins.
Voici des exemples :
- surveillance des examens dans les universités;
- vérification de l’identité dans le cadre des transactions financières;
- contrôle de l’accès aux propriétés privées.
Ces utilisations posent des problèmes relatifs à la protection de la vie privée, notamment :
- Le consentement valable a-t-il été obtenu?
- Des mesures de protection appropriées sont-elles en place pour protéger les données d’images faciales extrêmement sensibles?
- Les gens devront-ils céder leurs renseignements biométriques sensibles à des entreprises privées pour avoir accès à des biens et à des services?

Contexte

Exemple d’utilisation de la RF par le secteur privé :
- Des universités canadiennes ont eu recours à un service de RF pour vérifier l’identité des étudiants et les surveiller pendant leurs examens. Or, l’entreprise a subi une atteinte (en anglais seulement) à la sécurité des renseignements en octobre 2020.
- Des banques canadiennes ont déployé (en anglais seulement) la RF pour vérifier l’identité dans le cadre de transactions financières, notamment des opérations bancaires et des transactions par carte de crédit effectuées en ligne.
- Une société immobilière canadienne a déployé la RF (en anglais seulement) pour contrôler et surveiller l’accès à des immeubles résidentiels. Les locataires peuvent se retirer du programme, mais des images de toute personne qui pénètre dans l’immeuble (p. ex. les livreurs) sont saisies automatiquement.

Préparé par : PRAP/DAT

Reconnaissance faciale – et intelligence artificielle (IA)

Principaux messages

Les systèmes de RF utilisent l’IA pour détecter, analyser et comparer les caractéristiques biométriques d’images faciales.
Les récentes avancées dans les techniques de modélisation de l’IA ont permis d’améliorer l’efficacité des algorithmes de RF.
Or, les avantages de l’IA s’accompagnent de certains risques : si les données d’entraînement utilisées pour générer un algorithme de RF manquent de diversité, l’algorithme pourrait par défaut intégrer au code ce type de préjudice.
En novembre 2020, le Commissariat a publié une série de recommandations pour la réforme de LPRPDE en vue d’assurer la réglementation appropriée de l’IA. Le projet de loi C-11 prévoit très peu des mesures que nous avions recommandées. À notre avis, les droits des Canadiens se trouvent ainsi exposés à un risque constant.

Contexte

La technique de modélisation de l’IA la plus populaire est connue sous le nom de « réseaux neuronaux convolutifs profonds », par lesquels les algorithmes de RF sont capables de créer des modèles faciaux 3D consistant en près d’une centaine de caractéristiques biométriques à partir d’images 2D.
Les systèmes de RF existent depuis la fin des années 1960. Les premières versions de ces logiciels s’appuyaient sur l’intervention humaine pour sélectionner et mesurer manuellement les points de repère du visage d’une personne alors que le processus actuel est entièrement automatisé et utilise l’IA.
Le projet de loi C-11 prévoit certaines mesures qui vont dans le sens des améliorations que nous avions recommandées pour la réglementation de l’IA (quoique pas exactement) : l’utilisation de renseignements personnels dépersonnalisés à des fins d’intérêt public dans certaines circonstances (art. 39) ainsi qu’à des fins de recherche et de développement internes (art. 21), une forme d’explication (par. 63(3)) et la capacité d’émettre des ordonnances (par.92(2)).

Préparé par : DAT/PRAP

Reconnaissance faciale – Transformation de la surveillance

Principaux messages

L’utilisation de la technologie de reconnaissance faciale, qui a le pouvoir de perturber l’anonymat dans les espaces publics, peut créer un grave risque et une atteinte à la liberté individuelle.
De plus, dans le contexte canadien, notre récent rapport au Parlement démontre que le recours à la surveillance de masse pour fournir un service à la police constitue une intrusion majeure et substantielle de l’État dans la vie de ses citoyens.
La nécessité de recourir à de telles pratiques, et l’importance du bien public en particulier, doit donc faire l’objet d’un examen attentif au cas par cas, par exemple au moyen d’une demande de mandat.

Contexte

Les enquêtes portant sur Cadillac Fairview et Clearview AI ont toutes deux révélé la manière dont les capacités de reconnaissance faciale amplifient les pratiques de surveillance en place.
Dans le cas de la plainte mettant en cause Clearview AI, nous avons observé une collecte massive d’images ainsi que la création de dispositifs de reconnaissance faciale biométriques, qui représentaient une identification et une surveillance de personnes en masse.
Notre enquête sur l’utilisation de Clearview par la GRC n’a pas établi la preuve que la GRC avait utilisé Clearview AI pour surveiller des manifestants. Toutefois, la GRC n’a pas fourni de motifs raisonnables pour la grande majorité des fouilles.
Nous sommes au courant de rapports faisant état de telles utilisations à l’extérieur du Canada, et nous sommes préoccupés par la possibilité qu’elles se produisent ici. Cela témoigne de l’urgence d’agir maintenant pour fixer des limites appropriées à l’utilisation de la technologie de RF, plutôt que d’agir de façon réactive une fois que les dommages ont déjà été causés.

Préparé par : PRAP

Reconnaissance faciale – Communautés racisées

Principaux messages

Malgré les avancées dans le perfectionnement de la reconnaissance faciale, bon nombre d’algorithmes de RF présentent encore des écarts importants au chapitre de l’exactitude entre les groupes démographiques (p. ex. selon la race et le sexe).
Des études ont démontré que les technologies de reconnaissance faciale sont également plus susceptibles de faire des erreurs d’identification ou de produire de faux positifs lorsqu’elles évaluent le visage de gens de couleur, et tout particulièrement de femmes de couleur, ce qui pourrait les exposer à un traitement discriminatoire.
Dans le contexte d’une enquête relative à l’application de la loi, un résultat constituant un faux positif pose d’importants risques de préjudices pour des individus racisés, particulièrement lorsqu’ils peuvent être, de manière disproportionnée, soupçonnés par erreur d’actes criminels graves.

Contexte

Des études ont révélé que certains logiciels de RF commerciaux comportent généralement des erreurs de divers ordres dans l’identification des personnes issues de différents groupes raciaux et genrés, ce qui crée un risque de biais dans l’utilisation de la technologie de RF.
En raison de la nature de ces inexactitudes, certains chercheurs ont affirmé craindre que l’utilisation de la RF, si elle n’est pas gérée de façon appropriée, puisse à terme accentuer les tensions et les inégalités existantes se rapportant aux corps policiers.
Il est impératif que les organisations prennent des mesures pour réduire les inexactitudes et les biais dans tout déploiement de la technologie de RF.
En réponse à la frustration suscitée par le meurtre de George Floyd par un agent de police, les démocrates du Congrès ont publié un projet de loi de réforme du droit en juin 2020 (Justice in Policing Act, 2020), qui imposerait, entre autres choses, des restrictions sur l’utilisation de la RF par les caméras corporelles des policiers. Le projet de loi ne créerait pas une interdiction totale ou un moratoire sur la RF en général. À l’heure actuelle, le projet de loi a été adopté à la Chambre, et il a été lu une deuxième fois au Sénat.

Préparé par : PRAP

Reconnaissance faciale – Enfants, aînés et populations vulnérables

Principaux messages

La précision de la technologie de RF peut varier considérablement selon les groupes démographiques, y compris les populations racisées. Cela crée un risque de traitement injuste, contraire à l’éthique ou discriminatoire résultant de l’utilisation de la RF.
Si elle est utilisée de façon peu appropriée, la technologie de RF peut porter atteinte de façon importante et durable à la vie privée et à d’autres droits fondamentaux, plus particulièrement dans le cas des groupes sociaux depuis toujours marginalisés ou vulnérables.
Au moment de mettre en œuvre la RF pour une fin déterminée, les organisations devraient prendre attentivement en compte les besoins et les sensibilités propres aux populations vulnérables ainsi que les répercussions disproportionnées éventuelles sur celles-ci et éliminer ces risques dès le début de la conception du programme.

Contexte

Les populations vulnérables ont parfois des capacités ou des compétences numériques moindres, ce qui les empêche de pleinement comprendre les répercussions que peut avoir sur leur vie privée l’analyse de leurs images faciales ou de donner un consentement valable à la collecte et à l’utilisation de leurs images pour la RF.
Les populations vulnérables peuvent également être moins susceptibles ou capables d’éviter les espaces publics dans lesquels la RF est déployée, ce qui peut les amener à être surreprésentées dans le déploiement des systèmes de RF.
Cela dit, certaines utilisations de la technologie de RF peuvent procurer des avantages aux populations vulnérables :
- Les forces de l’ordre pourraient utiliser la technologie pour retrouver les enfants disparus ou les personnes âgées.
- La GRC a également déclaré publiquement qu’elle avait utilisé Clearview avec succès pour identifier deux enfants victimes.

Préparé par : PRAP

Reconnaissance faciale – État des enquêtes sur la RF (GRC)

Principaux messages

Notre enquête sur l’utilisation de Clearview AI par la GRC a révélé que la police nationale du Canada a contrevenu à la Loi sur la protection des renseignements personnels lorsqu’elle a recueilli des renseignements personnels auprès de Clearview AI.

Une institution fédérale ne peut recueillir des renseignements personnels auprès d’un tiers si ce tiers a illégalement recueilli ces renseignements.

L’enquête a révélé des lacunes graves et systémiques dans les politiques et les systèmes de suivi, d’identification, d’évaluation et de contrôle des nouvelles collectes de renseignements personnels de la GRC.

De telles mesures sont essentielles pour veiller à ce que la GRC se conforme à la loi lorsqu’elle a recours à de nouvelles technologies, comme la technologie de RF, et de nouvelles sources, comme des bases de données privées.

Bien que la GRC n’ait pas accepté notre conclusion, elle a néanmoins accepté de mettre en œuvre nos recommandations pour améliorer ses politiques, ses systèmes et sa formation. Cela comprend la réalisation d’évaluations complètes des pratiques de collecte de données par des tiers afin d’assurer la conformité aux lois canadiennes en matière de protection des renseignements personnels.

Contexte

Le rapport sur les conclusions de l’enquête a été inclus dans un rapport spécial présenté au Parlement par le Commissariat le 10 juin 2021.
Le Commissariat, de concert avec ses homologues provinciaux et territoriaux, a lancé une consultation publique sur l’ébauche de document d’orientation sur la RF à l’intention de la police. La consultation vise à obtenir les commentaires des intervenants et du public sur le contenu du document d’orientation, ainsi que sur le cadre juridique et stratégique canadien pour l’utilisation de la RF par la police.

Préparé par : Secteur de la conformité

Reconnaissance faciale – Moratoires

Principaux messages

Utilisée de manière responsable et dans des situations appropriées, la reconnaissance faciale peut en effet présenter des avantages pour la sécurité et la protection de la population. Nous ne sommes pas en faveur d’une interdiction complète de cette technologie, mais il faudrait envisager l’idée de zones interdites pour certaines pratiques en particulier.
Par exemple, le projet de règlement de la Commission européenne sur l’IA vise à interdire un certain nombre d’utilisations de l’IA.
Cela dit, compte tenu des risques liés à l’utilisation de la RF, nous devons nous assurer que nos lois protègent efficacement les droits fondamentaux des personnes lorsque cette technologie est utilisée.
À terme, il revient au Parlement de déterminer s’il y a lieu d’imposer un moratoire jusqu’à ce que toutes les modifications législatives sur cette question aient été recommandées et adoptées.

Contexte

L’Union européenne a proposé une loi sur l’IA interdisant l’identification biométrique dans les espaces accessibles au public à des fins d’application de la loi, sans exception.
En juillet 2020, la Coalition pour la surveillance internationale des libertés civiles, de concert avec des organisations de la société civile et des défenseurs de la vie privée réputés, a publié une lettre adressée au ministre Blair réclamant une interdiction de la « surveillance par reconnaissance faciale » par les forces policières.
En septembre 2020, le Conseil municipal de Montréal a adopté une motion imposant des restrictions à l’utilisation de la reconnaissance faciale par le Service de police de la Ville de Montréal. Le Service de police de Toronto a accepté un moratoire sur l’utilisation de la technologie de RF dans les caméras corporelles en attendant la publication du document d’orientation du Commissariat.
Plusieurs villes et États américains ont interdit l’utilisation de la RF par les forces de l’ordre, dont Boston, San Francisco, Oakland, Portland, la Virginie et le Vermont.
Au cours de la dernière année, plusieurs grandes entreprises technologiques, notamment Microsoft, IBM et Amazon, se sont engagées publiquement à s’abstenir de vendre une technologie de RF à des corps policiers en attendant la réforme législative.

Préparé par : PRAP

Reconnaissance faciale – Lois actuelles sur l’utilisation

Principaux messages

Au Canada – sauf au Québec, province qui a son propre régime législatif en matière de renseignements biométriques–, la RF est régie par un ensemble disparate de lois. Comme cette technologie fait appel aux renseignements personnels, elle est visée par la législation sur la protection des renseignements personnels, entre autres la LPRPDE dans le cas du secteur privé et la Loi sur la protection des renseignements personnels dans celui des institutions fédérales.
L’utilisation de la RF par la police et l’État est limitée par la Charte, qui accorde aux personnes le droit d’être à l’abri des fouilles, des perquisitions et des saisies abusives. La Cour suprême du Canada a reconnu un droit général à l’anonymat et un droit à la vie privée dans l’espace public.
L’absence d’une législation expressément applicable à l’utilisation de la RF par les corps policiers contraste avec la Loi sur l’identification par les empreintes génétiques et la Loi sur l’identification des criminels, qui régissent la collecte, l’utilisation, la communication et la destruction des échantillons d’ADN, des empreintes digitales et des photos signalétiques.

Contexte

Au Québec, la Loi concernant le cadre juridique des technologies de l’information régit l’utilisation de la biométrie. Le projet de loi 64 exige que les organisations avisent la Commission au moins 60 jours avant la mise en service d’une base de données biométriques.
L’article 8 de la Charte prévoit que, à moins qu’une perquisition ne soit autorisée par la loi, elle sera illégale lorsqu’une personne a une attente raisonnable en matière de vie privée. L’anonymat fait partie du droit à la vie privée (R. c. Spencer, 2014 CSC 43), et les personnes conservent les attentes en matière de vie privée dans les espaces publics (R. c. Jarvis, 2019 CSC 10).
La Loi sur l’identification par les empreintes génétiques et la Loi sur l’identification des criminels établissent des seuils pour la collecte des caractéristiques biométriques relevant de leur portée ainsi que des conditions pour la collecte (entre autres les renseignements personnels fournis sous la contrainte et les mandats judiciaires). La Loi sur l’identification par les empreintes génétiques établit des règles particulières pour limiter les modes d’utilisation de la Banque nationale de données génétiques. Cela démontre la sensibilité des renseignements personnels.

Préparé par : Services juridiques

Reconnaissance faciale – Ailleurs dans le monde

Principaux messages

Dans la plupart des cas, les tribunaux et les organismes de réglementation s’efforcent d’appliquer les lois existantes sur la protection des renseignements personnels et la biométrie pendant que les décideurs réfléchissent à la forme que devrait prendre la réglementation supplémentaire, le cas échéant.
Les lois existantes régissant la biométrie entraînent généralement des obligations renforcées en matière de protection de la vie privée, par exemple l’enregistrement et la protection de bases de données biométriques, comme c’est le cas au Québec, ou le droit d’intenter des poursuites pour collecte de renseignements biométriques sans consentement, comme c’est le cas en Illinois.
De nombreux États et municipalités des États-Unis ont élaboré une législation sur la RF. La Californie et l’Oregon ont interdit l’utilisation de la RF sur les caméras corporelles portées par les policiers. San Francisco, la Virginie et Oakland en ont interdit l’utilisation par les corps policiers et les autres organismes publics.
Le parlement australien travaille à l’élaboration d’un projet de loi qui créerait une base de données nationale sur la RF aux fins d’utilisation par le gouvernement.

Contexte

Les données biométriques constituent une catégorie particulière de données en vertu du RGPD. Conformément à l’article 9, le traitement des catégories particulières est interdit à moins qu’une condition distincte ne soit remplie. Une EFVP est requise pour tout type de traitement susceptible d’être à risque élevé, ce qui signifie qu’une EFVP est généralement requise pour le traitement d’une catégorie particulière de données.
L’Europe va dans le sens de limiter la RF aux crimes les plus graves ou violents. Par exemple, le projet de règlement de la Commission européenne sur l’IA vise à interdire un certain nombre d’utilisations de la technologie.
Montréal est la première ville canadienne à avoir commencé à réglementer la RF, en créant des lignes directrices sur son utilisation par la police. Les États-Unis n’ont pas de réglementation fédérale sur la RF, mais de nombreux États et municipalités ont élaboré des lois en ce sens. En 2019, San Francisco a interdit l’utilisation de logiciels de RF par les corps policiers et les autres organismes.
Un projet de loi australien, le Identity-matching Services Bill, permettrait la communication de renseignements d’identification, notamment des images faciales, entre l’administration fédérale, les États et les territoires aux fins de la concordance d’identité pour prévenir le vol d’identité, appuyer l’application de la loi, assurer la sécurité nationale et améliorer la prestation de services.

Préparé par : PRAP

Reconnaissance faciale – Interdiction de l’UE

Principaux messages

La Commission européenne a mis en place sa Loi sur l’intelligence artificielle, qui interdit clairement les applications nuisibles de l’IA qui sont incompatibles avec les droits de la personne, dès le départ dans la législation. Encore une fois, nous voyons l’Europe montrer la voie.
Elle propose d’interdire les systèmes d’IA utilisés pour la surveillance de masse, y compris l’identification biométrique à distance en public (sous réserve d’une autorisation spéciale), avec des amendes pouvant atteindre 6 % des recettes mondiales.
Bien que nous soyons en faveur d’interdictions explicites dans la loi, nous estimons que le Commissariat doit continuer de jouer un rôle en ce qui concerne les décisions ex poste sur les pratiques inappropriées. Les interdictions ont force de loi et reflètent la volonté du Parlement. Les décisions du Commissariat tiennent compte du caractère approprié d’une activité dans des circonstances particulières, ce qui peut ne pas s’appliquer aussi largement.

Contexte

Des interdictions liées à l’IA existent déjà dans la législation européenne sur la protection de la vie privée. Le RGPD interdit les décisions automatisées qui produisent des effets juridiques ou affectent la personne de manière significative – sauf si la personne y consent.
Le projet de loi de l’UE interdit : l’IA qui a recours à des « techniques subliminales » pour la manipulation du comportement (notamment pour exploiter les vulnérabilités de groupes), la notation sociale par les autorités publiques et l’identification biométrique à distance dans des espaces accessibles au public par la police.
Le projet de loi comprend également une liste d’applications d’IA jugées « à haut risque », qui ne seraient pas interdites, mais exigeraient la tenue de dossiers, un système de gestion des risques, l’intégration d’un contrôle humain et des données exactes et représentatives utilisées pour la formation de l’IA.
Nos recommandations en matière d’IA comprenaient la réalisation d’une EFVP pour évaluer le risque et l’équilibre par rapport aux droits de la personne, ainsi que des mesures de protection comme la dépersonnalisation lorsque c’est possible, la traçabilité et la capacité de demander une intervention humaine.
Il établirait un Conseil européen de l’IA, qui recommanderait quels cas d’utilisation devraient être considérés comme étant « à haut risque ». Le Contrôleur européen de la protection des données serait membre du conseil.

Préparé par : PRAP

Date de modification :: 2021-10-19

Fiches des enjeux, certificat de nomination de Daniel Therrien au poste de commissaire à la protection de la vie privée

Table des matières

Arriérés du Secteur de la conformité

Principaux messages

Contexte

Statistiques et tendances sur les atteintes

Principaux messages

Contexte

Collaboration sur l’application de la loi

Principaux messages

Contexte

Loi sur la protection des renseignements personnels – Enquêtes en cours annoncées publiquement

Principaux messages

Contexte

Enquêtes en vertu de la LPRPDE en cours

Principaux messages

Contexte

Élaboration d’orientations

Principaux messages

Contexte

Affaires parlementaires

Principaux messages

Contexte

Sur la scène internationale (général)

Principaux messages

Contexte

Programme des contributions

Principaux messages

Contexte

Services-conseils au gouvernement – Statistiques et tendances

Principaux messages

Contexte

Services-conseils au gouvernement - Activités principales

Principaux messages

Contexte

Direction des services-conseils à l’entreprise

Principaux messages

Contexte

Statistiques et tendances en matière de communication

Principaux messages

Contexte

Direction de l’analyse des technologies (DAT)

Principaux messages

Contexte

Réforme de la Loi sur la protection des renseignements personnels

Principaux messages

Contexte

Réforme de la LPRPDE (projet de loi C‑11)

Principaux messages

Contexte

Application Alerte COVID

Principaux messages

Contexte

Devant les tribunaux – Facebook

Principaux messages

Contexte

Devant les tribunaux – Google

Principaux messages

Contexte

Résolution FPT sur les passeports vaccinaux

Principaux messages

Contexte

Décret sur l’obligation de s’isoler et ArriveCAN

Principaux messages

Contexte

Circulation transfrontalière des données

Principaux messages

Contexte

Intelligence artificielle (IA)

Principaux messages

Contexte

Cadillac Fairview

Principaux messages

Contexte

Clearview AI

Principaux messages

Contexte

Atteinte à la vie privée chez Facebook

Principaux messages

Contexte