Fiches des enjeux au sujet de l’étude sur l’utilisation par le gouvernement fédéral d’outils technologiques permettant d’extraire des données sur des appareils mobiles et des ordinateurs

Notes d’information consolidées

Logiciels espions et autres outils numériques (généralités)

Principaux messages

• Compte tenu de la nature très intrusive des logiciels espions, le CPVP s’attend à ce que les ministères fédéraux respectent la Politique sur la protection de la vie privée du SCT et qu’ils collaborent avec le Commissariat avant de les déployer. Cela pourrait se faire soit par le biais d’une consultation officielle, soit dans le contexte d’une évaluation des facteurs relatifs à la vie privée (EFVP).
• En l’absence d’un tel engagement, le CPVP ne peut ni examiner de manière significative les évaluations des risques relatifs à la protection de la vie privée inhérents à divers outils ou logiciels, ni fournir des directives appropriées.
• En consultation, la Gendarmerie royale du Canada (GRC) a confirmé qu’elle utilisait la technologie de la criminalistique numérique pour appareil mobile (TCNAM). Le CPVP a indiqué que l’utilisation d’une nouvelle technologie pouvait déclencher l’obligation de réaliser une EFVP sur le programme concerné.
• L’Agence des services frontaliers du Canada (ASFC) a également reconnu qu’elle utilisait cette technologie, mais a refusé de nous fournir des détails sur des outils spécifiques.

Contexte

• Politique sur la protection de la vie privée : La section 4.2.2 stipule que le CPVP doit être informé de toute initiative prévue pouvant avoir une incidence sur la vie privée des Canadiens et des Canadiennes.
• Collaboration avec le CPVP : En réponse à une demande des médias, La Direction des services-conseils au gouvernement a demandé des consultations avec la GRC et l’ASFC quant à leur utilisation de la TCNAM en janvier et février 2021. Aucune institution n’a contacté le CPVP de manière proactive pour discuter de l’utilisation de ce type de technologie.

Préparé par : AT

---

Glossaire et définitions

Principaux messages

• Il est utile de faire la distinction entre les différents outils d’enquête et leurs diverses incidences sur la protection de la vie privée.
• Les logiciels malveillants et les logiciels espions sont déployés dans un but criminel; tandis que les outils d’enquête peuvent être utilisés à mauvais escient, mais n’ont généralement pas pour but de nuire.

Contexte

• Logiciels malveillants : Les logiciels malveillants sont une catégorie de logiciels conçus pour mener des activités malveillantes sur un appareil. Par exemple, les cybercriminels utilisent des logiciels malveillants pour infecter des systèmes et des appareils, et voler des renseignements sensibles (par exemple, des justificatifs d’identité, des détails financiers, des secrets industriels) stockés sur des appareils mobiles ou des ordinateurs. Les logiciels malveillants peuvent même contrôler des appareils mobiles ou des systèmes informatiques pour effacer ou modifier les données. Les formes les plus courantes de logiciels malveillants sont les virus, les rançongiciels, les chevaux de Troie et les logiciels espions utilisés pour intercepter des communications ou copier des données et les rediriger.
• Logiciels espions : Les logiciels espions sont un sous-ensemble de logiciels malveillants spécifiquement utilisés pour surveiller les actions et les renseignements numériques d’un utilisateur à son insu ou sans son consentement. Les logiciels espions peuvent être téléchargés « gratuitement », installés à distance en exploitant les vulnérabilités de l’appareil cible et installés sans le consentement de l’utilisateur. Ils sont difficiles à supprimer et peuvent infecter des appareils mobiles ou des ordinateurs.
• Outils de criminalistique numériques : Les outils de criminalistique numériques sont des outils, des logiciels et des techniques utilisés pour accéder à des renseignements provenant de dispositifs numériques, les extraire, les analyser et les divulguer. Outre la conservation des preuves, les outils de criminalistique numériques permettent de mener des enquêtes structurées en recueillant, en identifiant et en validant des données dans le but de reconstituer des événements.
• Outils d’enquête sur appareil (OEA) : Les OEA sont des logiciels spécialisés utilisés par les organismes d’application de la loi (par exemple la GRC) pour recueillir secrètement des preuves sur des appareils personnels après autorisation judiciaire. Les OEA peuvent être installés physiquement ou à distance sur un appareil. Ils ont souvent les mêmes capacités techniques que les logiciels espions.

Préparé par : AT

---

Utilisation d’outils informatiques

Principaux messages

• La Direction de l’analyse de la technologie (DAT) du CPVP utilise des outils de criminalistique numériques pour appuyer le mandat législatif du CPVP. Ces outils sont notamment utilisés pour soutenir les activités de conformité, comme les enquêtes sur les atteintes à la vie privée, et pour valider les renseignements et les déclarations obtenus lors des entretiens avec les personnes concernées.
• La DAT n’a pas recours aux outils de criminalistique numériques pour prendre des décisions concernant des personnes.
• Des contrôles rigoureux sont en place pour restreindre l’accès à toute information recueillie, traitée et stockée en relation avec l’utilisation d’outils de criminalistique numériques.
• Le CPVP n’a pas utilisé d’outils de criminalistique numériques pour mener des enquêtes administratives.

Contexte

• Depuis au moins 2018, le CPVP tire parti d’outils de criminalistique numériques pour mener des enquêtes axées sur la conformité.
• Les outils de criminalistique numériques couramment utilisés par le CPVP sont (caviardé).
• Afin d’assurer l’intégrité des preuves recueillies au cours des enquêtes et de restreindre l’accès aux renseignements de nature délicate (comme les renseignements personnels), la DAT va procéder aux opérations suivantes :
  • stocker les preuves recueillies dans une armoire sécurisée approuvée par la GRC;
  • maintenir des contrôles d’accès physique rigoureux à la salle où les preuves recueillies sont stockées et traitées (le laboratoire de la DAT);
  • maintenir des contrôles d’accès logiques rigoureux aux systèmes utilisés pour traiter et analyser les preuves recueillies;
  • réduire au minimum la quantité de données contenues dans ses rapports.
• Advenant l’adoption du projet de loi C-27, le CPVP devrait constater une augmentation de l’utilisation des outils de criminalistique numériques pour mener ses activités de conformité.

Préparé par : DAT

---

Obligations en vertu de la Loi sur la protection des renseignements personnels / Réforme de la Loi sur la protection des renseignements personnels

Principaux messages

• Pour se conformer à leurs obligations en vertu de l’article 4 de la Loi sur la protection des renseignements personnels, les institutions fédérales doivent s’assurer qu’elles déploient des outils de criminalistique numériques à l’appui direct d’une activité ou d’un programme opérationnel(le), et d’une manière qui respecte la loi.
• L’utilisation par les institutions fédérales de technologies de collecte perfectionnées serait mieux régie si la Loi sur la protection des renseignements personnels exigeait explicitement des institutions qu’elles tiennent compte des principes de nécessité et de proportionnalité avant de les déployer.
• En outre, la loi devrait obliger les institutions fédérales à réaliser des EFVP dans des circonstances appropriées, par exemple lorsque des programmes ou activités, nouveaux ou substantiellement modifiés, auront une incidence sur la protection de la vie privée dans son ensemble.

Contexte

• Lois relatives aux programmes : Les activités ou programmes opérationnels reposent souvent sur les lois relatives aux programmes ou sur des lois habilitantes. Dans les rapports aux médias, plusieurs institutions fédérales ont fait référence à de telles lois pour justifier leur utilisation d’outils de criminalistique numériques (par exemple, le ministère des Pêches et des Océans a fait référence à la Loi sur les pêches).
• Nécessité et proportionnalité : Bien qu’il ne s’agisse pas d’une obligation légale en vertu de la loi actuelle, le CPVP préconise depuis longtemps que la collecte de renseignements personnels par les institutions fédérales soit régie par une norme « de nécessité et de proportionnalité », une position défendue par le Comité ETHI en 2016 dans son rapport intitulé Protéger la vie privée des Canadiens : examen de la Loi sur la protection des renseignements personnels.
  • Le document de discussion de novembre 2020 de Justice Canada sur la modernisation de la Loi sur la protection des renseignements personnels va dans le sens de la codification de cette norme en introduisant un seuil « raisonnablement requis », mais comme le soulignent les mémoires du Commissariat, il reste encore beaucoup de travail à faire.
• Évaluations des facteurs relatifs à la vie privée (EFVP) : Bien que la politique du SCT exige des institutions fédérales qu’elles effectuent des EFVP dans un certain nombre de circonstances, le CPVP a toujours demandé que les EFVP deviennent une exigence législative en vertu de la Loi sur la protection des renseignements personnels.
  • Cela a été proposé par le ministère de la Justice dans le document de travail susmentionné. C’est également la première recommandation de l’ETHI dans son rapport de novembre 2022 sur l’utilisation des OEA par la GRC.

Préparé par : Services juridiques

---

Exigences actuelles en matière d’EFVP

Principaux messages

• L’obligation pour les institutions fédérales d’élaborer des EFVP est actuellement une exigence de la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT (point 6.3.1).
• Cette directive a pour but de bien définir, d’évaluer et de réduire au minimum les incidences sur la vie privée avant la mise en œuvre d’une activité ou d’un programme nouveau ou ayant subi des modifications importantes touchant les renseignements personnels.
• Le Commissariat a recommandé de modifier la Loi sur la protection des renseignements personnels de manière à ce que les EFVP soient une obligation pour les institutions fédérales.

Contexte

• La Directive du SCT exige au moins la réalisation d’une EFVP de base pour déterminer les niveaux et les catégories de risque d’atteinte à la vie privée et les éléments et les flux de renseignements personnels, afin de s’assurer d’être conforme aux articles 4 à 8 de la Loi, et pour documenter les conclusions et recommandations tirées de l’évaluation de la protection de la vie privée.
• La Directive exige que les institutions fédérales soumettent les versions finales et approuvées des EFVP au Commissariat et au SCT, ainsi que tout autre document que nous pourrions demander. Les institutions fédérales ont la responsabilité de décider si elles doivent préparer des EFVP, ainsi que la façon de le faire.
• Nous sommes au courant de nombreux cas où des programmes sont lancés avant que des EFVP ne soient effectuées (par exemple, le programme EASI de la GRC et, récemment, le projet pilote de collecte de données fondées sur la race).
• La Directive contient également une disposition exigeant la tenue d’une EFVP pour toute modification importante apportée à des programmes existants. Il existe de nombreux programmes ministériels de longue date qui sont antérieurs à l’exigence de l’EFVP, entrée en vigueur en 2002.
• Dans de nombreux cas, nous constations que l’introduction d’une nouvelle solution technologique dans un programme existant peut représenter une modification importante et donner l’occasion à une institution de réaliser une EFVP pour l’ensemble du programme et d’évaluer les risques liés à la protection de la vie privée liés aux programmes existants qui n’ont peut-être pas fait l’objet d’une évaluation antérieure ou de mettre à jour une EFVP existante.

Préparé par : DSCG

---

Rôle du CPVP en matière de formulation de conseils au gouvernement

Principaux messages

• La Direction des services-conseils au gouvernement (DSCG) fournit des conseils non contraignants aux institutions du secteur public fédéral sur des programmes et des activités spécifiques mettant en jeu des renseignements personnels, principalement en examinant les EFVP.
• La DSCG propose également des services de consultation facultatifs pour permettre aux ministères de cerner et d’atténuer les risques dès le début de l’élaboration du programme. Nous avons constaté des avantages pour ceux qui y participent.
• Nous entretenons des contacts réguliers avec les bureaux de l’AIPRP pour la plupart des institutions, mais nous ne pouvons fournir des conseils et des recommandations que sur les programmes qui nous sont communiqués et sur la base des renseignements qui nous sont fournis.

Contexte

• La Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT exige que des EFVP soient effectuées pour les programmes ou les activités qui utilisent des renseignements personnels dans le cadre d’un processus décisionnel touchant directement un individu. Les institutions fédérales doivent envoyer les EFVP réalisées au Commissariat, mais nous ne pouvons pas les approuver ou les entériner.
• Nos consultations et examens portant sur l’EFVP sont basés sur les informations qui nous sont communiquées. Il ne s’agit pas de vérifications officielles. Par conséquent, nos conseils et recommandations reposent sur ce que l’institution choisit de partager. Il incombe à l’institution de fournir une représentation exacte de ses initiatives.
• Le SCT est chargé de surveiller la conformité à la Directive. Le CPVP a le pouvoir d’examiner la conformité aux articles 4 à 8 de la Loi sur la protection des renseignements personnels. Il pourrait vérifier les processus d’EFVP des ministères et en faire rapport au Parlement, mais cela se ferait dans le cadre d’une procédure distincte relevant du secteur de la conformité.
• La Direction des services-conseils au gouvernement au Commissariat trie et examine les EFVP en fonction du risque, comme l’utilisation de renseignements personnels de nature délicate ou en grande quantité, si le programme touche des populations vulnérables ou utilise des technologies nouvelles.
• La Directive exige que les EFVP soient fournies au Commissariat et au SCT, mais elle n’indique aucun délai pour cette étape. Le Commissariat n’a pas le pouvoir d’obliger les institutions à effectuer une EFVP ni de sanctionner la non-conformité.

Préparé par : DSCG

---

Opinion du CPVP - Sensibilisation et réponses à ce jour

Principaux messages

• À la suite d’articles parus dans les médias, la Direction des services-conseils au gouvernement a envoyé une demande d’information à treize institutions fédérales pour savoir si elles utilisaient des outils technologiques capables d’extraire secrètement des données personnelles à partir d’appareils mobiles.
• La plupart des programmes décrits par les institutions dans leurs réponses remplissent clairement les conditions requises pour faire l’objet d’une EFVP – ces programmes permettent de recueillir des renseignements personnels pour prendre des décisions administratives concernant des personnes.
• De nombreuses équipes chargées de l’accès à l’information et de la protection des renseignements personnels (AIPRP) semblent ignorer que leurs institutions utilisent ces outils et doivent s’adresser à l’interne pour obtenir des informations.
• D’une manière générale, on constate un manque de sensibilisation et de motivation pour réaliser des EFVP complètes dans l’ensemble des secteurs de programmes, peut‑être parce qu’il ne s’agit pas actuellement d’une obligation légale. Malgré cela, de nombreuses réponses indiquent également que les institutions ont imposé des limites et mis en place des politiques internes à l’utilisation de ces outils.

Contexte

• Réponse au suivi : La Direction des services-conseils au gouvernement a reçu des réponses à notre demande d’information de la part de 11 des 13 institutions énumérées dans la motion ETHI.
• La Direction des services-conseils au gouvernement peut confirmer que, parmi les institutions qui ont répondu, seules trois d’entre elles ont réalisé une EFVP formelle aux fins d’examen par le CPVP en janvier 2024.
• 8 institutions ont répondu qu’elles avaient commencé à travailler sur une nouvelle EFVP ou qu’elles envisageaient de mettre à jour une EFVP existante pour permettre l’utilisation de la nouvelle technologie (dans le cadre d’un programme préexistant). Les institutions qui entreprennent de nouvelles EFVP ou qui mettent à jour leurs EFVP ont indiqué que leurs programmes sont de nature investigatrice et qu’ils utilisent les RP.
• Une institution a indiqué qu’elle avait acheté la technologie en question, mais qu’elle ne l’avait jamais utilisée.

Préparé par : DSCG

---

Participation du CPVP au programme de l’EASI de la GRC

Principaux messages

• Le CPVP a été informé du programme de l’Équipe d’accès secret et d’interception (EASI) et de son utilisation des outils d’enquête sur appareil (OEA) par une demande des médias reçue le 27 juin 2022.
• Bien que le SCT exige que les EFVP soient réalisées avant la mise en œuvre du programme et malgré les réunions régulières que le Commissariat tient avec la GRC, le CPVP n’a pas reçu d’EFVP sur le programme et n’a pas été consulté à ce sujet par la GRC.
• À notre demande, à l’automne 2022, la GRC a fait une démonstration d’une journée sur l’utilisation des OEA.
• Nous avons finalement reçu une EFVP le 12 septembre 2023 et avons fourni des conseils et des recommandations en décembre 2023. Parmi nos recommandations, nous avons noté que l’EFVP avait été réalisée de manière très générale, ce qui n’a pas facilité l’évaluation des risques en matière de protection de la vie privée.

Contexte

• Le programme de l’EASI n’est pas le seul programme de la GRC dont nous avons entendu parler par les médias. Par exemple, en 2020, nous avons appris que la GRC utilisait la technologie de reconnaissance faciale de Clearview AI.
• Au point 6.3.1 de la Directive sur l’EFVP du SCT on exige que les institutions amorcent des EFVP pour les programmes nouveaux ou ayant subi des modifications importantes lorsque des renseignements personnels sont utilisés dans le cadre d’un processus décisionnel touchant directement une personne.
• Selon notre compréhension des OEA, nous nous attendons à ce qu’une institution consulte le Commissariat et soumette une EFVP avant d’utiliser ces outils pour réaliser le mandat d’un programme, ce qui nous donne suffisamment de temps pour les examiner et formuler des recommandations.
• Le Commissariat n’a pas reçu de plainte ni lancé d’enquête sur l’utilisation des OEA par le programme de l’EASI à ce jour. Si de nouveaux renseignements indiquaient la possibilité d’une infraction à la Loi sur la protection des renseignements personnels, le Commissariat pourrait lancer une enquête fondée sur les risques que représente le recours à ces outils pour les Canadiens.

Préparé par : DSCG

---

Utilisation d’outils d’enquête sur appareil par la GRC : pouvoirs conférés par la loi

Principaux messages

• La GRC est l’une des 13 institutions fédérales à avoir utilisé des outils de criminalistique numériques. En fonction de l’objectif et du degré d’atteinte à la vie privée des outils d’enquête déployés par la GRC, une série de mesures de protection de la vie privée pourraient être nécessaires, notamment : autorisation judiciaire, notification a posteriori des parties concernées et rapports au Parlement.
• En fonction de l’objectif et du degré d’atteinte à la vie privée des outils d’enquête déployés par la GRC, une série de mesures de protection de la vie privée pourraient être nécessaires, notamment : autorisation judiciaire, notification a posteriori des parties concernées et rapports au Parlement.
  • Ces mesures sont généralement énoncées dans les lois pénales, notamment dans le Code criminel. En tant qu’acteur étatique, la GRC est également soumise à la Charte, notamment à l’article 8 qui protège contre les fouilles, les perquisitions ou les saisies abusives.
• Le rapport spécial 2021 du CPVP sur l’utilisation par la GRC de la technologie de reconnaissance faciale de Clearview AI a révélé que la GRC n’avait pas vérifié la légalité des pratiques de collecte des renseignements personnels des partenaires auprès desquels elle recueille ce genre de renseignements. Cette question reste un sujet de préoccupation pour le Commissariat.

Contexte

• Enquête sur l’utilisation de Clearview par la GRC : Le CPVP a conclu que le recours de la GRC à la technologie de reconnaissance faciale de Clearview AI pour recueillir des renseignements personnels contrevenait à l’article 4 de la Loi sur la protection des renseignements personnels puisque Clearview AI avait elle‑même recueilli les renseignements en violation des lois canadiennes (du secteur privé) sur la protection de la vie privée.
• Engagements de la GRC après Clearview : Dans le cadre de cet engagement, la GRC a créé le Programmation national d’intégration de la technologie (PNIT).

Préparé par : Services juridiques

---

Conclusions d’enquête pertinentes

Principaux messages

• Dans ces cas, nous avons constaté que la GRC avait enfreint les dispositions relatives à la collecte prévues à l’article 4 de la Loi sur la protection des renseignements personnels.
• Lorsque nous avons enquêté sur l’utilisation de Clearview AI par la GRC en 2020-2021, nous avons constaté qu’elle avait également enfreint l’article 4 de la Loi en recueillant auprès de Clearview AI des renseignements qu’elle avait elle-même recueillis en contrevenant aux lois sur la protection de la vie privée auxquelles elle était assujettie.
• Hormis une enquête au cours de laquelle nous avons constaté que l’utilisation non autorisée d’un tel outil était un incident isolé, nous n’avons reçu aucune plainte concernant les outils d’enquête sur appareil (OEA).

Contexte

• Nous avons demandé à la GRC de mettre en œuvre les 8 recommandations que nous lui avons formulées suite à notre enquête sur son utilisation de la technologie de Clearview AI. Parmi ces recommandations figurait le lancement du Programme national d’intégration des technologies (PNIT). En fin de compte, le Commissariat a constaté que la GRC a mis en œuvre ses recommandations.
• Aucune EFVP n’a été reçue concernant l’utilisation de Clearview. Nous constatons toutefois que Clearview a cessé d’offrir ses services au Canada.
• Le CPVP enquête actuellement sur une plainte concernant le projet Wide Awake de la GRC (collecte de renseignements à partir de sources ouvertes), qui n’implique pas d’outils d’enquête sur appareil.

Préparé par : Secteur de la conformité

---

RP recueillis de manière fortuite traités par le CPVP

Principaux messages

• Les plaignants et les personnes interrogées dans le cadre de nos enquêtes sont priés de ne pas fournir au CPVP de renseignements personnels autres que ceux nécessaires aux fins de l’enquête.
• Les organisations qui soumettent des rapports d’atteintes à la vie privée au Commissariat sont invitées à ne pas inclure de renseignements personnels dans leurs rapports, mais à fournir une description des renseignements personnels compromis.
• Les renseignements personnels non pertinents ou superflus recueillis fortuitement au cours d’une enquête ou de l’évaluation d’un rapport d’atteintes à la vie privée sont généralement supprimés ou il est demandé à la partie concernée de soumettre à nouveau sa plainte sans ces renseignements.

Contexte

• En lisant comment soumettre une plainte sur notre site web, les Canadiens ont accès à la Politique sur la protection des renseignements personnels du CPVP, qui leur demande de ne pas fournir de renseignements au-delà de ce qui est nécessaire.
• Les demandes d’information du CPVP - envoyées aux parties dans le cadre d’une enquête - précisent les documents nécessaires et les éléments que les réponses doivent contenir.
• Le formulaire d’avis d’atteinte à la vie privée indique explicitement que les organisations ne doivent pas y inclure de renseignements personnels autres que les coordonnées professionnelles des personnes qui peuvent répondre, au nom de l’organisation, aux questions de suivi du Commissariat.
• Si l’information partagée par les parties contient des renseignements personnels non pertinents ou superflus, le CPVP évalue au cas par cas les mesures appropriées à prendre en tenant compte de la protection de la vie privée, qui peut inclure la suppression des renseignements personnels non sollicités ou la demande que l’information soit soumise à nouveau sans inclure les renseignements personnels inutiles.

Préparé par : Secteur de la conformité

---

Caractère adéquat

Principaux messages

• Nous saluons la conclusion de la Commission européenne selon laquelle le Canada continue d’offrir un niveau de protection adéquat en vertu du Règlement général sur la protection des données (RGPD), étant donné que les organisations seront toujours en mesure de transférer des données de l’UE vers le Canada sans exigences supplémentaires.
• Nous notons que la Commission recommande de légiférer sur certaines des protections élaborées au niveau sous-législatif, car cela renforcerait la certitude juridique et consoliderait les nouvelles exigences, comme celles concernant les renseignements personnels de nature délicate. La Commission note que la réforme en cours de la LPRPDE pourrait offrir une telle opportunité.
• Nous espérons que le gouvernement continuera à prendre des mesures pour réformer les lois fédérales canadiennes sur la protection de la vie privée afin de s’assurer qu’elles restent adéquates.

Contexte

• L’article 45 du RGPD autorise le transfert de données personnelles vers un pays tiers sans exigences supplémentaires, une fois que la Commission européenne a déterminé que le pays tiers assure un « niveau de protection adéquat ».
• Le Canada s’est vu accorder le statut en matière de protection adéquate en 2001 pour les organisations soumises à la LPRPDE, conformément au paragraphe 25(6) de la Directive 95/46/CE. Lorsque le RGPD est entré en vigueur en 2018, les décisions d’adéquation existantes sont restées en vigueur jusqu’à ce qu’elles soient modifiées, remplacées ou abrogées par la Commission.
• Le 15 janvier 2024, la Commission européenne a conclu l’examen de 11 décisions d’adéquation existantes, dont celle du Canada.
• L’examen de la décision d’adéquation s’est concentré sur les développements survenus depuis l’adoption de la décision, notamment le cadre canadien pour la protection des données, les questions relatives à la surveillance, à l’application de la législation, aux recours et à l’accès du gouvernement aux données.
• La Commission déclare son intention de suivre de près les développements futurs au Canada. Comme le RGPD exige que les décisions d’adéquation soient réexaminées tous les quatre ans, un nouvel examen devrait avoir lieu en 2028.

Préparé par : APPR

---

Loi sur l’IA de l’Union européenne

Principaux messages

• Le projet de loi sur l’IA de l’UE a été introduit pour la première fois en 2021 et semble sur le point de faire l’objet d’un accord final, le vote d’approbation de la législation étant prévu pour le début du mois de février.
• La Loi sur l’IA adopte une approche fondée sur le risque, qui interdit certaines pratiques d’intelligence artificielle (comme la notation sociale) et en qualifie d’autres de systèmes à haut risque (comme celles qui sont utilisées pour évaluer l’admissibilité aux prestations ou aux services publics).
• Les exigences principales de la Loi sur l’IA s’appliquent aux systèmes à haut risque; certains systèmes « à risque limité » n’exigeant que de la transparence.
• Une documentation technique détaillée, pouvant être examinée par les organismes de réglementation, doit également être conservée pour la plupart des modèles d’IA « à usage général » (comme les modèles sur lesquels repose l’IA générative).
• Le degré de chevauchement et de cohérence entre la Loi sur l’IA et l’LIAD du Canada dépendra en grande partie des règlements élaborés dans le cadre de cette dernière. Toutefois, il existe des différences essentielles.
• L’LIAD ne désigne pas les pratiques d’IA interdites, et le niveau de risque prévu par la Loi sur l’IA de l’UE prend en compte le « risque préjudiciable sur les droits fondamentaux » - un facteur qui n’est pas pris en compte dans la définition des préjudices de l’LIAD.

Contexte

• Dans la Loi sur l’IA de l’UE, l’IA à haut risque est soumise à certaines exigences :
  • évaluation des risques et de la qualité;
  • enregistrement pour la traçabilité;
  • contrôles humains généraux;
  • données exactes et représentatives pour la formation de l’IA;
  • évaluations ex ante de la conformité;
  • responsabilité démontrable.

Préparé par : APPR

---

Tendances en matière de divulgation des infractions

Principaux messages

• Le Commissariat reste préoccupé par la sous-déclaration des atteintes à la vie privée dans le secteur public, car de nombreuses institutions qui traitent des renseignements personnels de nature délicate ne nous ont jamais signalé d’atteinte à la vie privée.
• En 2022-2023, le secteur public n’a signalé qu’un seul cyberincident. Cette donnée contraste nettement avec celui du secteur privé, où 278 incidents ont été signalés pour la même période.
• Au cours de la dernière année, nous avons remarqué une nouvelle tendance : les cyberattaques ciblent les fournisseurs de services, touchant simultanément de nombreuses organisations. Ce fut le cas lors de la récente atteinte à la protection des données de BGRS, ainsi que les cyberincidents avec MoveIT et GoAnywhere.
• Nous notons avec inquiétude qu’en vertu de la LPRPDE, les fournisseurs de services n’ont pas actuellement l’obligation de signaler les atteintes à la vie privée au CPVP. Ils doivent plutôt informer leurs clients concernés. L’expérience nous a appris que cette approche n’est pas sans faille.

Contexte

• Depuis le début de l’exercice, le Commissariat a reçu 467 signalements d’atteintes à la vie privée de la part du secteur public. Ces infractions étaient principalement liées à la perte de renseignements personnels (69 %). La divulgation non autorisée (16 %) et l’accès non autorisé à ces mêmes renseignements (15 %) étant les autres causes les plus fréquentes d’atteintes à la vie privée.
• Au cours de la même période, le CPVP a reçu 573 signalements d’atteintes à la vie privée du secteur privé. Un peu moins de la moitié d’entre elles (262) étaient des cyberattaques initiées par des logiciels malveillants, des justificatifs d’identité compromis ou des tentatives d’hameçonnage.
• Nous constatons que l’écart entre les rapports des secteurs public et privé s’est rétréci, avec 573 rapports du secteur privé et 467 du secteur public (au 30 janvier). Néanmoins, nous restons préoccupés par le fait que la plupart des rapports d’infraction du secteur public proviennent des mêmes ministères.
• Dans le cadre du projet de loi C-27, nous avons proposé que les fournisseurs de services signalent les atteintes à la vie privée qui respectent les critères du risque réel de préjudice grave (RRPG) aux clients qui contrôlent les renseignements personnels, ainsi qu’au CPVP.

Préparé par : DARC

---

Affaires mondiales Canada (AMC) – Atteintes à la vie privée

Principaux messages

• Le 26 janvier, AMC a informé verbalement le Commissariat d’une atteinte à son RPV canadien entre le 20 décembre 2023 et le 24 janvier 2024. Cette atteinte est désormais contrôlée.
• Bien qu’il poursuive son enquête, AMC a été en mesure d’indiquer que l’atteinte a été causée par une cyberattaque et que des données, y compris des renseignements personnels, ont été exfiltrées.
• Nous sommes en contact avec le ministère pour recueillir plus d’information sur l’incident et l’intervention d’AMC.

Contexte

• Au 26 janvier, AMC avait (caviardé).
• Conformément à la politique du SCT, les institutions sont tenues de signaler les atteintes importantes à la vie privée au SCT et au CPVP, au plus tard sept jours après que l’institution ait déterminé que l’atteinte est substantielle.
• Nous nous attendons à ce qu’AMC soumette un rapport d’atteintes à la vie privée dans les prochains jours.

Préparé par : DARC