Fiches des enjeux au sujet de l’étude du projet de loi C-27

Comparution devant le Comité permanent de l’industrie et de la technologie (INDU) du 19 octobre 2023 - Au sujet de l’étude du projet de loi C‑27

---

Commentaires généraux sur le projet de loi C‑27

Principaux messages

• Le projet de loi C‑27 est une étape importante en vue d’établir des mesures de protection de la vie privée rigoureuses tout en favorisant une innovation responsable.
• Le projet de loi constitue une amélioration par rapport à Ia LPRPDE et à l’ancien projet de loi C‑11. Il contient de nombreux points positifs qui répondent à plusieurs des préoccupations principales du Commissariat à la protection de la vie privée (CPVP), comme l’ajout d’un préambule et de nouvelles mesures pour protéger les personnes mineures.
• Malgré ses nombreux aspects positifs, le CPVP estime que le projet de loi C‑27 peut être amélioré dans certains domaines clés, comme le précise le mémoire qui vous a été remis le 10 mai 2023.
• Nous avons examiné le projet de loi en fonction de trois éléments clés :
  • La protection de la vie privée est un droit fondamental;
  • La protection de la vie privée est un moyen pour favoriser l’intérêt public et appuyer l’innovation et la compétitivité du Canada; et
  • La protection de la vie privée est un moyen pour accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et la contribution de ceux-ci au monde numérique.

Contexte

La protection de la vie privée est un droit fondamental

• Le droit à la vie privée est un droit fondamental en soi, mais il est aussi un droit essentiel à l’exercice d’autres droits.

La protection de la vie privée est un moyen pour favoriser l’intérêt public et appuyer l’innovation et la compétitivité du Canada

• La protection de la vie privée n’est pas un obstacle à l’innovation. Les Canadiennes et les Canadiens ne devraient pas avoir à choisir entre protéger leur vie privée et participer à l’économie numérique.
• Les organisations doivent prendre en compte les répercussions sur la vie privée dès le départ.

La protection de la vie privée est un moyen pour accentuer la confiance des Canadiennes et des Canadiens

• Il est possible d’accroître la confiance en veillant à ce que la vie privée soit respectée et à ce que les personnes puissent faire valoir leurs droits.
• Des lois solides en matière la protection des renseignements personnels dans le secteur privé comprennent des mécanismes d’application efficaces qui contribuent à inspirer confiance dans une économie axée sur les données.

Préparé par : PRAP

---

Modifications proposées par le ministre – LPVPC

Principaux messages

• Nous accueillons favorablement les modifications proposées par le ministre, qui s’alignent sur nos recommandations concernant plusieurs points, notamment la reconnaissance de la vie privée en tant que droit fondamental.
• En ce qui concerne la proposition du ministre de renforcer la protection des enfants, nous recommandons que le projet de loi fasse référence à « l’intérêt supérieur de l’enfant » et non à « l’intérêt particulier des mineurs », car il s’agit d’un concept juridique bien établi qui trouve son origine dans la Convention des Nations unies relative aux droits de l’enfant.
• Nous ne sommes pas opposés à la modification de l’article 12 pour y ajouter la question de savoir si les renseignements concernent un mineur. Cependant, nous continuons à penser que la liste des facteurs devrait être non exhaustive afin de prévoir davantage de souplesse.
• Nous sommes satisfaits des propositions du ministre concernant les accords de conformité, notamment le fait qu’ils peuvent contenir des « considérations financières » et qu’ils seront définitifs et sans appel. Nous sommes également heureux d’apprendre que le gouvernement examine attentivement nos autres recommandations afin d’accorder davantage de souplesse dans ce domaine.

Contexte

• Le 3 octobre 2023, le ministre Champagne a remis au Comité permanent de l’industrie et de la technologie une lettre contenant des propositions de modifications de la partie 1 du projet de loi C‑27, édictant la Loi sur la protection de la vie privée des consommateurs (LPVPC).
• Dans cette lettre, le ministre propose de modifier le préambule du projet de loi et l’énoncé d’objet de la LPVPC (art. 5) en vue de qualifier la vie privée de droit fondamental.
• Le ministre propose également de modifier le préambule afin d’y ajouter une référence aux « intérêts particuliers des enfants... » et d’en faire un facteur à prendre en considération en vertu du paragraphe 12(2) (Fins acceptables).
• Le ministre propose d’autoriser les accords de conformité à contenir des « considérations financières ». Ces accords seraient définitifs et sans appel. La lettre indique également que le gouvernement « examine attentivement » les autres propositions du CPVP visant à nous accorder davantage de souplesse en matière d’application.

Préparé par : PRAP

---

Modifications proposées par le ministre – LIAD

Principaux messages

• Les modifications de la Loi sur l’intelligence artificielle et les données (LIAD) proposées par le ministre Champagne semblent généralement positives, car elles clarifient la portée prévue de la Loi ainsi que ses obligations. Elles favorisent également l’alignement sur la loi de l’Union européenne sur l’IA.
• Compte tenu de la nuance requise lorsque l’on traite avec l’IA, il est difficile de fournir des commentaires plus détaillés sans avoir vu le texte législatif proposé.
• La relation entre la LPVPC et la LIAD sera particulièrement intéressante dans la pratique, étant donné que bon nombre des « systèmes à incidence élevée » proposés semblent être régis à la fois par la LPVPC et la LIAD et que certaines obligations semblent se chevaucher (p. ex. le cadre de responsabilisation de la LIAD et le programme de gestion de la confidentialité e la LPVPC).

Contexte

• Les modifications proposées par le ministre sont regroupées en cinq catégories :
  • définir des catégories de systèmes qui seraient considérés comme ayant une incidence élevée;
  • préciser des obligations distinctes pour les systèmes d’intelligence artificielle (IA) générative à usage général, comme ChatGPT;
  • différencier clairement les rôles et les obligations en matière d’IA dans la chaîne de valeur de l’IA;
  • renforcer et clarifier le rôle du commissaire proposé à l’IA et aux données; et
  • s’harmoniser avec la Loi sur l’IA de l’Union européenne et d’autres économies avancées.
• Aucun texte législatif n’est fourni, mais des éléments d’information sont présentés concernant les systèmes à incidence élevée et une nouvelle définition de l’IA (alignée sur celle de l’OCDE).
• Cadre de responsabilisation : Une nouvelle proposition, selon laquelle tous les intervenants des activités réglementées devraient préparer un cadre (qui peut être demandé par le commissaire à l’IA et aux données) et définissant : les rôles et les responsabilités du personnel essentiel; les exigences en matière de formation; et les politiques et procédures relatives : (i) à la gestion des risques; (ii) à la notification lors des incidents graves; et (iii) au respect des données utilisées par le système.

Préparé par : PRAP

---

Adéquation des pouvoirs actuels du CPVP

Principaux messages

• En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le CPVP n’est pas en mesure d’émettre des ordonnances contraignantes ou d’imposer des sanctions financières.
• Si le CPVP a connaissance d’un problème potentiel en matière de protection de la vie privée concernant une organisation soumise à la LPRPDE, mais qu’il n’a pas reçu de plainte de la part d’une personne, le commissaire peut déposer lui-même une plainte (article 11(2) de la LPRPDE) ou procéder à une vérification des pratiques de l’organisation (article 18 de la LPRPDE), sous réserve des seuils fixés par la loi.
• Le CPVP peut également publier des lignes directrices non contraignantes sur des sujets portés à son attention concernant certaines pratiques de traitement des renseignements, afin d’aider les organisations à mieux se conformer à la LPRPDE.

Contexte

• En vertu de la LPRPDE, le seuil à partir duquel le commissaire peut effectuer un examen d’une organisation est défini au paragraphe 11(2) (c’est-à-dire des « motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de [la Partie I] »), alors que le seuil à partir duquel le commissaire peut procédé à des vérifications (article 18) est plus strict (c’est-à-dire, « s’il a des motifs raisonnables de croire qu’une organisation a contrevenu à l’une des dispositions des sections 1 ou 1.1 ou n’a pas mis en œuvre une recommandation énoncée dans l’annexe 1 »).
• Au cours de la dernière décennie, il y a eu environ 30 examens à l’initiative du commissaire, mais très peu de vérifications, principalement en raison des différences entre les seuils législatifs nécessaires pour déclencher ces activités (c’est-à-dire que dans la plupart des scénarios, le seuil de « motifs raisonnables de croire qu’une enquête devrait être menée » est plus facile à atteindre que le seuil requis pour effectuer les vérifications, à savoir « des motifs raisonnables de croire qu’une organisation a contrevenu à l’une des dispositions »).
• En vertu de la LPRPDE, les recommandations formulées à la suite d’une vérification ou d’un examen ne sont pas contraignantes. Si une organisation ne suit pas les recommandations formulées à l’issue d’un examen, le plaignant ou le CPVP peut, dans certaines circonstances, formuler une nouvelle demande pour faire appliquer ces recommandations par la Cour fédérale (article 14 de la LPRPDE).
• Les pouvoirs proposés dans la LPVPC accorderaient au CPVP la possibilité de disposer d’outils d’application pour assurer ou favoriser le respect de la loi (p. ex. émettre des ordonnances, recommander des sanctions administratives pécuniaires (SAP)).

Préparé par : Services juridiques

---

Admissibilité des recommandations du Commissariat

Principaux messages

• Il a été suggéré que certaines modifications du projet de loi C‑27 proposés par le CPVP sont irrecevables, car le projet de loi est à l’étape de la deuxième lecture conformément aux règles du processus législatif.
• Il n’est pas trop tard pour que le Comité permanent de l’industrie et de la technologie propose des modifications clairement pertinentes et importantes, qui dépassent la portée du projet de loi visé, même après la deuxième lecture, afin d’apporter des modifications au préambule ou d’apporter des modifications corrélatives à d’autres lois.
• Lors des réunions du Comité permanent de l’industrie et de la technologie, la portée d’un projet de loi peut être élargie ou restreinte au moyen d’une motion autorisant ce qui, autrement, dépasserait les pouvoirs de la CdC, lorsque cela est nécessaire et lorsqu’une modification est clairement liée à l’objectif du projet de loi.

Contexte

• Les modifications importantes des préambules ne sont admissibles que si elles sont rendues nécessaires par des modifications apportées au projet de loi. Des modifications peuvent également être apportées pour clarifier les propos ou assurer l’uniformité des versions anglaise et française d’un préambule.
• Le CPVP recommande d’insérer un préambule autonome dans la LPVPC ou de modifier le préambule général préexistant du C‑27, ce qui peut encore être possible après la deuxième lecture. De même, le CPVP maintient qu’il n’y existe aucun obstacle juridique apparent à la modification du projet de loi pour exiger que les contrôles judiciaires des décisions du Tribunal aillent directement à la Cour d’appel fédérale, même si l’article 28(1) de la Loi sur les Cours fédérales ne peut être modifié, car cette dernière n’a pas été examinée par le Comité.
• Il arrive qu’une modification pertinente d’une loi, qui n’est pas mentionnée dans le projet de loi, ne puisse être réalisée qu’en modifiant un article de la loi mère qui n’est pas visée par le projet de loi; voir la décision du Président Geoff Regan : Hansard - 341 (24 octobre 2018, Débats, pages 2297-8) [Projet de loi C76 – ... Loi électorale du Canada...]
• Exemples de motions élargissant la portée d’un projet de loi : (1) « habilité à élargir la portée du projet de loi de façon à permettre aux membres de la GRC d’être admissibles au programme concernant la priorité d’embauche » : Journaux de la CdC, 41e législature, 2e session, no 107, 19 juin 2014, p. 1321 [Projet de loi C‑27 – Loi édictant la Loi sur l’emploi dans la fonction publique]; (2) « le comité reçoit instruction d’élargir la portée [du projet de loi] » : Journaux de la CdC, 44e législature, 1ère session, no 193, 9 mai 2023 [Projet de loi C-21 – Loi édictant d’autres lois sur les armes à feu].

Préparé par : Services juridiques

---

Personnes autorisées

Principaux messages

• Les Canadiens devraient pouvoir autoriser quelqu’un d’autre à les représenter pour exercer leurs droits en vertu de la LPVPC lorsqu’ils ne sont pas en mesure de le faire eux-mêmes à cause d’un handicap, d’une barrière linguistique ou d’une autre raison.
• La clause 4(2)(c) de l’ancien projet de loi C‑11 prévoyait que les droits et les recours prévus par la Loi pouvaient être exercés au nom de tout autre individu, par toute personne autorisée par écrit à le faire par ce dernier, ce qui ne figure pas dans le projet de loi C‑27.
• Nous recommandons de réintroduire cette disposition et de préciser qui peut être autorisé à agir au nom des personnes qui souhaitent déposer une plainte en matière de protection de la vie privée auprès du Commissariat.

Contexte

• La réintroduction de la disposition figurant initialement dans l’ancien projet de loi C‑11 apporterait des éclaircissements à cet égard et garantirait au bout du compte qu’aucun nouvel obstacle dans le projet de loi C‑27 ne limiterait la capacité d’un individu à exercer son droit à la vie privée au titre de la LPVPC.
• Nous comprenons que certaines personnes pourront interpréter une telle disposition d’une manière qui soulève des inquiétudes quant à d’éventuels abus ou fraudes.
• Toutefois, en raison de la suppression de cette disposition, il est désormais difficile de savoir si les personnes disposeront toujours de cette souplesse, ou si la LPVPC empêchera une personne d’obtenir l’aide d’une tierce personne de son choix.
• On ne saurait dire maintenant si les individus ont toujours la possibilité de déposer des plaintes auprès du Commissariat par l’intermédiaire du représentant qu’ils ont choisi.
• À l’heure actuelle, la LPRPDE n’aborde cette question que de façon limitée. Par exemple, la loi ne précise pas actuellement si un individu peut déposer une plainte au nom d’un autre individu. Dans la pratique, le Commissariat a accepté des plaintes provenant du représentant personnel d’un individu, avec le consentement écrit de ce dernier.
• Bien que la LPRPDE ne précise pas actuellement si une personne peut représenter le plaignant, ou si elle est autorisée à le faire, le CPVP autorise cette pratique.

Préparé par : Services juridiques

---

Codes et certification

Principaux messages

• Les articles 76 et 77 de la LPVPC confèrent au CPVP le pouvoir d’approuver des codes de pratique et des programmes de certification, qui constituent un excellent moyen de concrétiser les principes de la Loi en matière de protection de la vie privée et d’accroître la certitude des organisations et des consommateurs.
• Cependant, la LPVPC diffère des autres modèles internationaux. Par exemple, la quasi-totalité des paramètres des codes de pratique et des systèmes de certification ne sont pas laissés à la discrétion du CPVP, mais seront plutôt fixés par le gouvernement, qui les prescrira par voie de règlement.
• Ce n’est pas le cas dans d’autres administrations, comme l’Australie ou la Nouvelle-Zélande, ni dans les pays visés par le RGPD.
• Les dispositions relatives aux codes de pratique et aux programmes de certification devraient donner au CPVP la même marge de manœuvre que celle dont disposent nos collègues au niveau international.

Contexte

• Les dispositions relatives aux codes de pratique dans le RGPD, ainsi que dans les lois sur la protection de la vie privée de l’Australie et de la Nouvelle-Zélande, révèlent des différences avec le modèle proposé dans la LPVPC, généralement liées au manque de flexibilité accordé à l’organisme de réglementation en ce qui concerne les procédures d’approbation des codes de pratique et des programmes de certification.
• En vertu de la LPVPC, le commissaire serait habilité à recevoir les demandes de codes de pratique des organisations, à les approuver et à les révoquer. Les procédures de soumission, d’approbation et de révocation doivent être définies dans des règlements.
• Le commissaire pourrait également recevoir les demandes de programmes de certification, les examiner et prendre des décisions à leur sujet. En outre, il disposerait de certains pouvoirs, notamment celui de révoquer l’approbation d’un programme de certification et de recommander aux opérateurs du programme de retirer la certification d’une organisation. La plupart des paramètres des programmes de certification doivent également être fixés par voie réglementaire.

Préparé par : PRAP

---

Accords de conformité

Principaux messages

• L’article 87(1) de la LPVPC permet au CPVP de résoudre des plaintes au moyen d’accords de conformité, négociés dans certaines circonstances.
• Bien que nous soyons favorables à l’inclusion des accords de conformité suite à leur utilisation efficace dans le cadre de la LPRPDE, le régime établi dans le projet de loi C‑27 pourrait les rendre moins efficaces qu’ils ne le sont actuellement.
• Tel qu’il est rédigé, le projet de loi C‑27 pourrait être interprété comme limitant l’utilisation des accords de conformité aux examens, en empêchant la négociation de tels accords avant l’examen ou au cours d’investigations. Cette situation limiterait les possibilités de négocier des solutions dans le cadre desquelles des accords volontaires rendraient possible une résolution rapide et opportune des problèmes dans l’intérêt de toutes les parties.
• En vertu du projet de loi C‑27, les accords de conformité ne seraient pas immédiatement applicables, ce qui obligerait le Commissariat à établir la non-conformité à la suite d’une longue enquête et d’un éventuel appel, simplement pour faire respecter la conformité au moyen d’un règlement négocié.
• Pour améliorer sa clarté, le projet de loi C‑27 devrait porter une mention confirmant que les accords de conformité peuvent comprendre le paiement de SAP et d’autres conditions.

Contexte

• Si les plaintes pouvaient être réglées par des accords de conformité, à tout moment avant la conclusion d’une enquête et les recommandations au tribunal, il sera possible d’offrir davantage de souplesse et d’avantages à toutes les parties concernées.
• Le projet de loi C‑27 devrait prévoir l’enregistrement des accords de conformité auprès de la Cour fédérale, afin de leur donner la même force et le même effet qu’une ordonnance judiciaire, comme dans le cas des ordonnances de conformité du Bureau de la concurrence. La proposition contenue dans le projet de loi C‑27 se traduit par un retard de la mise en œuvre de la conformité par les organisations à des conditions qu’elles ont volontairement acceptées, et que le CPVP a acceptées à défaut de poursuivre les mesures d’application de la loi.
• Le projet de loi C‑27 n’indique pas expressément que les accords de conformité peuvent comprendre des SAP ou d’autres mesures négociées, ce qui devrait être pris en compte.

Préparé par : Conformité

---

Collaboration à l’échelle nationale

Principaux messages

• Étant donné que les flux de données ont des répercussions sur la vie privée et d’autres droits, la collaboration en matière d’application dans le domaine privé et entre les sphères réglementaires est essentielle pour protéger les droits des personnes.
• Le projet de loi C‑27 n’autorise le CPVP qu’à collaborer avec les commissaires à l’information et à la protection de la vie privée des provinces et territoires, le CRTC et le Bureau de la concurrence. Nous pensons qu’il est important de disposer d’une plus grande flexibilité pour pouvoir collaborer avec les organismes nationaux ayant un mandat dans le domaine de la réglementation numérique, y compris avec le commissaire à l’IA et aux données proposé, conformément à notre capacité à collaborer avec de nombreux organismes internationaux.
• Il convient également de préciser que la collaboration avec le CRTC et le Bureau de la concurrence peut porter sur des questions générales de conformité, dans des domaines tels que les données et le marché numérique, la publicité et les initiatives en matière de protection de la vie privée ayant des incidences sur la concurrence.

Contexte

• L’application des dispositions de l’article 120(1)(b) de la LPVPC à la coopération nationale rendrait possible l’établissement d’un équilibre entre la collaboration internationale et nationale.
• Le CPVP pourrait bénéficier d’une collaboration avec d’autres organismes de réglementation nationaux, tels que les services d’évaluation du crédit, le surintendant des institutions financières, les commissions des droits de la personne, ainsi que le commissaire à l’intelligence artificielle et aux données proposé.
• (Caviardé). Bon nombre des affaires les plus importantes menées par le Commissariat au cours des dernières années, telles que Tim Hortons, Clearview AI et Facebook Cambridge Analytica, ont été menées conjointement avec nos partenaires provinciaux.
• Parmi les avantages de ces examens, on peut citer la réduction des processus faisant double emploi, la simplification du retour d’information sur la conformité dans plusieurs administrations, l’accroissement de la certitude des répondants et l’augmentation des ressources des organismes de réglementation concernés. La collaboration avec le CRTC ou le Bureau de la concurrence pourrait apporter des avantages similaires aux Canadiens et aux organisations.

Préparé par : Secteur de la conformité

---

Discrétion pour l’allocation des ressources

Principaux messages

• Le Commissariat préfère aider les entités à respecter la loi plutôt que de recourir rapidement à des pouvoirs d’exécution. Les organismes de réglementation efficaces établissent la priorité des activités en fonction du risque, en maximisant les ressources limitées pour produire les résultats les plus efficaces.
• Par rapport au projet de loi C‑11, le projet de loi C‑27 confère davantage de latitude au CPVP pour gérer les plaintes et les examens, et lui donne la souplesse requise pour formuler des orientations de la manière qu’il juge appropriée.
• Nous disposerons ainsi d’une grande marge de manœuvre pour utiliser les ressources de manière stratégique et hiérarchiser nos activités en fonction des risques encourus par les Canadiens.
• Nous n’avons pas d’autres commentaires à formuler sur ces changements que de veiller à ce que le CPVP dispose des ressources nécessaires à l’exercice de ses nouvelles fonctions.

Contexte

• Fonctions d’orientation : L’article 110 de l’ancien projet de loi C‑11 exigeait que le CPVP consulte les intervenants lors de l’élaboration d’orientations et d’outils (art. 110(1)(b)); qu’il mène des recherches sur le fonctionnement ou la mise en œuvre de la Loi à la demande du ministre (art. 110(1)(c)); et qu’il recommande des mesures correctives sur les programmes de gestion de la protection des renseignements personnels à la demande de l’organisation (art. 110(1)(e)), le tout sans avoir le pouvoir discrétionnaire de gérer ces nouvelles responsabilités.
• Désormais, le projet de loi C‑27 comprend des modifications visant à accroître le pouvoir discrétionnaire du CPVP concernant la manière dont ces exigences sont mises en œuvre, offre une certaine souplesse concernant les personnes à consulter lors de l’élaboration des orientations, et prévoit une clause de « certitude accrue », qui précise que le CPVP dispose d’une certaine souplesse pour gérer la charge de travail et la hiérarchiser. À ce titre, nous estimons que nos préoccupations antérieures ont été prises en compte.
• Plaintes et enquêtes : L’article 83(1)(I) stipule que le commissaire peut décider de ne pas procéder à un examen s’il estime qu’un examen ou que toute autre enquête n’est pas nécessaire compte tenu de toutes les circonstances de la plainte. Ainsi, nous pouvons également gérer notre travail en ayant davantage de souplesse.

Préparé par : PRAP (en consultation avec le secteur de la conformité)

---

Droit privé d’action

Principaux messages

• L’article 107 de la LPVPC permet aux particuliers d’exercer un droit privé d’action à l’encontre d’organisations sous certaines conditions, y compris une constatation faite par le CPVP. Nous pensons que ce droit ne devrait pas dépendre d’une constatation par le CPVP d’une infraction à la loi.
• Le CPVP offre son expertise et un recours relativement rapide et peu coûteux aux personnes alléguant des violations de la loi. Cela dit, ce n’est pas notre unique rôle; pour être un organisme de réglementation efficace, nous devons être capables de faire preuve de stratégie et de souplesse pour traiter les problèmes systémiques. Nous ne pouvons être la seule entité à offrir des recours aux consommateurs.
• Par conséquent, nous recommandons d’autoriser une personne à exercer un droit privé d’action uniquement s’il dépend d’une plainte déposée auprès du Commissariat, et non d’une constatation d’une violation de la loi.
• Le CPVP devrait être le premier décideur en ce qui concerne les questions relevant de sa compétence, mais il peut arriver qu’une personne soulève un droit privé d’action allant au-delà d’une simple violation de la Loi, et que les tribunaux soient une option appropriée offerte aux personnes cherchant à obtenir réparation sans dépendre d’une constatation du CPVP.

Contexte

• L’ancien projet de loi C‑11 contenait la même disposition, et nos recommandations la concernant restent les mêmes. Certains préconisent la suppression des conditions préalables à l’exercice d’un droit privé d’action, et la précision par la LPVPC qu’un droit privé d’action ne constitue pas « code complet ».
• Cette proposition peut contribuer à l’évitement des risques associés à un droit privé d’action entièrement autonome (p. ex. procédures concurrentes fondées sur une violation présumée de la LPVPC, éventuelles décisions incohérentes de la part des tribunaux et du CPVP, etc.)
• Dans l’affaire Hopkins c. Kay, la Cour d’appel de l’Ontario a estimé que le fait de permettre aux particuliers d’intenter des actions fondées sur la common law ne serait pas contraire au régime établi par la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario et ne lui porterait pas atteinte.

Préparé par : Services juridiques

---

Plaintes déposées par le commissaire

Principaux messages

• L’article 82(2) de la LPVPC stipule que le CPVP ne peut ouvrir un examen proactif que s’il a des motifs raisonnables de le faire.
• Les technologies et les modèles commerciaux étant de plus en plus complexes et de moins en moins transparents, les preuves des infractions et des risques concernant la vie privée qui en découlent peuvent ne pas apparaître avant que les Canadiens n’aient déjà subi de graves préjudices.
• Autoriser le CPVP à mener des examens ou des inspections proactifs, sans condition préalable de « motifs raisonnables », lui permettrait de vérifier la conformité et de prévenir les atteintes à la vie privée avant qu’elles ne se produisent.
• Par rapport à de nombreux organismes nationaux et internationaux chargés de la protection de la vie privée, le CPVP fait figure d’exception. Les organismes de réglementation provinciaux et internationaux disposent de pouvoirs étendus pour enquêter de manière proactive afin de garantir la conformité, sans les restrictions imposées par le projet de loi C‑27.

Contexte

• De nombreuses pratiques en matière de protection de la vie privée dans le monde numérique moderne sont opaques aux yeux des particuliers, qui peuvent ne pas disposer de suffisamment de renseignements pour être en mesure de déposer une plainte. De même, le Commissariat peut ne pas être au courant des pratiques des organisations ou ne pas avoir accès aux preuves nécessaires pour établir des motifs raisonnables d’enquête.
• Pour trouver ces « motifs raisonnables », nous avons souvent compté sur les médias pour trouver les preuves nécessaires à l’ouverture d’un examen, et seulement après que de graves violations de la vie privée entraînant des dommages aux Canadiens aient eu lieu. C’est ce qui s’est passé lors de nos examens sur Tim Hortons, Clearview AI et Cadillac Fairview.
• Parmi les lois comportant des normes beaucoup plus permissives, on peut citer :
  • La Personal Information Protection Act de l’Alberta (art. 36(1)(a))
  • La loi du Québec en matière de renseignements personnels dans le secteur privé (art. 81)
  • La Privacy Act de l’Australie, par. 40(2)a)
  • La Data Protection Act d’Irlande, par. 110(1) et par. 123(1)
  • L’alinéa 57(1)a) du RGPD
  • La Privacy Act de la Nouvelle-Zélande, par. 79(b)

Préparé par : Secteur de la conformité

---

Vérifications

Principaux messages

• Nous sommes heureux de constater qu’en vertu du projet de loi C‑27, le CPVP peut désormais entreprendre une vérification lorsqu’il existe des motifs raisonnables de croire qu’une organisation a enfreint la Loi, qu’elle est en train de l’enfreindre ou qu’elle est susceptible de le faire.
• Toutefois, le projet de loi continue d’exiger que le commissaire attende un certain seuil de « motifs raisonnables » avant de procéder à une vérification, ce qui est contraire à l’approche adoptée dans de nombreuses autres administrations, dont l’Alberta, le Québec et l’Union européenne.
• La capacité d’examiner des technologies et des modèles commerciaux complexes est nécessaire pour garantir aux Canadiens que leur droit à la vie privée est protégé.

Contexte

• Actuellement, en vertu de la LPRPDE (et de l’ancien projet de loi C‑11), le commissaire ne peut entreprendre une vérification que s’il existe des motifs raisonnables de croire qu’une organisation a enfreint la Loi.
• Bien que le projet de loi C‑27 ait élargi la capacité du CPVP à effectuer une vérification aux situations où il existe des motifs raisonnables de croire qu’une organisation « enfreint ou est susceptible d’enfreindre » la Partie 1 de la Loi, le seuil des « motifs raisonnables » continue de s’appliquer, ce qui se traduit par des restrictions inutiles.
• Nous avons noté que le projet de loi C‑27 prévoit qu’à la suite d’une vérification, le commissaire doit fournir à l’organisation un rapport contenant des conclusions et des recommandations (art. 98(1)). En outre, le CPVP peut prendre des ordonnances provisoires dans le cadre d’une vérification, conformément à la l’article 99(1)(a). Nous sommes favorables à ces dispositions.
• L’ancien projet de loi C‑11 interdisait les vérifications fondées sur des renseignements obtenus lors d’un examen du programme de gestion de la protection de la vie privée. L’article 111 du projet de loi C‑27 autorise désormais l’utilisation de ces renseignements pour effectuer une vérification si une organisation a « volontairement » ignoré les mesures correctives proposées par le CPVP à la suite de son examen du programme de gestion de la protection des renseignements personnels. Nous pensons qu’il s’agit là d’une évolution positive.
• Parmi les autres lois qui ne prévoient pas de seuils de « motifs raisonnables » pour les vérifications, on peut citer celle de l’Alberta (art. 36 de la PIPA), du Québec (art. 81 à 81.3 du chapitre P-39.1) et le RGPD (articles 57 et 58 et considérant 129).

Préparé par : PRAP

---

Protocoles de protection des examens

Principaux messages

• Les nouveaux pouvoirs juridictionnels de la LPVPC (c’est-à-dire la prise d’ordonnances en vertu de l’article 93(2)) dans le contexte des investigations nécessiteront probablement une certaine restructuration au sein du CPVP afin d’éviter les perceptions d’iniquité.
• Il est prévu que les enquêtes et les ordonnances nécessitent des processus formels de la part du CPVP, et que ceux-ci soient rendus publics. Le CPVP fera preuve de transparence et publiera ses règles et procédures au fur et à mesure de leur élaboration.

Contexte

• Actuellement, l’une des principales activités de conformité du CPVP consiste en la résolution de plaintes au moyen de diverses stratégies d’examen. La procédure d’examen est souple et peut être adaptée en fonction de la nature des allégations et des preuves dont le CPVP a besoin pour formuler des conclusions sur un cas donné. Les procédures d’examen existantes du CPVP sont actuellement décrites dans des orientations générales, disponibles sur son site Web.
• Il est prévu que les enquêtes et les ordonnances nécessitent des processus formels de la part du CPVP, et que ceux-ci soient rendus publics.
• Certains des homologues provinciaux et territoriaux du CPVP ayant le pouvoir de rendre des ordonnances ont élaboré des codes de procédure formels ou des orientations concernant leurs processus juridictionnels, qui s’apparentent davantage à des procédures judiciaires formelles qu’aux examens administratifs existants du CPVP. Certains de ces homologues ont également mis en place des unités juridictionnelles distinctes, composées d’arbitres professionnels, qui agissent indépendamment du commissaire et des unités d’examen du commissariat.
• L’article 92 de la LPVPC prévoit que le commissaire doit établir des règles concernant la conduite d’une investigation et les rendre publiques.
• Conformément à l’article 112 de la LPVPC, le Commissaire rend facilement accessible du contenu explicatif sur la manière dont il exerce les attributions que lui confère la présente loi.

Préparé par : Services juridiques

---

Ressources nécessaires pour le projet de loi C‑27

Principaux messages

• Le projet de loi C‑27 élargit les responsabilités actuelles du CPVP et en introduit de nouvelles, tout en accordant une certaine discrétion quant à la façon de les exercer.
• Dans l’Énoncé économique de l’automne 2020, des fonds ont été attribués au CPVP pour la mise en œuvre de l’ancien projet de loi C‑11 et, plus récemment, dans le cadre du budget de 2023, pour la phase préparatoire de la mise en œuvre du projet de loi C‑27.
• Ces fonds nous aideront à nous préparer à l’entrée en vigueur de la législation et à assumer nos nouvelles responsabilités.
• Cependant, ces fonds demeurent insuffisants pour faire face de manière permanente aux nouvelles activités ainsi qu’au sous-financement chronique des activités en cours, ce qui empêche le Commissariat de gérer de manière appropriée l’ensemble des problèmes et leur complexité qui ont une incidence importante sur le respect du droit à la vie privée de la population canadienne.

Contexte

• La mise à jour économique de l’automne 2020 a alloué le financement total suivant au Commissariat afin d’«appuyer la mise en œuvre et l’application de la loi dans le secteur privé» :
  

  2020-21	2021-22	2022-23	2023-24	2024-25	2025-26
  (Caviardé)	(Caviardé)	(Caviardé)	(Caviardé)	(Caviardé)	(Caviardé)

• Dans le budget de 2023, un financement temporaire supplémentaire a été réservé pour aider le Commissariat à mettre en œuvre les nouvelles obligations liées à son mandat au cours des premières années de mise en œuvre de la nouvelle loi.
  

  2023-24	2024-25	2025-26	2026-27	2027-28
  2 M	4 M	4 M	3 M	2 M

• Notre estimation actuelle du coût total de la mise en œuvre du projet de loi C‑27, y compris la correction du sous-financement existant, est d’environ 25 M$ (à l’exclusion du régime d’avantages sociaux des employés) en financement supplémentaire; cela représente plus du double de ce qui a été alloué en guise de financement permanent dans le cadre financier.

Préparé par : Secteur de la gestion intégrée

---

Article 109 – Attributions du commissaire – Éléments à prendre en compte

Principaux messages

• L’article 109 de la LPVPC énonce les éléments que le commissaire doit prendre en compte dans l’exercice de ses attributions (objet de la loi, taille et recettes des organisations, volume et du degré de sensibilité des renseignements personnels et questions d’intérêt public).
• Nous craignons que la nature obligatoire et générale de l’article 109 puisse créer des difficultés dans sa mise en œuvre, et recommandons que le commissaire ne soit pas tenu de prendre en compte ces éléments.
• Au contraire, il devrait être encouragé à les prendre en compte.
• Dans la pratique, le CPVP prend déjà soigneusement en compte les réalités et les circonstances des organisations, y compris les petites et moyennes entreprises, un sous-ensemble d’organisations pour lesquelles l’article 109 semble taillé sur mesure.

Contexte

• Une variante de cette disposition figurait dans l’ancien projet de loi C‑11, et nous restons préoccupés par le fait que cette disposition peut conduire à des litiges inutiles : le Commissariat pourrait être empêché d’agir ou ses procédures pourraient être retardées en raison de motifs futiles, car nous n’avons pas accordé suffisamment d’attention au contexte.
• Nous notons plusieurs autres dispositions du projet de loi C‑27 qui tiennent compte des PME (au-delà de l’article 109) :
  • le préambule fait référence à la nécessité d’un « cadre réglementaire souple » pour faciliter le respect des règles par les organisations « de toute taille » (et favoriser l’innovation en leur sein);
  • les dispositions du paragraphe 2 de l’article 9 (Programme de gestion de la protection des renseignements personnels) varient en fonction du volume et de la nature sensible des renseignements contrôlés par l’organisation.
  • art. 95(5)b) - Le Tribunal doit tenir compte des répercussions sur les entreprises et leur capacité de payer lorsqu’il détermine les sanctions appropriées; et
  • art. 110(1)e) - Le CPVP doit fournir, sur demande, des conseils aux organisations sur leurs programmes de gestion de la vie privée.

Préparé par : Services juridiques

---

Le Tribunal

Principaux messages

• La partie 2 du projet de loi C‑27 constitue le Tribunal de la protection des renseignements personnels et des données, qui est habilité à entendre les appels des conclusions, des ordonnances, des décisions, des ordonnances provisoires et des recommandations de sanctions administratives pécuniaires du CPVP.
• Le Tribunal peut substituer sa propre conclusion, ordonnance ou décision à celle faisant l’objet de l’appel s’il estime qu’une erreur a été commise par le CPVP. Conformément à l’article 21 de la Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPD), toute décision du Tribunal est définitive et ne peut faire l’objet d’un contrôle judiciaire que par la Cour fédérale.
• La procédure d’examen actuelle est longue et coûteuse. Le CPVP recommande que l’examen des décisions du Tribunal soit effectué directement par la Cour d’appel fédérale.
• Ainsi, il serait possible de supprimer un niveau d’examen, d’obtenir des niveaux d’examen comparables à ceux de certains homologues et de régler les problèmes rapidement.

Contexte

• Le Tribunal se composera de trois à six membres nommés par le gouverneur en conseil sur recommandation du ministre. Au moins trois des membres devront posséder de l’expérience dans le domaine du droit à l’information et à la protection des renseignements personnels.
• Le fait que les décisions du Tribunal soient directement examinées par la Cour d’appel fédérale permettrait de supprimer un niveau d’examen, d’accélérer le processus d’examen et de régler les problèmes rapidement.
• Aucun des homologues provinciaux essentiellement similaires au CPVP ne dispose d’un organe d’examen équivalent à un tribunal; à la place, ces affaires sont portées directement devant une cour provinciale ou une cour supérieure.
• Le fait de confier les examens à la Cour d’appel fédérale donnerait lieu à la création de niveaux d’examen comparables à ceux de certains homologues provinciaux et de régler les enjeux plus rapidement.

Préparé par : Services juridiques

---

Échéancier : Déclaration des atteintes à la vie privée

Principaux messages

• Les atteintes à la vie privée doivent être traitées rapidement afin de réduire le risque de préjudice aux personnes.
• L’article 58 de la LPVPC impose des délais pour signaler les atteintes à la vie privée (« dès que possible ») qui sont vagues et entraînent des retards, ce qui réduit la capacité du CPVP à faire respecter la loi et à protéger les Canadiens.
• En outre, la LPVPC n’oblige que les organisations ayant des données personnelles sous leur contrôle (appelées contrôleurs de données) à signaler les atteintes au Commissariat. Si l’atteinte se produit chez un fournisseur de services (qui fournit des services pour le compte du contrôleur de données), celui-ci n’est tenu de faire rapport qu’au contrôleur de données concerné.
• Toutes les organisations, qu’il s’agisse de contrôleurs de données ou de fournisseurs de services, devraient être tenues de signaler les atteintes à la vie privée au Commissariat dans un délai de 7 jours.
• Un délai de 7 jours imposé à toutes les organisations apporte un sens de priorité et de clarté au signalement des atteintes à la vie privée et peut aider les organisations à mettre en place des mesures correctives et à atténuer les dommages qui découlent de telles atteintes.

Contexte

• La LPVPC correspond à la LPRPDE et exige que des rapports soient présentés « dès que possible après que l’organisation a conclu qu’il y a eu atteinte ».
• Cela signifie que le Commissariat reçoit 40 % des déclarations d’atteinte plus de trois mois après les faits.
• Les exigences déséquilibrées en matière de signalement des atteintes à la vie privée proposées par la LPVPC conduisent le CPVP à s’appuyer sur les contrôleurs de données pour signaler les atteintes, alors que le fournisseur de services qui a subi la violation dispose d’une image bien plus complète de l’incident.
• Nous pensons que la mise en œuvre de nos recommandations en matière de signalement et de délais nous permettra d’établir en temps utile des rapports complets sur les atteintes à la vie privée, nécessaires pour protéger le droit à la vie privée des Canadiens touchés par une telle violation.

Préparé par : DARC

---

Échéancier : Renvoi des documents

Principaux messages

• L’article 99(2) du projet de loi C‑27 exige que le CPVP renvoie les documents ou les pièces aux personnes ou aux organisations qui les ont produits dans les 10 jours suivant la requête de celles-ci.
• Ce délai est problématique, car le Commissariat utilise des techniques de criminalistique numérique pour extraire des éléments de preuve qui peuvent nécessiter plus de 10 jours.
  • Si ces techniques et processus sont interrompus, ils doivent être relancés depuis le début pour maintenir l’intégrité de la preuve en cause.
  • Un délai de 10 jours pourrait empêcher totalement le renvoi de ces documents, ce qui aurait un effet négatif sur nos capacités d’examen.
• Par conséquent, nous pensons que ce délai de 10 jours est trop restrictif et risque d’entraver nos processus d’examen, et nous plaidons en faveur d’une souplesse accrue.

Contexte

• Le paragraphe 99(2) précise que « Le commissaire ou son délégué renvoie les documents ou pièces demandés en vertu du présent article aux personnes ou organisations qui les ont produits dans les dix jours suivant la requête que celles-ci lui présentent à cette fin, mais rien n’empêche le commissaire ou son délégué d’en réclamer une nouvelle production. »
• Nous proposons de modifier l’article 99(2) afin d’obliger le commissaire à restituer ces documents ou pièces une fois l’examen, l’investigation ou la vérification achevés et après la conclusion de toutes les procédures connexes.

Préparé par : Services juridiques

---

Infractions

Principaux messages

• L’article 128 du projet de loi C‑27 érige en infraction le fait de contrevenir à certaines dispositions ou ordonnances de la Loi ou d’entraver l’action des fonctionnaires du CPVP dans le cadre de plaintes, d’enquêtes ou de vérifications.
• Nous soutenons cette disposition, mais nous avons deux recommandations à formuler pour accroître la probabilité que les examens sur les violations de la LPVPC soient efficaces :
  • l’obligation de confidentialité prévue par le la LPVPC ne devrait pas empêcher le CPVP de communiquer directement à la police des preuves d’infractions à la LPVPC et à la LIAD;
  • le délai de prescription des infractions commises sur la base d’une procédure sommaire en vertu de la LPVPC devrait être prolongé.

Contexte

• Comme l’article 20(5) de la LPRPDE, la LPVPC permet au CPVP de communiquer des renseignements relatifs à la perpétration d’infractions au procureur général du Canada (art 113(6) du projet de loi C‑27). Toutefois, sous réserve d’exceptions limitées (p. ex. les renseignements sur les violations de données, art. 113(7)), les exigences de confidentialité de la LPVPC empêchent le CPVP de partager des preuves d’infractions avec la GRC ou d’autres forces de police (qui enquêtent effectivement sur les infractions). Dans son mémoire sur le projet de loi C‑11, le CPVP a demandé à jouer un rôle de premier plan dans les examens sur les infractions à la LPVPC; nous préférons désormais laisser la police diriger cet aspect.
• En tant qu’organisme de réglementation en vertu de la LPVPC, le CPVP est particulièrement bien placé pour trouver des preuves de responsabilité pénale en vertu de la LPVPC et de la LIAD (dont les dispositions chevauchent celle de la LPVPC). L’incapacité du CPVP à partager ces preuves de manière proactive peut réduire de manière significative l’efficacité des examens policiers.
• L’article 128 de la LPVPC prévoit que les organisations peuvent faire l’objet de poursuites par mise en accusation ou par procédure sommaire. En ce qui concerne les infractions punissables sur déclaration de culpabilité par procédure sommaire, le Code criminel du Canada fixe un délai de prescription de 12 mois (à moins que les deux parties ne conviennent d’une prolongation). Le délai de prescription commence à partir du moment où l’infraction a été commise.
• Les poursuites sont susceptibles d’avoir lieu pendant ou après les enquêtes du CPVP, qui peuvent être longues, en particulier avec les nouveaux pouvoirs prévus par la LPVPC (p. ex. les investigations, les ordonnances, etc.). Notamment, le projet de loi 64 a modifié la loi québécoise sur la protection des renseignements personnels dans le secteur privé (art 92.2, pas encore en vigueur) pour établir un délai de prescription de cinq ans.

Préparé par : Services juridiques

---

Loi sur l’intelligence artificielle et les données (LIAD)

Principaux messages

• La Loi sur l’intelligence artificielle et les données (LIAD) représente une mesure prise par le Canada pour réglementer l’intelligence artificielle (IA), ce qui est légitime compte tenu des risques de cette technologie pour les droits de la personne.
• L’une des principales dispositions de la LIAD vise à recenser et à atténuer les risques importants de préjudice ou de résultats biaisés liés aux systèmes d’IA « à incidence élevée ».
• Selon ce que le Commissariat en comprend, cette loi n’aborde pas expressément les risques d’atteinte à la vie privée, et la LPVPC s’appliquerait au traitement des renseignements personnels dans les systèmes d’IA.
• Pour garantir que les risques d’atteinte à la vie privée sont recensés et atténués par les organisations, en particulier en ce qui concerne les technologies comme l’IA, nous recommandons que la Loi sur la protection de la vie privée des consommateurs (LPVPC) prévoie la réalisation d’une évaluation des facteurs relatifs à la vie privée (EFVP) pour les activités à haut risque. Cela permettrait d’accélérer la prise de confiance dans ces technologies.

Contexte

• Article pertinent de la LIAD : L’article 8 prévoit que le responsable d’un système à incidence élevée établit, conformément aux règlements, des mesures visant à cerner, évaluer et atténuer les risques de préjudice ou de résultats biaisés que pourrait entraîner l’utilisation du système d’intelligence artificielle.
• Justification de l’EFVP : Il s’agit d’un processus de gestion des risques qui nous permet d’évaluer et de traiter les risques liés à la protection de la vie privée. Si l’on se tient à la définition limitée du « préjudice » donnée par la LIAD, il ne serait pas nécessaire d’atténuer les risques d’atteinte à la vie privée. L’ajout d’une obligation d’évaluation des facteurs relatifs à la vie privée concernant les activités à haut risque dans la LPVPC comblerait cette lacune. Il pourrait être possible de faire en sorte que les différentes évaluations des risques s’influencent mutuellement. Les EFVP sont particulièrement importantes lorsqu’une exception à l’obligation d’obtenir le consentement est utilisée pour traiter des renseignements personnels à l’aide de l’IA, car la personne concernée n’en serait pas consciente.
• Exemples d’activités à haut risque : Les modèles d’IA ont la capacité d’analyser, d’inférer et de prédire de manière saisissante certains aspects du comportement, des intérêts et même des émotions des individus. Les systèmes d’IA peuvent utiliser ces indications pour prendre des décisions automatisées au sujet de ces individus, notamment pour déterminer s’ils devraient recevoir une offre d’emploi, s’ils remplissent les conditions requises pour obtenir un prêt, s’ils doivent payer une prime d’assurance plus élevée ou s’ils sont soupçonnés d’avoir un comportement suspect ou illégal.

Préparé par : PRAP

---

Modifications proposées par le ministre – LIAD

Principaux messages

• Les modifications de la LIAD proposées par le ministre Champagne semblent généralement positives, car elles clarifient la portée prévue de la Loi ainsi que ses obligations. Elles favorisent également l’alignement sur la Loi de l’Union européenne sur l’IA.
• Compte tenu de la nuance requise lorsque l’on traite avec l’IA, il est difficile de fournir des commentaires plus détaillés sans avoir vu le texte législatif proposé.
• La relation entre la LPVPC et la LIAD sera particulièrement intéressante dans la pratique, étant donné que bon nombre des « systèmes à incidence élevée » proposés semblent être régis à la fois par la LPVPC et la LIAD et que certaines obligations semblent se chevaucher (p. ex. le cadre de responsabilisation de la LIAD et le programme de gestion de la confidentialité e la LPVPC).

Contexte

• Les modifications proposées par le ministre sont regroupées en cinq catégories :
  • définir des catégories de systèmes qui seraient considérés comme ayant une incidence élevée;
  • préciser des obligations distinctes pour les systèmes d’intelligence artificielle (IA) générative à usage général, comme ChatGPT;
  • différencier clairement les rôles et les obligations en matière d’IA dans la chaîne de valeur de l’IA;
  • renforcer et clarifier le rôle du commissaire proposé à l’IA et aux données; et
  • s’harmoniser avec la Loi sur l’IA de l’Union européenne et d’autres économies avancées.
• Aucun texte législatif n’est fourni, mais des détails sont inclus concernant les systèmes à incidence élevée et une nouvelle définition de l’IA (alignée sur celle de l’OCDE).
• Cadre de responsabilisation : Une nouvelle proposition, selon laquelle toutes les parties menant des activités réglementées devraient préparer un cadre (qui peut être demandé par l’AIDC) et définissant : les rôles et responsabilités du personnel essentiel; les exigences en matière de formation; et les politiques et procédures relatives à : (i) la gestion des risques; (ii) la notification des incidents graves; et (iii) le respect des données utilisées par le système.

Préparé par : PRAP

---

Commissaire à l’IA et aux données

Principaux messages

• Dans sa version actuelle, la proposition de la LIAD de nommer un cadre supérieur d’ISDE en tant que commissaire à l’IA et aux données pourrait créer un conflit, réel ou perçu, étant donné le rôle d’ISDE dans la promotion de l’industrie de l’IA.
• Comme dans le cas de toute réglementation, l’efficacité de la LIAD sera en grande partie déterminée par l’efficacité de son contrôle.
• La déclaration du ministre Champagne en faveur de modifications de la LIAD permettant de « renforcer la confiance dans la capacité [du commissaire à l’IA et aux données] à remplir son mandat en toute indépendance » est une étape positive.
• Nous nous réjouissons de travailler avec le commissaire sur des questions où la LIAD et la LPVPC s’appliquent toutes les deux.

Contexte

• LIAD art. 33(1) : Le ministre peut désigner un cadre supérieur du ministère dont il a la charge à titre de commissaire à l’intelligence artificielle et aux données, lequel est chargé de l’appuyer dans l’exécution et le contrôle d’application de la présente partie.
• Lettre du ministre Champagne au Comité permanent de l’industrie et de la technologie (INDU) : « Le gouvernement soutient les modifications visant à clarifier plus spécifiquement les fonctions et les rôles du commissaire à l’IA et aux données. Celles-ci devraient permettre de clarifier le rôle du CIAD, de renforcer la confiance dans leur capacité de s’acquitter de son mandat de façon indépendante et de jouer un rôle de coordination important dans l’ensemble du système de réglementation de l’IA afin d’assurer la cohérence et d’éviter les chevauchements.

Préparé par : PRAP

---

Prise de décision automatisée

Principaux messages

• Comme l’ancien projet de loi C‑11, le projet de loi C‑27 contient des dispositions spécifiques à la prise de décision automatisée. Nous soutenons cette approche pour faire face aux risques uniques qui découlent des décisions automatisées. Toutefois, tel qu’elles sont rédigées, les dispositions définissent les obligations de manière trop restreinte pour assurer la transparence nécessaire à l’instauration de la confiance.
• L’obligation de fournir une explication sur les décisions automatisées est désormais limitée aux décisions susceptibles d’avoir une « incidence importante », ce qui exclut probablement des éléments tels que les environnements numériques personnalisés.
  • Une application aussi restreinte n’est pas dans l’intérêt de la transparence algorithmique et de ses avantages.
• Les obligations relatives à la prise de décision automatisée ne s’appliquent pas non plus explicitement au profilage, comme c’est le cas dans d’autres lois modernes sur la protection de la vie privée, comme celles du Québec, de la Californie et de l’Europe. Cela devrait être clarifié et la Loi devrait définir le « profilage » de la même manière que les autres lois sur la protection de la vie privée.

Contexte

• Disposition relative à l’explication : L’ajout de l’expression « incidence importante » à l’obligation d’explication prévue à l’article 63(3) est un changement problématique par rapport à l’ancien projet de loi C‑11, car il restreint la portée de la disposition et pourrait exclure les décisions relatives à des questions comme la publicité en ligne, les fils d’actualité personnalisés et les environnements numériques.
• D’autres administrations vont plus loin : La législation sur les services numériques de l’Union européenne, qui entrera en vigueur le 1er janvier 2024, exige que toutes les plateformes en ligne incluent les paramètres utilisés pour leurs systèmes de recommandation dans leurs politiques (article 27). Cet article n’est pas limité aux « incidences importantes ». La législation de l’UE prévoira également la possibilité de refuser les recommandations basées sur le profilage des grandes plateformes en ligne (article 38).
• Définition du profilage dans le RGPD (presque identique dans les lois du Québec et de la Californie) : Le profilage désigne « toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements. »

Préparé par : PRAP

---

Prise de décision automatisée – Droit de contestation

Principaux messages

• L’article 63(3) du projet de loi C‑27 exige que les organisations qui utilisent des systèmes décisionnels automatisés pour faire une prédiction, formuler une recommandation ou prendre une décision concernant des personnes leur fournissent une explication de cette décision. Cette évolution est bienvenue.
• Toutefois, la technologie n’est pas parfaite et les individus ne devraient pas être liés par des décisions automatisées sans avoir la possibilité de demander une intervention humaine, particulièrement lorsque de telles décisions peuvent être fondées sur des données inexactes, refléter un biais ou constituer une décision qu’un humain jugerait inappropriée.
• Les personnes devraient avoir le droit de contester les décisions automatisées au-delà de l’exigence d’explication proposée, dans l’intérêt de l’équité et de la garantie d’un contrôle humain.
• Le droit de contester les décisions viendrait s’ajouter au droit de retirer son consentement, que prévoit la LPVPC. Il importe de disposer des deux droits à la fois, puisque le droit de retirer son consentement est absolu, alors que le droit de contester une décision offre un recours à la personne même quand celle-ci choisit de continuer à participer à l’activité qui fait intervenir la prise de décision automatisée.

Contexte

• Appliquer un droit de contestation serait cohérent avec l’approche adoptée dans d’autres administrations, notamment en Europe dans le cadre du RGPD et au Québec dans le cadre de la Loi sur la protection des renseignements personnels dans le secteur privé, où une personne pourrait être tenue d’examiner une décision sur demande dans certaines circonstances.
• Dans le secteur public, la Directive fédérale sur la prise de décision automatisée exige déjà que les décisions à haut risque doivent être soumises à une intervention humaine spécifique au cours du processus décisionnel pour pouvoir être prises.

Préparé par : PRAP

---

Mémoire sur le projet de loi C‑27 – Recommandations relatives à l’IA

Principaux messages

• Le mémoire du CPVP sur le projet de loi C‑27 contient trois recommandations relatives à l’IA dans le cadre de la LPVPC.
• Pour garantir que les risques d’atteinte à la vie privée sont recensés et atténués par les organisations, en particulier pour les technologies telles que l’IA, nous recommandons que la LPVPC prévoie la réalisation d’une EFVP en ce qui concerne les activités à haut risque.
• Pour promouvoir la transparence et la responsabilisation, nous recommandons que les organisations soient tenues d’expliquer, sur demande, toutes les prédictions faites, les recommandations formulées et les décisions prises à l’aide de systèmes décisionnels automatisés, et pas seulement celles qui pourraient avoir une « incidence importante », et que cela s’applique également au profilage.
• Afin d’améliorer l’efficacité et la coordination, le CPVP devrait être davantage en mesure de coordonner ses activités avec celles des organismes de réglementation nationaux, y compris avec celles du commissaire à l’IA et aux données proposé.

Contexte

• Justification de l’EFVP : Il s’agit d’un processus de gestion des risques qui permet d’évaluer et de traiter les risques en matière de protection de la vie privée. Si l’on se tient à la définition limitée du « préjudice » donnée par la LIAD, il ne serait pas nécessaire d’atténuer les risques d’atteinte à la vie privée. L’ajout d’une obligation d’évaluation des facteurs relatifs à la vie privée pour les activités à haut risque dans la LPVPC permettrait de combler cette lacune. Les EFVP sont particulièrement importantes lorsqu’une exception à l’obligation d’obtenir le consentement est utilisée pour traiter des renseignements personnels à l’aide de l’IA, car la personne concernée n’en serait pas consciente.
• Justification de la demande d’explications approfondies : Dans le projet de loi C‑11, le critère d’une « incidence importante » ne s’appliquait qu’à la fourniture d’un compte rendu général à un SMA. Le projet de loi C‑27 a ajouté ce critère « d’incidence importante » aux explications des décisions, ce qui pourrait exclure des questions comme la publicité en ligne et les flux d’actualité personnalisés. Cela ne serait pas dans l’intérêt de la transparence algorithmique.
• Justification de l’inclusion du profilage : Contrairement au RGPD et à d’autres lois modernes sur la protection de la vie privée, les obligations liées à la prise de décision automatisée ne s’appliquent pas explicitement au profilage. Cela pourrait signifier que des activités souvent opaques, telles que le courtage de données, échappent aux obligations de transparence.

Préparé par : PRAP

---

Enquête sur ChatGPT

Principaux messages

• En mai 2023, le Commissariat a entamé une enquête conjointement avec ses homologues de l’Alberta, de la Colombie-Britannique et du Québec sur les pratiques d’OpenAI, en ce qui concerne son service ChatGPT.
• L’enquête porte sur des questions de consentement et de transparence, d’accès et d’exactitude, de responsabilité, de finalités appropriées et de limitation de la collecte de données.
• Comme cette enquête est toujours en cours, je suis limité dans les renseignements que je peux communiquer.
• Le Commissariat trouve que l’IA est un domaine prioritaire, car il s’agit d’une technologie émergente qui présente des risques importants liés à la vie privée et à d’autres droits fondamentaux.
• Nous avons l’intention d’achever cette enquête dans un délai d’un an.

Contexte

• ChatGPT est un outil de traitement du langage naturel, ou agent conversationnel, utilisant la technologie d’intelligence artificielle (IA). Le modèle linguistique peut répondre à des questions et aider les utilisateurs à effectuer des tâches telles que la rédaction de courriels et d’essais.
• En avril 2023, le CPVP a ouvert une enquête sur ChatGPT, après avoir reçu une plainte alléguant que (caviardé). En mai 2023, nous avons mis fin à cette enquête pour donner suite à une plainte commune générale déposée à l’initiative du commissaire.
• Les autorités chargées de la protection des données dans le monde entier, y compris plusieurs instances européennes, ont entamé ou envisagent d’entamer des enquêtes sur ChatGPT.
• Le Comité européen de la protection des données a mis en place un groupe de travail sur ChatGPT afin d’échanger des renseignements sur d’éventuelles mesures d’application de la loi.
• En tant que membre du groupe de travail sur l’IA de l’Assemblée mondiale pour la protection de la vie privée, nous échangeons des connaissances et tirons parti de l’expérience de nos homologues.
• En tant que coprésident du groupe de travail sur la coopération internationale en matière d’application de la loi de l’Assemblée mondiale pour la protection de la vie privée, nous avons organisé une séance à huis clos sur l’application de la loi afin que les autorités membres discutent de l’application de la loi en ce qui concerne ChatGPT.

Préparé par : Secteur de la conformité

---

Loi sur l’IA de l’Union européenne

Principaux messages

• La proposition de loi européenne sur l’IA a été présentée la première fois en 2021 et continue de faire l’objet de débats. Actuellement, des négociations sur les modifications proposées sont en cours entre le Parlement européen, le Conseil européen et la Commission européenne.
• La loi sur l’IA de l’UE prévoit d’interdire les applications d’IA nuisibles, comme celles qui emploient des techniques subliminales pour manipuler ou qui sont utilisées à des fins de notation sociale. Elle adopte également une approche fondée sur les risques en définissant certaines utilisations de l’IA qui justifient une réglementation stricte, par exemple dans le contexte de l’emploi ou pour l’accès à des services publics et privés essentiels.
• Même si elle n’est pas utilisée dans un contexte à haut risque, l’IA générative devrait être soumise à des exigences de transparence en vertu de la loi sur l’IA de l’UE.
• La loi sur l’IA de l’UE comporte des exigences plus strictes que la LIAD, même si l’ampleur de cette différence dépendra en grande partie des règlements assortis à cette dernière. Une différence notable réside dans le fait que, dans la loi de l’UE, un système d’IA est considéré à haut risque s’il présente « un risque d’incidence négative sur les droits fondamentaux », ce qui n’est mentionné dans la définition du préjudice de la LIAD.

Contexte

• Dans la loi sur l’IA de l’UE, l’IA à haut risque est soumise à certaines exigences :
  • évaluation des risques et de la qualité;
  • l’enregistrement pour la traçabilité;
  • contrôles humains généraux;
  • données exactes et représentatives pour la formation de l’IA,
  • évaluations ex ante de la conformité; et
  • responsabilité démontrable.

Préparé par : PRAP

---

Types d’IA générative

Principaux messages

• Il existe deux principaux types d’IA générative : les « robots conversationnels », qui utilisent des grands modèles de langage, et les « systèmes artistiques », qui créent des images à partir de texte.
• Parmi les exemples de robots conversationnels d’IA générative, on peut citer ChatGPT (d’OpenAI), Bing Chat (de Microsoft), Bard (de Google), LLaMA (de Meta) et GitHub Copilot (de GitHub et OpenAI).
• Parmi les exemples de systèmes artistiques d’IA générative, on peut citer Stable Diffusion (de Stability AI), Midjourney et DALL-E (d’OpenAI).

Contexte

Robots conversationnels à grand modèle de langage.

• ChatGPT (Chat Generative Pre-trained Transformer) – publié par OpenAI le 30 novembre 2022; version GPT-3.5/GPT-4; affiné pour des interactions conversationnelles avec l’utilisateur.
• Bing Chat – lancé par Microsoft en 2023; intégré au navigateur Web Microsoft Edge; construit sur le GPT-4 d’OpenAI; similaire à ChatGPT.
• Bard – initialement lancé par Google en mars 2023 (sauf en Union européenne et au Canada); autorisation en Union européenne en juillet 2023; toujours indisponible au Canada.
• LLaMA – initialement lancé par Meta en février 2023 ; modèle de deuxième génération lancé en juillet 2023 en tant que source ouverte; disponible gratuitement pour la recherche et l’utilisation commerciale.
• GitHub Copilot – lancé par GitHub en octobre 2021; construit sur le GPT-3 d’OpenAI; génère du code dans divers langages de programmation à partir d’invites textuelles.

Systèmes de génération d’images à partir de texte :

• Stable Diffusion – lancé en 2022 par Midjourney Inc; peut générer de nouvelles images à partir d’invites textuelles; suffisamment léger pour fonctionner sur des ordinateurs grand public.
• Midjourney – lancé en juillet 2022; uniquement disponible sur le serveur Discord de Midjourney.
• DALL-E – initialement lancé par OpenAI en janvier 2021; construit comme une implémentation multimodale de GPT-3; la version 3 devrait être intégrée à ChatGPT en octobre 2023.

Préparé par : AT

---

Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés

Principaux messages

• Nous comprenons qu’il s’agit d’un code de conduite volontaire, dans le cadre duquel les signataires s’engagent à adopter les mesures spécifiques avant l’adoption d’une réglementation contraignante en vertu de la LIAD.
• Nous sommes généralement favorables au concept de codes de pratique, à condition qu’ils soient étayés par une législation solide et efficace.
• Le Commissariat se réjouit de la reconnaissance des répercussions de l’IA générative en ce qui concerne la protection de la vie privée et des données, y compris la référence à la déclaration des autorités de protection des données et de la vie privée du G7 sur l’IA générative, ainsi qu’aux obligations légales en vertu de la LPRPDE.
• L’IA générative est un domaine qui suscite un intérêt particulier de la part du Commissariat, qui reconnaît les risques liés à la vie privée associés à cette technologie émergente.

Contexte

• ISDE a organisé une série de tables rondes sur l’élaboration de ce code avec des intervenants clés du secteur de l’IA et des organisations de la société civile. Nous n’avons pas participé à ce processus de consultation et aucun rapport ou autre résultat de ces tables rondes n’a été porté à notre attention.
• Le code a été publié à la fin du mois de septembre et, au 12 octobre 2023, il comptait 14 signataires.
• L’intervention du ministre Champagne devant l’INDU du 26 septembre 2023 a mis l’accent sur la nécessité d’avoir des règlements et des normes cohérents dans les administrations internationales. On s’attend à ce que d’autres pays du G7 publient des « codes de conduite volontaires » similaires.
• À l’automne, le CPVP compte publier des Principes relatifs à une IA générative responsable, digne de confiance et respectueuse de la vie privée, sous réserve de l’approbation des autorités fédérales, provinciales et territoriales. Si ce document est approuvé et publié, il mettra en évidence plusieurs préoccupations essentielles concernant l’élaboration, le déploiement et l’utilisation des systèmes d’IA générative. Ce document définira la position du Commissariat sur l’IA générative.

Préparé par : PRAP

---

Cadre réglementaire du Commissariat pour l’IA

Principaux messages

• L’intelligence artificielle a un immense potentiel, mais elle doit être mise en œuvre de façon à respecter la vie privée, l’égalité et les autres droits de la personne.
• À la suite d’une consultation publique, le CPVP a publié en 2020 une proposition de cadre réglementaire pour l’IA. Selon nos recommandations, un cadre juridique approprié pour l’IA :
  • rendrait possible l’utilisation des informations personnelles pour des intérêts publics et commerciaux légitimes, y compris pour la formation de l’IA; mais uniquement si la protection de la vie privée est inscrite dans le cadre approprié des droits de la personne;
  • établirait des dispositions distinctes pour la prise de décision automatisée qui garantissent la transparence et l’équité (l’explication et la contestation); et
  • exigerait des entreprises qu’elles fassent preuve de responsabilité démontrable à la demande de l’autorité de réglementation, ultimement par l’entremise d’inspections proactives et d’autres mesures d’application de la loi.
• La LPRPDE ne contient aucune de ces mesures et est mal adaptée à l’environnement de l’IA. Le projet de loi C‑27 prévoit une obligation d’explication limitée et un motif d’intérêt légitime pour l’utilisation, mais il ne reconnaît pas la vie privée comme un droit fondamental.

Contexte

• En janvier 2020, le Commissariat a lancé une consultation publique. Nous avons reçu 86 soumissions au total et avons tenu deux séances de consultation en personne à Montréal et à Toronto.
• Le rapport de synthèse, intitulé Un cadre réglementaire pour l’IA, contient nos principales recommandations en matière de réglementation de l’IA et est accessible sur notre site Web.
• Nous avons également commandé un rapport distinct d’un expert reconnu en IA que nous avons publié, celui-ci a orienté nos recommandations et tenu compte des commentaires des intervenants.
• Plus largement, le Commissariat collabore avec les autorités internationales de protection des données au sein de groupes de travail sur l’IA par l’intermédiaire de l’Assemblée mondiale pour la protection de la vie privée (AMVP), un forum international de commissaires à la protection des données et de la vie privée.

Préparé par : PRAP

---

Modifications à l’Australian Privacy Act

Principaux messages

• Les principales modifications apportées l’année dernière à l’Australian Privacy Act (loi sur la protection de la vie privée de l’Australie) ont rendu possible l’alourdissement des sanctions et doté le commissaire australien de pouvoirs accrus en matière d’application de la loi et d’échange de renseignements.
• Les modifications accordent au commissaire australien de nouveaux pouvoirs en matière de signalement des infractions en vue de sanctionner les organisations qui ne fournissent pas de renseignements. Aucun pouvoir explicite de ce type n’existe dans le projet de loi C‑27.
• Au titre du projet de loi C‑27, le montant maximal de la pénalité pour l’ensemble des contraventions visées par la recommandation du Commissaire est de dix millions de dollars ou de 3 % des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel la pénalité est infligée (art. 95(4), LPVPC).
• En vertu des modifications à la loi australienne, la sanction maximale à la suite d’un manquement grave ou répété d’une entreprise à la vie privée ne peut excéder le plus élevé des montants suivants :
  1. 50 millions de dollars australiens (soit environ 43,4 millions de dollars canadiens);
  2. trois fois la valeur de l’avantage obtenu; ou
  3. si la valeur de l’avantage ne peut être déterminée, 30 % du chiffre d’affaires ajusté de la période concernée.

Contexte

• Des modifications de l’Australian Privacy Act sont entrées en vigueur en décembre 2022.
• Les organismes du gouvernement australien et les organisations dont le chiffre d’affaires annuel dépasse 3 millions de dollars australiens ont des responsabilités en vertu de l’Australian Privacy Act (sous réserve de certaines exceptions).
• Certaines de ces modifications (i) permettent au commissaire d’exiger qu’un répondant mobilise un conseiller indépendant pour l’aider à garantir que le manquement ne se répète ou ne se poursuit pas; (ii) confèrent au commissaire un nouveau pouvoir de collecte de renseignements en vue d’évaluer les atteintes réelles ou présumées aux données; (iii) étendent la capacité du commissaire à communiquer des renseignements à un organisme de contrôle d’application; et (iv) autorisent le commissaire à communiquer certains renseignements s’il est convaincu que c’est dans l’intérêt du public.

Préparé par : Services juridiques

---

California Delete Act

Principaux messages

• La California Delete Act (loi sur l’effacement de données de la Californie) permettra aux consommateurs californiens d’exiger de tous les courtiers en données réglementés qu’ils suppriment leurs renseignements personnels sur demande.
• Les courtiers en données sont des entreprises qui collectent des renseignements personnels sur des consommateurs avec lesquels ils n’ont pas de relation directe, et qui les vendent sciemment à des tiers.
• En comparaison, le projet de loi C‑27 exigerait que les organisations, y compris les courtiers en données, procèdent à un « retrait » des renseignements personnels sur demande et dans certaines circonstances. Des demandes distinctes devront être adressées à chaque organisation ayant le contrôle de renseignements.

Contexte

• Le gouverneur Gavin Newsom a approuvé la loi le 10 octobre 2023. Les exigences de la loi entreront en vigueur en 2026.
• La définition de « courtier en données » ne comprend pas les institutions financières, les compagnies d’assurance et les établissements de soins de santé couverts par des régimes fédéraux de protection de la vie privée.
• La California Delete Act :
  • oblige les courtiers en données à consulter, au moins une fois tous les 45 jours, une liste de consommateurs ayant demandé la suppression de leurs renseignements personnels, et à supprimer tous ces renseignements;
  • interdit aux courtiers en données de vendre ou de partager de nouveaux renseignements personnels concernant ces consommateurs, et exige qu’ils présentent tous les trois ans une vérification indépendante attestant de leur conformité;
  • habilite la California Privacy Protection Agency (agence californienne de protection de la vie privée) à élaborer un système permettant aux résidents d’effectuer une seule demande de suppression de données auprès des courtiers en données réglementés opérant dans l’État et à faire appliquer certaines parties de la California Delete Act.
• La California Delete Act peut poser des problèmes opérationnels importants, par exemple en ce qui concerne les courtiers en données qui vendent des données basées sur des numéros de témoins, des adresses IP et des identifiants autres que des noms.
• La California Delete Act pourrait être contestée par le secteur de la publicité numérique, car elle est appliquée dans une administration particulièrement protectrice de la liberté d’expression, même dans des contextes commerciaux.

Préparé par : Services juridiques

---

Loi sur l’IA de l’Union européenne

Principaux messages

• La loi sur l’IA de l’Union européenne proposée a été présentée pour la première fois en 2021 et continue de faire l’objet de débats. Actuellement, des négociations sur les modifications proposées sont en cours entre le Parlement européen, le Conseil européen et la Commission européenne.
• La loi sur l’IA de l’UE prévoit d’interdire les applications d’IA nuisibles, telles que celles qui emploient des techniques subliminales pour manipuler ou qui sont utilisées à des fins de notation sociale. Elle adopte également une approche fondée sur les risques en définissant certaines utilisations de l’IA qui justifient une réglementation stricte, par exemple dans le contexte de l’emploi ou en ce qui concerne l’accès à des services publics et privés essentiels.
• Même si elle n’est pas utilisée dans un contexte à haut risque, l’IA générative devrait être soumise à des exigences de transparence en vertu de la loi sur l’IA de l’UE.
• La loi sur l’IA de l’UE comporte des exigences plus strictes que celles de la LIAD, même si l’ampleur de cette différence dépendra en grande partie des règlements assortis à cette dernière. Une différence notable réside dans le fait que, dans la loi de l’UE, un système d’IA est considéré à haut risque s’il présente « un risque d’incidence négative sur les droits fondamentaux », ce qui n’est mentionné dans la définition du préjudice de la LIAD.

Contexte

• Dans la loi sur l’IA de l’UE, l’IA à haut risque est soumise à certaines exigences :
  • évaluation des risques et de la qualité;
  • enregistrement pour la traçabilité;
  • contrôles humains généraux;
  • données exactes et représentatives pour la formation de l’IA,
  • évaluations ex ante de la conformité; et
  • responsabilité démontrable.

Préparé par : PRAP

---

TikTok

Principaux messages

• En 2023, les organismes de protection des données du Royaume-Uni et de l’Irlande ont émis des décisions et des amendes à l’encontre de TikTok, en mettant l’accent sur la protection de la vie privée des enfants. En France, la Commission nationale de l’informatique et des libertés a également condamné l’entreprise à une amende pour avoir enfreint les règles relatives au consentement en matière de témoins.
• Parmi les autres mesures réglementaires, on peut citer un règlement, en 2019, en collaboration avec la Federal Trade Commission relatif aux violations présumées de la Children’s Online Privacy Protection Act (loi américaine sur la protection de la vie privée des enfants en ligne (COPPA)), et en 2020, l’organisme de réglementation des télécommunications de Corée du Sud a condamné TikTok à une amende à la suite de violations liées à la vie privée des enfants et au transfert de données à l’étranger.

Contexte

• En avril 2023, le Bureau du commissaire à l’information du Royaume-Uni a constaté que TikTok avait enfreint le RGPD britannique : (1) en traitant les données d’enfants trop jeunes pour donner leur consentement; (2) en ne fournissant pas aux utilisateurs des informations faciles à comprendre; (3) en ne traitant pas les données des utilisateurs de manière légale, équitable ou transparente. Une amende de 12,7 millions de livres a été imposée.
• En septembre 2023, la Commission de la protection des données d’Irlande a estimé que TikTok avait enfreint le RGPD de l’UE : (1) en rendant les profils d’enfants publics par défaut; (2) en autorisant la fonction de couplage familial des comptes par des personnes n’étant ni parents ni tuteurs (non vérifié); (3) en manquant de transparence à l’égard des enfants utilisateurs; (4) en utilisant des « interfaces truquées » qui incitent les utilisateurs à choisir des options intrusives en matière de protection de la vie privée. La Commission a donné trois mois à TikTok pour se conformer à la loi et lui a imposé une amende de 345 millions d’euros.
• En juillet 2021, l’organisme de protection des données des Pays-Bas a annoncé que TikTok avait enfreint le RGPD de l’UE en ne fournissant aucune déclaration de confidentialité en néerlandais aux utilisateurs néerlandais (y compris les enfants), et a imposé une amende de 750 000 euros. L’organisme de protection des données des Pays-Bas a confié l’enquête à son homologue irlandais après que le siège de TikTok ait été transféré en Irlande.
• En février 2019, la Federal Trade Commission a annoncé que TikTok (alors connue sous la raison sociale Musical.ly) avait accepté de payer 5,7 millions de dollars pour régler des violations présumées de la COPPA.
• En juillet 2020, l’organisme de réglementation des télécommunications de Corée du Sud a annoncé que TikTok avait violé les lois locales sur les télécommunications en manipulant les renseignements personnels de ses utilisateurs de manière inappropriée, et a condamné l’entreprise à une amende de 186 millions de wons.
• En janvier 2023, la CNIL française a annoncé que TikTok avait enfreint la loi française sur la protection des données en raison de ses procédés de consentement aux témoins, qui permettaient aux utilisateurs de les accepter plus facilement que de les refuser, et a condamné l’entreprise à une amende de 5 millions d’euros.

Préparé par : Services juridiques

---

Tableau : Comparaison de certains régimes internationaux de réglementation de l’IA – En vigueur et proposés

Pays	Règlement proposé ou politique pertinente	Contexte
États-Unis	Voluntary: Projet de déclaration des droits relatifs à l’IA (en anglais seulement) Cadre de gestion des risques de l’IA du National Institute of Standards and Technology (en anglais seulement) Engagements volontaires des principales entreprises du secteur de l’IA (en anglais seulement) États (en anglais seulement): California Privacy Rights Act (loi sur les droits à la vie privée de Californie, CPRA) Colorado Privacy Act (loi sur la protection de la vie privée du Colorado, CPA) Connecticut Data Privacy Act (loi sur la protection de la vie privée du Connecticut, CTDPA) Virginia Consumer Data Privacy Act ((loi sur la protection de la vie privée des consommateurs de Virigine, VCDPA)) Loi du Connecticut concernant l’intelligence artificielle, la prise de décision automatisée et la protection des données personnelles AB 331 de la Californie S1402 du New Jersey New York Digital Fairness Act (loi sur l’équité numérique de l’état de New York)	Les États-Unis ne disposent pas d’une réglementation fédérale complète en matière d’IA. De nombreux États ont adopté ou prévoient d’adopter des règlements en la matière. En octobre 2022, la Maison-Blanche a publié un Projet de déclaration des droits relatifs à l’IA, qui énonce des principes clés pour guider la conception, le développement et le déploiement de systèmes d’IA. L’adhésion à ces principes est volontaire. En janvier 2023, le National Institute of Standards and Technology a publié un Cadre de gestion des risques de l’IA, qui établit des normes de fiabilité pour la conception, le développement et l’utilisation des systèmes d’IA. L’adhésion à cette norme est volontaire. De nombreux efforts ont été déployés par le Congrès pour adopter une loi fédérale visant à réglementer l’IA. Les projets de loi proposés n’ont pas généré suffisamment d’élan et la loi du Congrès n’est pas attendue dans un avenir proche. Les gouvernements de plusieurs États ont adopté une loi générale sur la protection de la vie privée qui réglemente l’IA dans leur administration. Bon nombre de ces lois étatiques établissent des droits d’opposition aux décisions automatisées et au profilage et exigent des organisations qu’elles procèdent à une évaluation de la protection des données dans certaines circonstances. Les gouvernements d’autres États envisagent actuellement des projets de loi visant à réglementer spécifiquement l’IA, en dehors de la protection de la vie privée et des données : le Connecticut veut créer un bureau de l’intelligence artificielle et élaborer une déclaration des droits relatifs à l’intelligence artificielle; la Californie exige que des évaluations des répercussions soient menées concernant les outils de prise de décision automatisés et que les consommateurs aient le droit de demander un examen manuel des décisions qui en découlent; le New Jersey souhaite rendre illégal le fait qu’un système de décision automatisé puisse être discriminatoire à l’égard des membres d’une classe protégée dans le cadre de prêts, d’assurances ou de soins de santé; l’état de New York exige que des évaluations d’impact soient menées concernant les systèmes de décision automatisés, souhaite empêcher les pratiques discriminatoires dans la publicité ciblée et réglementer l’utilisation des données biométriques, entre autres. La Federal Trade Commission (FTC) a mené les efforts d’application actuels en vertu de la loi sur la FTC, qui interdit les actes ou pratiques déloyaux ou trompeurs dans le commerce. La FTC a récemment ouvert une enquête sur OpenAI et ChatGPT.
Union européenne	En vigueur : RGPD En cours d’examen : Loi sur l’IA de l’Union européenne	Le RGPD réglemente la collecte, l’utilisation et la communication des renseignements personnels, y compris dans le contexte des systèmes d’IA. En juin 2023, la loi sur l’IA de l’Union européenne a été adoptée par le Parlement européen et fait actuellement l’objet de négociations entre le Parlement, le Conseil européen et la Commission européenne. La loi sur l’IA de l’UE adopte une approche fondée sur le risque qui recense quatre catégories de systèmes d’IA en fonction du risque de préjudice qu’ils présentent. Cette loi établit de nouvelles restrictions sur les utilisations les plus risquées de l’IA, notamment le traitement de données biométriques en temps réel et la reconnaissance des émotions, et traite des nouveaux systèmes d’IA à usage général. La loi propose six principes généraux qui devraient s’appliquer au développement et à l’utilisation de tous les systèmes d’IA, afin d’établir un « cadre général favorisant une approche européenne cohérente et centrée sur l’humain en matière d’intelligence artificielle éthique et digne de confiance ». Ces six principes sont les suivants : (1) facteur humain et contrôle humain, (2) solidité technique et sécurité, (3) protection de la vie privée et gouvernance des données, (4) transparence, (5) diversité, non-discrimination et équité, et (6) bien-être social et environnemental. La loi encourage la création volontaire de codes de conduite destinés à favoriser le respect de ces principes. Les systèmes d’IA « à haut risque » sont soumis à plusieurs exigences, notamment la mise en place d’un « système de gestion des risques », une gouvernance des données et une documentation technique plus strictes, un contrôle humain et l’enregistrement dans une base de données publique de l’UE gérée par la Commission européenne. Le Conseil de l’Europe (CdE) élabore un traité sur l’intelligence artificielle (IA), les droits des personnes, la démocratie et l’État de droit. L’objectif est d’aborder les préjudices potentiels et les autres risques liés à la conception, au développement et à l’utilisation de l’IA. Le traité pourra être complété par d’autres instruments, contraignants ou non. Une fois conclu, ce traité serait la première convention internationale sur la réglementation de l’IA et le premier instrument international juridiquement contraignant sur l’IA et les droits de l’homme. Le gouvernement du Canada participe aux négociations internationales (caviardé). L’Espagne a récemment créé une agence de supervision de l’intelligence artificielle (AESIA), qui s’efforcera de développer une IA inclusive, durable et centrée sur le citoyen. Cet organisme de réglementation devrait soutenir la mise en œuvre de la loi sur l’IA de l’UE en Espagne.
G7	Processus d’Hiroshima sur l’IA Proposé : Codes de conduite (nationaux et internationaux) Cadre politique global	Lors du sommet des dirigeants du G7 à Hiroshima en mai 2023, le communiqué indiquait la création du « groupe de travail du G7 sur le processus de Hiroshima concernant l’IA, d’une manière inclusive et en coopération avec l’OCDE et le PMIA, afin d’échanger sur l’IA générative d’ici à la fin de l’année ». À l’issue d’une réunion virtuelle entre les ministres du numérique et de la technologie du G7 le 7 septembre 2023, le groupe a publié une déclaration dans laquelle il s’engage à élaborer des principes directeurs et un code de conduite international, dans le but d’élaborer un cadre politique global d’ici la fin de l’année.Note de bas de page 1 Le Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés du gouvernement du Canada est une initiative qui s’inscrit dans le cadre du processus d’Hiroshima sur l’IA et doit servir de modèle aux autres pays du G7 pour faciliter l’élaboration de leurs propres codes.Note de bas de page 2 Les remarques du ministre Champagne devant le Comité permanent de l’industrie et de la technologie (INDU) du 26 septembre 2023 ont mis l’accent sur la nécessité d’avoir des règlements et des normes cohérents à travers les différentes administrations internationales. On s’attend donc à ce que d’autres pays du G7 publient des codes de conduite volontaires similaires.
Royaume-Uni	Livre blanc : Une approche de la réglementation de l’IA favorable à l’innovation (en anglais seulement) Rapport parlementaire : Commission de la science, de l’innovation et de la technologie de la Chambre des communes - La gouvernance de l’intelligence artificielle : rapport provisoire (en anglais seulement)	Dans un livre blanc, le gouvernement britannique a proposé une approche réglementaire contextuelle et proportionnée qui s’appuiera sur les lois sectorielles existantes pour imposer des mesures de sécurité aux systèmes d’IA. Le livre blanc présente cinq principes pour encadrer l’activité réglementaire et orienter le développement futur des modèles et outils d’IA ainsi que leur utilisation. Ces principes devraient être interprétés et mis en œuvre par des organismes de réglementation de l’industrie : sécurité et solidité; transparence et explicabilité appropriées; Équité; Gouvernance et responsabilisation; contestabilité et recours. Une commission parlementaire britannique a plaidé en faveur d’un projet de loi sur l’IA bien ciblé pour la nouvelle séance parlementaire, en vue de compléter l’approche proposée dans le livre blanc. Le gouvernement britannique organisera son premier sommet sur la sécurité de l’IA les 1er et 2 novembre.
Japon	Livres blancs et orientations politiques : Gouvernance de l’IA au Japon, version 1.1 (en anglais seulement) Lignes directrices en matière de gouvernance pour la mise en œuvre des principes sur l’IA (en anglais seulement)	Il n’existe pas de réglementation globale en matière d’IA au Japon. Le Japon promeut la notion de « gouvernance agile », selon laquelle le gouvernement fournit des orientations non contraignantes et s’en remet aux efforts volontaires du secteur privé pour s’autoréguler.
Corée du Sud	Proposé : “Loi sur la promotion de l’industrie de l’IA et cadre pour l’établissement d’une IA digne de confiance” (en anglais seulement)	La proposition de loi sur l’IA de la Corée du Sud regroupe sept textes législatifs distincts sur l’IA. La proposition garantit l’accès à la technologie de l’IA pour tous les développeurs sans l’approbation du gouvernement, mais exige également la mise en place de mesures de protection. Certains types d’IA à haut risque, utilisés en lien direct avec la vie et la sécurité des personnes, doivent atteindre un certain niveau de fiabilité. La Corée du Sud établit également de nouvelles normes en matière de droits d’auteur concernant les contenus générés par l’IA.
Australie	Document de travail : “Pour une IA sûre et responsable en Australie” (en anglais seulement)	Il n’existe pas de lois ni de politiques spécifiques à la gouvernance de l’IA en Australie, mais le gouvernement a souligné l’application de cadres réglementaires pour l’IA. Le gouvernement a organisé une consultation qui devrait d’apporter des réponses réglementaires et politiques pertinentes. Dans le cadre de cette consultation, le gouvernement a publié un document de travail intitulé « Pour une IA sûre et responsable en Australie », qui propose que les mesures de gouvernance permettent de : veiller à ce que des mesures de sécurité appropriées soient mises en place, notamment en ce qui concerne les applications à haut risque de l’IA et de la prise de décision automatisée; offrir une plus grande certitude aux entreprises, de leur permettre d’investir en toute confiance dans les innovations basées sur l’IA et les activités de prise de décision automatisée, et de s’engager dans ces activités de manière responsable.
Nouvelle-Zélande	Cadre de gestion des risques du secteur public : Charte des algorithmes pour Aoteara New Zealand (en anglais seulement)	En vertu de la Charte des algorithmes, les organismes gouvernementaux doivent gérer avec soin la manière dont les algorithmes sont utilisés, afin de trouver un juste équilibre entre protection de la vie privée et transparence et d’éviter les préjudices involontaires. Une matrice des risques évalue la probabilité et les répercussions des risques potentiels liés à l’IA. La Charte engage les organismes à évaluer des facteurs comme la transparence, la protection de la vie privée, l’éthique et les droits de l’homme, ainsi que le contrôle humain pour les utilisations d’algorithmes les plus risquées.
Brésil	Proposé : Une commission sénatoriale du Brésil élabore un projet de loi sur l’IA (en anglais seulement)	Une commission sénatoriale du Brésil a proposé un projet de loi sur l’IA qui propose un règlement fondé sur les principes de bonne foi, d’autodétermination et de liberté de choix; de transparence, d’explicabilité, de non-discrimination, de justice, d’équité et d’inclusion, entre autres. La définition du projet de loi s’aligne sur celle de l’OCDE. Le projet de loi oblige les fournisseurs et les utilisateurs de systèmes d’IA à effectuer une évaluation des risques, et à la documenter, avant de mettre un système d’IA sur le marché; énumère des exemples de systèmes d’IA à haut risque et interdits qui entraînent des responsabilités supplémentaires et doivent être enregistrés dans une base de données publique; et établit des droits d’explication, de contestation et d’intervention humaine pour les décisions automatisées.
Association des nations de l’Asie du Sud-Est (ANASE)	Projet de Guide sur la déontologie et la gouvernance en matière d’IA” (en anglais seulement)	Les pays de l’ANASE seraient en train d’élaborer un guide sur la réglementation de l’IA qui demande aux entreprises de tenir compte des différences culturelles entre les pays, et qui ne définit pas de catégories de risques inacceptables. Il s’agit d’une démarche volontaire qui vise à orienter les règlements nationaux. Le projet adopte une approche favorable aux entreprises, qui pourrait être contradictoire avec l’approche réglementaire de l’UE. Le guide est encore en cours de rédaction et est actuellement communiqué aux entreprises technologiques pour recueillir leurs commentaires. Il devrait être finalisé et adopté en janvier 2024, lors de la réunion des ministres du numérique de l’ANASE.

---

Tableau : Analyse sectorielle des définitions de la dépersonnalisation, de l’anonymisation et de la pseudonymisation

Juridiction	Dépersonnalisation	Anonymisation	Pseudonymisation
Projet de loi C-27	Article 2(1) : Modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement.	Article 2(1) : Modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit.	Non définie.
Loi 25 du Québec	Article 110 : Un renseignement personnel est dépersonnalisé lorsque ce renseignement ne permet plus d’identifier directement la personne concernée.	Article 119 : Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. Les renseignements anonymisés en vertu de la présente loi doivent l’être selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement.	Non définie.
Ontario Personal Heath Information Protection Act (PHIPA)	Article 2 : «anonymiser», relativement à des renseignements personnels sur la santé concernant un particulier, s’entend du fait d’en retirer les renseignements qui permettent de l’identifier ou à l’égard desquels il est raisonnable de prévoir, dans les circonstances, qu’ils pourraient servir, seuls ou avec d’autres renseignements, à l’identifier. Le terme «anonymisation» a un sens correspondant.	Non définie.	Non définie.
RGPD	Non définie.	Considérant 26 : Les informations ne concernant pas une personne physique identifiée ou identifiable ou les données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.	Paragraphe 4(5) : « pseudonymisation » : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.
Data Protection Act du Royaume-Uni (RGPD du R.-U.)	Non définie.	Identique au RGPD	Identique au RGPD
US Health Insurance Portability and Accountability Act (HIPAA)	45 CFR, article 164.514(a) : Norme : Dépersonnalisation des renseignements de santé protégés. Les renseignements de santé qui ne permettent pas d’identifier une personne et pour lesquels il n’y a pas de raison valable de penser qu’ils peuvent être utilisés pour identifier une personne ne sont pas des renseignements de santé identifiables individuellement.	Non définie.	Non définie.
California Consumer Privacy Act	Article 1798.140(m) : « Dépersonnalisés » s’entend des renseignements qui ne peuvent pas être raisonnablement utilisés pour déduire des renseignements sur un consommateur particulier ou être liés à celui-ci.	Non définie.	Section 1798.140(aa) : La « pseudonymisation » s’entend du traitement de renseignements personnels de sorte que les renseignements personnels ne sont plus attribuables à un consommateur spécifique sans l’utilisation de renseignements supplémentaires, à condition que les renseignements supplémentaires soient conservés séparément et soumis à des mesures techniques et organisationnelles pour s’assurer que les renseignements personnels ne puissent pas être liés à un consommateur identifié ou identifiable.

---

Responsabilité

Principaux messages

• Le projet de loi C‑27 vise à renforcer la responsabilité en exigeant des organisations qu’elles mettent en œuvre et maintiennent un programme de gestion de la protection des renseignements personnels, et qu’elles fournissent au CPVP l’accès à ce programme sur demande.
• Toutefois, la LPVPC serait améliorée si elle comprenait une norme objective de responsabilité et une obligation imposée aux organisations de tenir des registres adéquats pour prouver leur conformité.
• La LPVPC doit également veiller à ce que les obligations de responsabilité soient adaptées en fonction de la nature et de l’importance des renseignements personnels, de la taille et des recettes de l’organisation, ainsi que des risques et des menaces qui pèsent sur elle.
• Le CPVP accueille favorablement le libellé du projet de loi C‑27 qui offre une certaine souplesse en ce qui concerne l’utilisation des renseignements obtenus dans le cadre d’un examen du programme de gestion de la protection des renseignements personnels afin de lancer une plainte ou une vérification.

Contexte

• Le projet de loi C‑27 oblige les organisations à mettre en œuvre et à tenir à jour un programme de gestion de la protection des renseignements personnels qui comprend les politiques, les pratiques et les procédures qu’elle a mises en place pour se conformer à ses obligations (article 9(1)) et doit permettre au CPVP d’accéder à ce programme sur demande (article 10(1)).
• Le CPVP doit fournir des conseils sur les programmes de gestion de la protection des renseignements personnels des organisations sur demande de ces dernières (article 110(1)(e)), en la forme et de la manière qu’il juge appropriée (article 110(1)). Le CPVP n’est pas tenu de donner suite aux demandes déraisonnables, et peut classer les demandes par ordre de priorité en fonction des besoins perçus des organisations (article 110(2)). Cela va dans le sens de la recommandation du CPVP dans le cadre du projet de loi C‑11, en faveur d’une discrétion accrue.
• L’article 111 interdit au commissaire d’utiliser les renseignements obtenus dans le cadre d’un examen du programme de gestion de la protection des renseignements personnels pour déposer une plainte ou procéder à une vérification, sauf s’il considère que l’organisation a volontairement ignoré ses recommandations.
• Plusieurs recommandations connexes figurant dans le mémoire du CPVP sur le projet de loi C‑11 ne sont pas abordées dans le projet de loi C‑27 : (1) une norme objective relative à la responsabilité (ancienne recommandation 20); (2) l’obligation de tenir des registres adéquats pour démontrer le respect des obligations (ancienne recommandation 21); et (3) l’échelonnement des obligations en matière de responsabilité et de tenue de registres (ancienne recommandation 21).

Préparé par : PRAP

---

Sanctions administratives pécuniaires

Principaux messages

• Les articles 89 et 90 de la LPVPC permettent au commissaire de recommander qu’une sanction administrative pécuniaire (SAP) soit imposée par le Tribunal de la protection des renseignements personnels et des données à une organisation qui a enfreint une ou plusieurs des dispositions énoncées à l’article94(1) (p. ex. l’obtention du consentement et la conservation ou l’élimination appropriée des renseignements personnels).
• Le CPVP est favorable à l’utilisation des SAP pour inciter les organisations à se conformer à la loi fédérale sur la protection de la vie privée.
• Nous recommandons toutefois d’élargir la liste des dispositions dont la contravention pourrait faire l’objet de SAP pour y inclure les articles 12(1) et 12(2) de la LPVPC (« Fins acceptables ») étant donné qu’il s’agit de dispositions clés pour la protection des renseignements personnels.

Contexte

• Le paragraphe 94(1) de la LPVPC élargit considérablement la liste des contraventions qui peuvent faire l’objet d’une SAP par rapport à celle qui était proposée dans l’ancien projet de loi C‑11. Nous sommes favorables à cette évolution positive, mais nous pensons qu’elle n’est pas suffisante.
• La liste n’autorise pas, par exemple, l’imposition des SAP aux organisations qui enfreignent les dispositions relatives aux « Fins acceptables » (c.-à-d. les articles 12(1) et 12(2)). Ces deux articles devraient être ajoutés à la liste de dispositions de l’article 94(1) afin de mieux protéger les renseignements personnels des personnes.
• Les dispositions relatives aux fins acceptables (par. 12(1) et 12(2)) obligent les organisations à recueillir, à utiliser et à communiquer des renseignements personnels uniquement à des fins et d’une manière qu’une personne raisonnable estimerait acceptables dans les circonstances, qu’il y ait consentement ou non.
• Nous sommes d’avis qu’il convient d’évaluer la sensibilité des renseignements, et d’évaluer si la perte de confidentialité est proportionnelle à l’avantage obtenu en échange, lors de cette détermination.

Préparé par : Services juridiques

---

Fins acceptables

Principaux messages

• Tel qu’il est rédigé, l’article 12(2) de la LPVPC énumère une liste fermée d’éléments devant être pris en compte pour déterminer le caractère acceptable des fins de la collecte, de l’utilisation ou de la divulgation de renseignements personnels.
• Bien que cette liste d’éléments soit utile, elle devrait être non exhaustive et permettre aux éléments pertinents et applicables de varier en fonction du contexte.
• En outre, toutes les lois substantiellement similaires des provinces ne disposent pas d’une liste obligatoire d’éléments permettant de déterminer les fins acceptables, ce qui pourrait constituer un défi lorsque le Commissariat collabore avec d’autres organismes de réglementation.
• L’article 12(2) devrait donc être modifié pour prévoir une certaine souplesse, y compris pour prendre en compte d’autres éléments pertinents.

Contexte

• L’article 5(3) de la LPRPDE relatif aux « Fins acceptables » n’énumère pas d’éléments à prendre en compte et n’exige pas de liste de ceux-ci. Cela signifie que les éléments permettant de déterminer ce qui constitue une fin acceptable ont pu évoluer au fil du temps, grâce à l’expérience acquise et à la jurisprudence pertinente.
• Bien que les éléments énumérés à l’article 12(2) de la LPVPC semblent avoir été tirés de la jurisprudence relative à l’article 5(3) de la LPRPDE, il est important de noter que les tribunaux n’ont jamais jugé que ces éléments devaient être satisfaits dans tous les cas pour établir le caractère acceptable.
• En réalité, dans l’affaire Eastmond c. Chemin de fer Canadien Pacifique (2004 CF 852), la Cour a expressément déclaré que tous les éléments ne sont pas nécessairement pertinents dans tous les cas, et a jugé que l’article 5(3) de la LPRPDE exigeait une évaluation du contexte (paragraphes 130-131).
• Plus récemment, dans l’affaire AT c. Globe24h.com, la Cour fédérale n’a pas pris en compte tous les facteurs désormais énumérés à l’article 12(2) de la LPVPC (2017 CF 114, paragraphes 73-76).
• La Colombie-Britannique et l’Alberta n’utilisent pas de liste fermée d’éléments permettant d’évaluer si les fins de la collecte de renseignements personnels d’une organisation sont « raisonnables » ou « acceptables », conformément à leurs lois sur la protection de la vie privée dans le secteur privé. Cela pourrait poser des problèmes lors de la conduite d’enquêtes conjointes.

Préparé par : Services juridiques

---

Atteintes - réparation pour préjudices

Principaux messages

• L’article 93(2) du projet de loi C‑27 donne au commissaire le pouvoir de rendre des ordonnances aux organisations afin de promouvoir le respect de la Loi.
• Tout en saluant cette évolution positive, nous recommandons que le CPVP soit autorisé à ordonner à une organisation de prendre des mesures permettant aux personnes d’être indemnisées en lien avec des dommages subis, financiers ou autres, à la suite d’une violation ou d’une atteinte aux mesures de sécurité exigées par la loi.
• Les organisations tirent d’importants avantages commerciaux de l’utilisation des renseignements personnels. Cependant, lorsque leurs mesures de sécurité sont défaillantes et conduisent à une violation, les conséquences pécuniaires peuvent retomber sur les consommateurs concernés.
• Dans certaines circonstances, il peut être justifié d’indemniser les personnes à la suite des dommages résultant d’une violation.
• Pour que les personnes soient indemnisées après une violation, le CPVP a besoin de pouvoir ordonner la réparation des dommages subis.

Contexte

• À l’instar de la LPRPDE, les mesures de sécurité de la LPVPC peuvent être interprétées comme exigeant des organisations qu’elles prennent des mesures d’atténuation après la violation (p. ex. surveillance du crédit) afin d’éviter que les personnes ne subissent des préjudices. Nous considérons ces mesures d’atténuation comme des « mesures de sécurité ».
• Au cours des examens sur les violations, le CPVP discute souvent avec les organisations de mesures à prendre pour réduire les dommages à la suite d’une violation. Par exemple, à la suite d’une violation majeure, Desjardins a volontairement offert une surveillance du crédit et une indemnisation relatives aux coûts associés au processus de réparation. Toutefois, les organisations ne prennent pas toujours de telles mesures d’elles-mêmes.
• Lorsque le CPVP constate une violation de l’obligation de prendre des mesures de sécurité, il doit pouvoir ordonner aux organisations qu’elles prennent des mesures pour réparer les dommages subis et indemniser les personnes concernées.

Préparé par : DARC

---

Activités d’affaires

Principaux messages

• La LPVPC autorise la collecte et l’utilisation de renseignements personnels sans consentement pour mener certaines activités d’affaires, lorsqu’une personne raisonnable s’attend à la collecte et que celle-ci ne vise pas à influencer le comportement ou les décisions de cette personne (article 18(1)).
• Cette exception à l’obligation d’obtenir le consentement est améliorée par rapport à l’ancien projet de loi C‑11, en ce sens que deux activités d’affaires trop vagues ont été supprimées de la liste, et que celles restantes doivent toutes être « nécessaires » à une fin spécifique.
• Toutefois, il n’est pas exigé que toutes les activités d’affaires susceptibles d’être prescrites soient « nécessaires » à une fin déterminée, ce qui pourrait conduire à prescrire à l’avenir des activités trop vagues, notamment à des fins « d’amélioration des services ». L’ajout d’une condition de nécessité à l’article 18(2)(d) garantirait le caractère limité de l’exception d’obtenir le consentement.
• En outre, la possibilité d’exempter des activités de la portée de la Loi au moyen de règlements est très préoccupante et doit être examinée.

Contexte

• Dans notre mémoire sur le projet de loi C‑11, nous nous sommes inquiétés de l’étendue de deux activités d’affaires énumérées, à savoir les activités visant à réduire les risques commerciaux et celles par rapport auxquelles le consentement serait impossible à obtenir en raison de l’absence de relation directe avec la personne concernée.
• En vertu de l’article 122(1)(a), des règlements peuvent être adoptés pour préciser des activités qui seraient totalement exclues de l’application de la Loi. Cet élément correspond à la version française de cette disposition dans l’ancien projet de loi C‑11. Nous recommandons de modifier la formulation anglaise de l’ancien projet de loi C‑11 afin de garantir que le règlement reste axé sur l’exception à l’obtention du consentement pour les activités d’affaires.
• L’article 15(6) interdit à une organisation de présumer le consentement implicite d’une personne en ce qui concerne les activités d’affaires (article 18(2)) ou celles dans lesquelles l’organisation a un intérêt légitime (article 18(3)). Nous pensons que cela vise à garantir que les organisations qui choisissent de s’appuyer sur le consentement pour une collecte ou une utilisation de renseignements personnels liées à ces activités doivent obtenir un consentement explicite.

Préparé par : PRAP

---

Cybersécurité

Principaux messages

• La cybersécurité représente un enjeu à multiples facettes (couvrant plusieurs domaines réglementaires) et la protection de la vie privée est un élément clé d’une résilience efficace en matière de cybersécurité.
• Le renforcement des mesures de protection contre les atteintes et des mesures de sécurité dans le projet de loi C‑27 pourrait contribuer à l’amélioration de la cybersécurité dans le secteur privé.
• L’extension des pouvoirs du CPVP en matière de collaboration avec d’autres organismes de réglementation nationaux pourrait également contribuer à l’amélioration de la conformité aux mesures de sécurité et à l’atténuation des effets des incidents de cybersécurité.
• Le projet de loi C-26, actuellement à l’étude au Parlement, aborde la cybersécurité sous un angle différent, en établissant un cadre pour réglementer la sécurité de certains cybersystèmes.

Contexte

• Au cours du débat en deuxième lecture sur le projet de loi C‑27, plusieurs membres ont exprimé leur inquiétude quant au besoin de protéger les quantités croissantes de renseignements personnels collectés auprès des Canadiens contre les menaces liées à la cybersécurité, notamment les attaques malveillantes (cybercriminalité) et l’ingérence étrangère.
• Les exigences relatives aux mesures de sécurité du projet de loi C‑27 sont essentiellement les mêmes que celles de la LPRPDE. Alors que les organisations sont tenues de protéger les renseignements personnels en fonction de leur sensibilité, d’autres facteurs importants ne sont pas mentionnés (p. ex. le risque auquel font face les consommateurs).
• Nous recommandons que les obligations relatives aux mesures de sécurité tiennent non seulement compte de la nature sensible des renseignements traités, mais également des risques auxquels font face les consommateurs, en cas de violation, liés à la nature, à la portée et au contexte de l’utilisation des renseignements personnels et compte tenu des activités d’affaires de l’organisation.
• Dans le cadre du projet de loi C‑27, le CPVP ne pourrait échanger des renseignements qu’avec certains organismes de réglementation (le CRTC et Bureau de la concurrence). Autoriser l’échange de renseignements avec d’autres organismes (comme les services d’évaluation du crédit, le surintendant des institutions financières et le commissaire à l’IA et aux données proposé) favoriserait la collaboration sur les efforts déployés pour atténuer les effets des incidents de cybersécurité et favoriser le respect des mesures de sécurité. En 2021, la capacité du CPVP à collaborer avec l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a assuré la réussite d’un examen conjoint des communications gouvernementales en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC).

Préparé par : PRAP

---

Mobilité des données

Principaux messages

• Dans l’ensemble, le CPVP appuie l’introduction de dispositions sur la mobilité des données dans la LPVPC; cependant, nous recommandons certaines modifications afin de mieux harmoniser le projet de loi avec les modèles internationaux.
• Le projet de loi C‑27 pourrait être amélioré, tout comme le contrôle qu’ont les consommateurs sur leurs renseignements, en élargissant l’article 72 pour qu’il s’applique à tous les renseignements personnels, y compris les renseignements dérivés ou déduits.
• Nous recommandons également l’attribution au CPVP d’un rôle clair de consultation, de conseil ou d’approbation, comme c’est le cas en Australie, comportant des rôles et des responsabilités clairs concernant les cadres de mobilité des données.
• Nous serions également favorables à l’élargissement du droit pour permettre aux particuliers, quand cela est techniquement possible, de recevoir cette information dans un format structuré, couramment utilisé et lisible par machine, comme l’ont fait d’autres juridictions.

Contexte

• L’article 72 oblige les organisations à communiquer, sur demande, les renseignements personnels qu’elles ont recueillis auprès d’une personne à l’organisation que cette dernière désigne si ces deux organisations sont assujetties à un cadre de mobilité des données.
• En Australie, la Consumer Data Right Act (CDRA) précise que les renseignements dérivés doivent être inclus dans chaque catégorie de renseignements susceptibles d’être partagés entre les organisations. La CDRA définit aussi clairement les rôles et les responsabilités du commissaire australien à l’information, y compris des exigences explicites pour qu’il soit consulté à la fois sur la désignation des secteurs et sur les règles qui s’y appliquent. En revanche, l’article 123 de la LPVPC précise que les cadres relatifs à la mobilité des données doivent être établis par voie de règlement, sans préciser le rôle du commissaire à la protection de la vie privée.
• Le droit des personnes à recevoir leurs propres données dans un format structuré, couramment utilisé et lisible par machine s’aligne sur d’autres lois sur la protection des données, telles que le RGPD, la CDRA australienne, et les lois de la Californie et du Québec (en 2024).

Préparé par : PRAP

---

Définition du terme « mineur »

Principaux messages

• La LPVPC fait référence aux renseignements personnels des « mineurs » [articles 2(2), 4(a)-(b), 55(2)(d) et (f)] sans pour autant définir ce terme.
• L’article 2(2) de la LPVPC précise que les renseignements personnels des « mineurs » sont « considérés comme étant de nature sensible », mais les organisations pourraient être incapables de déterminer qui est (ou n’est pas) « mineur » en l’absence d’une définition dans la Loi. Une définition apporterait de la clarté.
• Définir qui est (ou n’est pas) « mineur » dans la LPVPC ne poserait probablement pas de problème si la définition incorporait une référence aux lois provinciales ou territoriales fixant l’âge de la majorité dans leurs administrations respectives, étant donné qu’il s’agit généralement d’une question de compétence provinciale et territoriale, plutôt que fédérale.

Contexte

• Chaque province et territoire a adopté une loi qui définit qui a (ou n’a pas) atteint l’âge de la majorité dans leurs administrations respectives.
• L’âge de la majorité est de 18 ou 19 ans, selon la province ou le territoire :
  • Alberta, Manitoba, Ontario, Île-du-Prince-Édouard, Saskatchewan et Québec = 18 ans;
  • Colombie-Britannique, Nouveau-Brunswick, Terre-Neuve-et-Labrador, Nouvelle-Écosse et les trois territoires = 19 ans.
• La législation fédérale ne définit généralement pas qui est mineur ou non, mais il existe quelques exemples où elle définit le terme « majeur » (p. ex. à l’article 2 de la Loi sur le divorce, LRC 1985, ch. 3) : « Majeur : est majeur l’enfant qui a atteint l’âge de la majorité selon le droit de la province où il réside habituellement ou, s’il réside habituellement à l’étranger, dix-huit ans (age of majority). »
• Exemple de définition du terme « mineur » à ajouter dans la LPVPC en tenant compte de la compétence provinciale/territoriale : « Mineur : est majeur l’enfant qui n’a pas encore atteint l’âge de la majorité selon le droit de la province où il réside habituellement ou, s’il réside habituellement à l’étranger, dix-huit ans. »

Préparé par : Services juridiques

---

Définition des renseignements personnels (inférences)

Principaux messages

• Les modèles d’IA peuvent déduire et prédire des aspects du comportement et des intérêts des personnes grâce à des données probantes et des raisonnements. Ces inférences peuvent mener à de nombreuses révélations, notamment en matière d’affinité politique, d’intérêts, de classe sociale, et de race.
• Bien que les décisions du CPVP et la jurisprudence soutiennent l’idée que les inférences doivent être traitées comme tous les autres renseignements personnels, il subsiste un débat sur la manière dont les inférences sont considérées.
  • Pour certains, il s’agit d’un résultat obtenu à partir de renseignements personnels, comme peut l’être un avis, et ils estiment que les inférences ne sont donc pas visées par les lois concernant la protection des renseignements personnels.
• Afin de garantir qu’elles soient considérées comme des renseignements personnels et protégées de manière appropriée, nous recommandons que la définition des renseignements personnels soit modifiée pour inclure expressément les inférences.

Contexte

• Le CPVP a conclu que les cotes de solvabilité constituent des renseignements personnels, de même que les inférences au titre de la Loi sur la protection des renseignements personnels. Cette interprétation concorde avec celle qu’a donnée la Cour suprême au sujet des renseignements personnels, qui comprennent les inférences et les hypothèses découlant des renseignements (R c. Kang-Brown, 2008 CSC 18; R c. Gomboc, 2010 CSC 55).
• La California Consumer Privacy Act (loi californienne sur la protection de la vie privée des consommateurs) comprend explicitement les inférences dans sa définition des renseignements personnels. Le commissariat à la vie privée d’Australie a également proposé que des modifications similaires soient apportées à la Privacy Act australienne (loi sur la protection de la vie privée). En août 2022, la Cour de justice européenne a émis un avis indiquant que les données susceptibles de révéler indirectement des informations telles que l’orientation sexuelle sont considérées comme sensibles.

• Préparé par : PRAP

---

Définition des renseignements de nature sensible

Principaux messages

• Bien que les renseignements sensibles ne soient pas explicitement définis dans le projet de loi C‑27 ou la LPRPDE, nous pensons qu’il serait utile d’ajouter au projet de loi C‑27 une définition d’un principe général suivie d’une liste d’exemples non exhaustifs.
• Une définition hybride garantirait que certains types de renseignements sont toujours considérés comme sensibles (comme les renseignements biométriques et les renseignements de localisation), et favoriserait également une interprétation en fonction du contexte, en tenant compte des nouveaux types de renseignements susceptibles d’apparaître au fil du temps.

Contexte

• La sensibilité des renseignements personnels est un élément pertinent en ce qui concerne certaines exigences de la LPVPC, notamment :
  • l’article 9(2), relatif à l’élaboration d’un programme de gestion de la protection des renseignements personnels d’une organisation;
  • par. 12(2)a), un des éléments à prendre en compte pour déterminer si un individu raisonnable estimerait les fins de l’organisation acceptables dans les circonstances;
  • l’article 15(5), comme un élément que les organisations doivent prendre en compte en ce qui concerne la forme du consentement;
  • l’article 53(2), comme facteur pour établir des durées de conservation des renseignements personnels;
  • l’article 57(1), relatif au degré de protection offert par les mesures de sécurité;
  • l’article 58(8), pour établir si une atteinte présente un risque réel de préjudice grave.
• L’article 2(2) stipule explicitement que les renseignements personnels des mineurs sont considérés comme sensibles.
• La Loi sur la protection des renseignements personnels dans le secteur privé du Québec contient une définition des renseignements sensibles fondée sur des principes.
• L’article 9(1) du RGPD recense des catégories particulières de données (comme les données génétiques et biométriques) qui pourraient présenter des risques liés aux droits des personnes et par rapport auxquels certaines conditions doivent être respectées (comme l’obtention du consentement explicite) avant que le traitement ne soit autorisé.
• En mai 2022, le CPVP a publié un bulletin d’interprétation sur les renseignements sensibles qui explique la manière dont certaines catégories de renseignements sont généralement considérées comme sensibles.

Préparé par : PRAP

---

La dépersonnalisation et l’anonymisation

Principaux messages

• Le CPVP préconise la mise en œuvre d’un cadre relatif à la dépersonnalisation et à l’anonymisation, afin de clarifier les responsabilités des organisations, d’assurer une certaine souplesse en ce qui concerne les exigences en matière de protection de la vie privée et de réduire au minimum les risques relatifs à la vie privée (y compris le risque de repersonnalisation).
• Le Commissariat pense que plusieurs modifications sont requises pour renforcer et clarifier le cadre proposé dans le projet de loi C‑27 :
  • l’article 74 devrait explicitement exiger des organisations qu’elles tiennent compte du risque de repersonnalisation lorsqu’elles dépersonnalisent des renseignements;
  • l’article 2(3) devrait préciser que les renseignements dépersonnalisés restent considérés comme des renseignements personnels soumis à la Loi;
  • l’article 2(1) devrait être modifié pour supprimer la référence aux « meilleures pratiques généralement reconnues ».

Contexte

• Des mesures de protection robustes sont requises, car : (1) de nombreux renseignements peuvent être considérés comme dépersonnalisés en vertu du cadre proposé (seuls les identifiants directs doivent être supprimés); (2) la souplesse des exigences en matière de protection de la vie privée réduit le contrôle des personnes sur leurs renseignements personnels (les exigences relatives à l’obtention du consentement, à l’exactitude et au retrait sur demande sont moins strictes); et (3) le risque de repersonnalisation persiste toujours.
• L’article 74 exige des organisations qu’elles utilisent des moyens de dépersonnalisation proportionnels à la sensibilité des renseignements et aux fins auxquelles ces renseignements sont dépersonnalisés, mais ne traite pas explicitement du risque de repersonnalisation.
• L’article 2(3) stipule que les renseignements dépersonnalisés restent considérés comme des renseignements personnels, sauf selon certaines dispositions (p. ex. les exceptions relatives au consentement, les exigences en matière d’exactitude, le retrait sur demande). Cette situation crée une ambiguïté quant à la manière dont sont considérés les renseignements dépersonnalisés dans certaines circonstances.
• L’article 2(1) autorise les organisations à anonymiser des renseignements conformément aux « pratiques exemplaires généralement reconnues », mais ne précise pas quelles sont ces pratiques ni lesquelles sont considérées comme généralement reconnues.

Préparé par : PRAP

---

Communications aux organismes d’application de la loi

Principaux messages

• D’une manière générale, le Commissariat estime que la formulation des articles 43 à 50, relatifs à la communication de renseignements aux services de contrôle d’application et à d’autres organismes gouvernementaux, constitue une amélioration et une clarification par rapport à la LPRPDE.
• Toutefois, deux autres améliorations potentielles pourraient être apportées :
  • clarifier le concept « d’autorité légitime » et les obligations des organisations dans l’article 44; et,
  • mettre en place des dispositions relatives à l’établissement de rapports destinés aux gouvernements et à la tenue de registres (ou à l’établissement de rapports réguliers) concernant les organisations.
• Lors d’enquêtes et d’examens antérieurs du CPVP, le concept « d’autorité légitime » de la LPRPDE s’est avéré ambigu, et il l’est aussi dans le cadre de la LPVPC, puisque les entreprises continuent de communiquer des renseignements personnels, sans consentement et en l’absence d’un mandat, aux organismes chargés du contrôle d’application.

Contexte

• En particulier aux fins de l’article 44 et à la suite d’une décision de la Cour suprême de 2014 sur la question (R. c. Spencer), le CPVP a conclu que le concept « d’autorité légitime » devait être défini clairement.
• Idéalement, cette définition devrait préciser que la communication volontaire de renseignements aux services de contrôle d’application envisagée à l’article 44 ne devrait être autorisée que dans les cas suivants :
  • s’il existe des circonstances urgentes;
  • si cela est conforme à une loi raisonnable (autre que l’article 44 de la LPVPC); ou,
  • certaines circonstances prescrites où les renseignements personnels ne donnent pas lieu à une attente raisonnable en matière de vie privée.
• En 2015, lorsque la LPRPDE a été modifiée la dernière fois (au moyen du projet de loi S-4), le CPVP a recommandé : «[…] un cadre juridique, basé sur l’arrêt Spencer, est nécessaire à des fins de clarté et d’orientation afin d’aider les organisations à respecter la LPRPDE et pour s’assurer que les autorités gouvernementales respectent l’arrêt de la Cour suprême du Canada. Un tel cadre fournirait à la population canadienne plus de transparence au sujet de la communication de renseignements personnels par le secteur privé aux organisations gouvernementales. »

Préparé par : PRAP

---

Retrait

Principaux messages

• Les questions de réputation liées au retrait des renseignements personnels, soulevées dans le mémoire du CPVP sur l’ancien projet de loi C‑11, ont été partiellement résolues par le projet de loi C‑27. Par exemple, le projet de loi C‑27 a donné suite à notre recommandation selon laquelle l’article 55 devrait être élargi pour englober tous les renseignements personnels détenus par une organisation au sujet d’une personne.
• Toutefois, l’article 55(2)(f) du projet de loi C‑27 permet aux organisations de refuser une demande de retrait des renseignements personnels si celui-ci est déjà prévu en vertu d’une politique de conservation (et que les renseignements ne concernent pas un mineur), et si la personne est informée de la période de conservation restante.
• Notre Bureau recommande que l’article 55(2)(f) soit supprimé du projet de loi, car il pourrait empêcher les Canadiens de facilement retirer leurs renseignements personnels, ce qui exposerait ces renseignements à un risque de violation.

Contexte

• L’article 55(1) prévoit qu’une organisation doit procéder dès que possible au retrait des renseignements personnels d’une personne à sa demande si : (i) la Loi a été enfreinte; (ii) une personne a retiré son consentement, en tout ou en partie; (iii) les renseignements ne sont plus nécessaires à la fourniture du bien ou à la prestation du service demandé par la personne. Ces dispositions n’existaient pas dans le projet de loi C‑11. Elles sont similaires, mais plus limitées que les conditions énoncées à l’article 17 du RGPD.
• Lorsqu’une personne a retiré son consentement ou que les renseignements ne sont plus nécessaires à la fourniture d’un produit ou la prestation d’un service, une organisation peut refuser une demande de retrait si certaines exceptions s’appliquent. En dehors de l’article 55(2)(f), qui concerne les politiques de conservation, ces exceptions s’appliquent dans les cas suivants :
  • le retrait entraînerait celui des renseignements personnels d’une autre personne;
  • des exigences légales ou contractuelles empêchent le retrait;
  • les renseignements sont nécessaires à la défense juridique ou à d’autres voies de recours;
  • les renseignements sont nécessaires à la fourniture continue d’un produit ou la prestation continue d’un service à la personne concernée, qui n’est pas mineure; ou
  • la demande est vexatoire ou entachée de mauvaise foi.

Préparé par : PRAP

---

Fournisseurs de services canadiens

Principaux messages

• S. L’art. 11(1) du projet de loi C‑27 oblige les organisations qui transfèrent des renseignements à veiller, contractuellement ou autrement, à ce que le fournisseur offre « une protection équivalente » à celle exigée sous le régime de la Loi. Dans l’ensemble, ce régime est raisonnable.
• Toutefois, certaines de nos recommandations formulées concernant l’ancien projet de loi C‑11 peuvent toujours s’appliquer dans le contexte des fournisseurs de services canadiens.
• Ces recommandations amélioreraient l’assurance de la responsabilité dans des situations telles que celles où un fournisseur de services collecte, utilise ou communique des renseignements personnels, directement ou en sous-traitance.

Contexte

• La version anglaise de l’article 11(1) de l’ancien projet de loi C‑11 aurait exigé que les organisations, lorsqu’elles transfèrent des renseignements à un fournisseur de services, assurent un « degré de protection essentiellement identique » à celui exigé par la Loi. La version française exigeait un niveau de protection « équivalent ». Le projet de loi C‑27 a été modifié pour exiger un degré de protection « équivalent » en français et en anglais.
• Une recommandation du mémoire du CPVP sur le projet de loi C‑11 concernant les fournisseurs de services canadiens a été adoptée. La recommandation 5 de l’annexe B stipule que les prestataires de services ne devraient pas pouvoir se prévaloir de l’exception relative aux « activités d’affaires » pour le consentement prévue à l’article 18(2)(e), et cette disposition a été supprimée.
• Toutes les autres recommandations concernant les fournisseurs de services restent pertinentes, notamment :
  • Ancienne recommandation 3: les articles 7(2), 11(1), 11(2), 19 et 62(2)(d) de la LPVPC devraient être modifiés pour s’assurer que ces règles reflètent de manière adéquate la vaste portée des transferts de données entre les organisations et les fournisseurs de services.
  • Ancienne recommandation 4 : La loi devrait indiquer clairement que, dans une situation de sous-traitance, l’organisation/le responsable du traitement demeure responsable.
  • Ancienne recommandation 7 : l’article 11(2) de la LPVPC devrait être modifié de manière à ce que la responsabilité ne se limite pas aux renseignements transférés à une organisation. Elle devrait également comprendre les renseignements que les fournisseurs de services collectent, utilisent ou communiquent pour le compte de l’organisation.

Préparé par : PRAP

---

Exceptions au consentement à des fins de recherche

Principaux messages

• L’article 35 de la LPVPC autorise la communication de renseignements personnels d’une personne à son insu ou sans son consentement lorsqu’elle est effectuée à des fins de recherche, d’étude ou de statistique. L’article 7(3)(f) de la LPRPDE autorise la communication de renseignements à l’insu de la personne et sans son consentement à des fins d’étude ou de recherche statistique ou « érudites ».
• La suppression du qualificatif « érudit » de cette disposition transforme une exception stricte en une disposition permettant un pouvoir potentiellement étendu de divulguer des renseignements personnels sans consentement.
• En l’absence de précision concernant le type d’étude ou de recherche pour lequel cette exception peut être utilisée, cette disposition peut être interprétée comme comprenant pratiquement tout type d’étude ou de recherche d’affaires.
• Il n’y a pas non plus de limites aux types d’organisations susceptibles de recevoir des renseignements en vertu de cette exception, ce qui signifie qu’elle pourrait être utilisée pour communiquer des renseignements à des institutions gouvernementales et contourner l’article 39 de la LPVPC, qui limite la communication à de telles institutions à des « fins socialement bénéfiques »prescrites.
• La réintroduction du mot « érudites » à l’article 35 ferait en sorte que cette exception à l’obligation d’obtenir le consentement à des fins d’étude et de recherche demeure restreinte.

Contexte

• Des conditions minimales doivent être remplies pour que cette exception puisse être utilisée : les fins pour lesquelles les renseignements sont communiqués ne peuvent être atteintes sans ces renseignements, le consentement doit être impossible à obtenir et le CPVP doit être informé à l’avance.
• L’organisation qui recevra les renseignements n’est pas tenue de mettre en place des mesures de sécurité pour les protéger.
• Les lois provinciales sur la protection de la vie privée contiennent des exceptions autorisant la communication de renseignements à des fins de recherche ou d’étude, mais elles appliquent des mesures de sécurité plus strictes que celles prévues par la LPVPC. Par exemple, la nouvelle loi québécoise sur la protection de la vie privée dans le secteur privé autorisera la communication sans consentement à des fins de recherche, mais une EFVP portant sur plusieurs exigences devra d’abord être réalisée. Cette disposition sera en vigueur à partir de septembre 2023.

Préparé par : Services juridiques

---

Litige concernant Facebook

Principaux messages

• Le Commissariat a introduit une demande en vertu de l’article 15 de la LPRPDE afin de protéger la vie privée des Canadiennes et des Canadiens.
• Le Commissariat porte en appel la décision de la Cour fédérale, car l’affaire soulève d’importantes questions quant à l’interprétation et à l’application des lois sur la protection des renseignements personnels au Canada, lesquelles gagneraient à être clarifiées par la Cour d’appel fédérale.
• Les enjeux au cœur de cette affaire sont extrêmement importants pour le droit fondamental à la vie privée des Canadiennes et des Canadiens et leur capacité de participer en toute confiance à notre société numérique.

Contexte

• En mars 2018, le Commissariat a reçu une plainte à propos de Facebook qui a été formulée dans le contexte des reportages dans les médias selon lesquels Cambridge Analytica avait eu accès aux renseignements personnels d’utilisateurs de Facebook, sans leur consentement, par l’intermédiaire d’une application d’une tierce partie.
• Le Commissariat à la protection de la vie privée du Canada et le Commissariat à la protection de la vie privée de la Colombie-Britannique ont enquêté conjointement, ce qui a permis de déterminer que Facebook n’avait pas obtenu le consentement valable de ses utilisateurs avant de divulguer leurs renseignements personnels et qu’il n’avait pas mis en place des mesures de protection adéquates.
• Le CPVP a déposé une demande d’audition auprès de la Cour fédérale en vertu de l’article 15 de la LPRPDE, demandant, entre autres, une ordonnance obligeant Facebook à corriger ses pratiques pour se conformer à la LPRPDE, car Facebook n’a pas accepté de mettre en œuvre les recommandations du CPVP.
• En avril 2020, Facebook a déposé une demande de contrôle judiciaire du processus d’enquête du Commissariat et du rapport de conclusions qui en a résulté.
• Le 13 avril 2023, la Cour fédérale a rejeté la demande de contrôle judiciaire déposée par Facebook. La Cour a estimé que le CPVP n’avait pas enfreint l’équité procédurale et que l’enquête n’était pas hors délai. Cette décision ne fait pas l’objet d’un appel.
• Le 13 avril 2023, la Cour a également rejeté la demande présentée par la commissaire en vertu de l’article 15, estimant qu’il n’y avait pas suffisamment de preuves pour conclure que Facebook n’avait pas respecté la LPRPDE. Le Commissariat a interjeté appel de cette décision le 12 mai.
• Le Centre For Free Expression demande l’autorisation d’intervenir dans l’appel.

Préparé par : Services juridiques

---

Décision dans le dossier Google

Principaux messages

• Je salue la décision de la Cour d’appel fédérale de confirmer que le service de moteur de recherche de Google est soumis à la LPRPDE et qu’il n’est pas exempté de la loi en vertu de l’exemption relative aux « fins journalistiques ».
• En 2018, le Commissariat a déposé un renvoi devant la Cour fédérale afin d’obtenir des précisions quant à savoir si le moteur de recherche de Google était assujetti à la LPRPDE lors de l’indexation de pages Web et de la présentation des résultats de recherche concernant le nom d’une personne.
• La procédure de renvoi fait suite à une enquête sur une plainte selon laquelle le moteur de recherche de Google enfreint la LPRPDE en présentant des liens vers des articles d’actualité lorsque le nom d’une personne est recherché. L’individu a soutenu que les articles de presse en question étaient désuets et inexacts et qu’ils divulguaient des renseignements de nature sensible à son sujet.

Contexte

• Au cours de la procédure de renvoi, Google a tenté à plusieurs reprises de soulever des arguments constitutionnels pour justifier sa position, selon laquelle l’application de la LPRPDE au moteur de recherche de Google dans ce contexte serait probablement jugée inconstitutionnelle pour des raisons de liberté d’expression. Le CPVP a toujours soutenu que les arguments constitutionnels étaient prématurés.
• La Cour fédérale a rejeté l’argument de Google selon lequel elle « devrait refuser de répondre aux questions posées dans le renvoi ou rejeter le renvoi parce qu’il n’est pas possible ou pas souhaitable de répondre aux questions sans aborder les problèmes constitutionnels... ».
• Dans une décision à deux voix, les trois juges de la Cour d’appel fédérale ont convenu que le juge de renvoi n’avait pas commis d’erreur en rejetant les arguments constitutionnels de Google et en concluant qu’il était possible de répondre aux questions du renvoi sans tenir compte de la charte. Toutefois, la dissidence a estimé que l’exemption relative aux fins journalistiques s’appliquait à Google dans la mesure où il recueille et divulgue des articles d’actualité.
• Google dispose de 60 jours (jusqu’au 28 novembre 2023) pour demander l’autorisation de faire appel de la décision de la Cour d’appel fédérale auprès de la Cour suprême.
• Le CPVP poursuivra son enquête sur le respect de la LPRPDE par Google en ce qui concerne la désindexation des résultats de recherche contenant des renseignements personnels.

Préparé par : PRAP

---

Incidence du projet de loi C‑27 sur les lois essentiellement similaires

Principaux messages

• LA LPVPC maintient les dispositions de la LPRPDE selon lesquelles les organisations seront largement exemptées de l’application de la loi fédérale dans les provinces ou territoires dotés de lois sur la protection de la vie privée essentiellement similaires.
• Le projet de loi C‑27 ne dit rien sur ce qu’il adviendra des décrets d’exemption existants pour des lois provinciales essentiellement similaires.
• Il incombe au gouvernement de veiller à ce que les lois essentiellement similaires conservent ce statut si le projet de loi C‑27 est adopté.

Contexte

• Conformément à l’article 26 de la LPRPDE, il existe actuellement plusieurs lois provinciales sur la protection de la vie privée qui ont été jugées essentiellement similaires à la partie 1 de la LPRPDE.
• Le gouverneur en conseil peut, par décret, exclure les organisations (à l’exception des entreprises fédérales) de l’application de la partie 1 de la LPRPDE en ce qui concerne la collecte, l’utilisation et la communication de renseignements personnels qui ont lieu dans ces provinces.
• ISDE a établi des critères pour déterminer si une loi provinciale en matière de protection de la vie privée est considérée comme essentiellement similaire, notamment si elle fournit une protection de la vie privée cohérente et équivalente à celle de la LPRPDE.
• Le projet de loi C‑27 abrogerait la partie 1 de la LPRPDE et édicterait la LPVPC.
• La LPVPC autorise le gouverneur en conseil à prendre des décrets d’exemption pour des lois essentiellement similaires; toutefois, la Loi ne contient aucune disposition concernant les décrets d’exemption existants pris en vertu de la LPRPDE.
• L’article 44(g) de la Loi d’interprétation fédérale stipule que tous les règlements d’application du texte antérieur demeurent en vigueur et sont réputés pris en application du nouveau texte, dans la mesure de leur compatibilité avec celui-ci, jusqu’à abrogation ou remplacement.
• Même si les décrets d’exemption pris en vertu de la LPRPDE restent en vigueur, ils n’auront aucune valeur, car il s’agit d’exemptions liées à l’application de la partie 1 de la LPRPDE, qui n’existera plus.
• Le gouvernement peut émettre de nouveaux décrets pour les lois essentiellement similaires en vertu de la LPVPC ou pourrait éventuellement modifier les décrets existants.

Préparé par : Services juridiques

---

Interopérabilité des exigences juridiques publiques et privées

Principaux messages

• Il est important dans le secteur privé comme dans le secteur public d’avoir des lois modernisées qui traitent la vie privée comme un droit fondamental.
• La protection de la vie privée des Canadiens ne doit pas se faire au détriment des intérêts commerciaux ou de l’innovation dans le secteur privé, ni au détriment de l’intérêt des Canadiens dans le secteur public.
• Les interactions entre ces deux secteurs sont de plus en plus fréquentes, et l’existence de principes communs de protection de la vie privée dans nos lois fédérales en matière de protection des renseignements personnels permettrait aux organisations chevauchant ces deux secteurs d’évoluer dans un environnement réglementaire plus homogène et de combler les lacunes au chapitre de la responsabilité.
• À la suite de l’acceptation de cette proposition de réforme du droit du secteur privé au Parlement, nous espérons que la réforme du droit du secteur public suivra bientôt.

Contexte

• Plusieurs initiatives liées à la pandémie ainsi que l’utilisation par la GRC de la technologie de reconnaissance faciale de Clearview sont des exemples récents du recours croissant à des partenariats public-privé, ce qui fait ressortir la nécessité d’établir des exigences communes dans nos deux lois fédérales sur la protection des renseignements personnels.
• Dans sa plus récente consultation sur la modernisation de la Loi sur la protection des renseignements personnels, Justice Canada propose de mieux harmoniser cette loi avec la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE). La cohérence entre ces lois fédérales pourrait améliorer l’interopérabilité nationale, prévenir les lacunes en matière de responsabilité lorsqu’il y a interaction entre les secteurs public et privé, et confirmer encore davantage la conformité de la Loi sur la protection des renseignements personnels avec les normes mondiales établies.
• Selon le rapport de Justice Canada résumant la teneur des consultations, les intervenants conviennent de la nécessité d’harmoniser les cadres des secteurs public et privé pour la protection des renseignements personnels.
• Les lettres de mandat des ministres Champagne et Lametti contiennent des engagements visant à faire progresser la réforme du droit de la protection de la vie privée, et ils ont présenté conjointement le projet de loi C‑27.

Préparé par : Services juridiques

---

Intérêt légitime

Principaux messages

• Nous avons précédemment recommandé qu’une exception au consentement fondée sur l’intérêt légitime soit incluse dans la LPVPC, accompagnée d’un régime fondé sur les droits et de conditions préalables, comme l’obligation d’effectuer une EFVP et de soupeser les intérêts en jeu. Nous avons également demandé que cette exception fasse l’objet de contrôles de conformité proactifs de la part du Commissariat.
• L’exception à l’obtention du consentement en vertu d’un intérêt légitime prévue par le projet de loi C‑27 est conforme à la plupart des éléments de nos précédentes recommandations.
• Nous avons recommandé que le préambule et les dispositions de déclaration d’objet du projet de loi soient renforcés, afin de reconnaître la vie privée en tant que droit fondamental, ce qui garantirait que l’exception à l’obtention du consentement pour « intérêt légitime » s’inscrive dans un régime fondé sur les droits.
• Nous saluons les limites imposées à cette exception à l’obtention du consentement, en particulier la clause indiquant qu’une personne raisonnable doit s’attendre à la collecte ou à l’utilisation en vue d’une activité, et celle précisant que les renseignements ne doivent pas être collectés ou utilisés pour influencer le comportement ou les décisions de la personne concernée.

Contexte

• L’exception à l’obtention du consentement en vertu d’un intérêt légitime prévue par le projet de loi C‑27 est conforme à la plupart des éléments de nos précédentes recommandations (ancienne recommandation 14). Le projet de loi C‑27 comprend :
  • une évaluation des intérêts en jeu, mais qui tient compte de tout effet négatif potentiel sur la personne plutôt que des droits fondamentaux de la personne;
  • une évaluation visant à cerner tout effet négatif potentiel pour la personne susceptible de résulter de la collecte ou de l’utilisation de renseignements personnels, et une obligation de prendre des mesures raisonnables pour réduire, atténuer ou éliminer la probabilité de ces effets;
  • l’obligation de fournir l’évaluation au CPVP sur demande.

Préparé par : PRAP

---

La publicité comportementale en ligne

Principaux messages

• Selon le libellé actuel de la LPVPC, une organisation ne peut exiger d’un individu qu’il consente à la collecte, à l’utilisation ou à la communication de renseignements personnels qui ne sont pas nécessaires à la fourniture du bien ou à la prestation du service (art. 15(7)).
• Si la collecte, l’utilisation ou la divulgation de renseignements personnels est nécessaire à la prestation de services offerts par des plateformes en ligne, le contexte déterminera si un consentement explicite ou implicite est nécessaire, et cela devra être évalué au cas par cas.
• Les exceptions au consentement liées aux activités d’affaires (article 18(1)) et à l’intérêt légitime (article 18(3)) prévues par la LPVPC ne s’appliqueraient probablement pas à la publicité comportementale en ligne, car ces deux exceptions exigent que les renseignements personnels ne soient pas collectés ou utilisés dans le but d’influencer le comportement ou les décisions d’une personne. Toutefois, la loi ne définit pas ce qui constitue une influence sur le comportement ou les décisions d’une personne.

Contexte

• L’article 15(5) de la LPVPC exige que les organisations obtiennent le consentement expressément, sauf s’il est approprié de présumer le consentement implicite de l’individu compte tenu de la nature sensible des renseignements personnels à recueillir, à utiliser ou à communiquer et des attentes raisonnables de cet individu.
• L’article 15(6) précise qu’il n’est pas approprié de présumer le consentement implicite pour les activités mentionnées aux paragraphes 18(2) et (3). Ces paragraphes font référence aux exceptions au consentement pour certaines activités d’affaires et certains intérêts légitimes.
• Il a récemment été rapporté que le Comité européen de la protection des données (CEPD) a statué que Facebook et Instagram doivent obtenir le consentement explicite de leurs utilisateurs avant de leur proposer des publicités ciblées basées sur leur activité sur ces applications. Le CEPD aurait demandé au Comité irlandais de protection des données, qui réglemente Meta (anciennement Facebook), d’émettre des ordonnances publiques et d’imposer des amendes. Actuellement, les utilisateurs des plateformes Meta n’ont pas la possibilité de refuser les publicités basées sur leur activité, comme les vidéos qu’ils regardent ou les éléments sur lesquels ils cliquent.

Préparé par : Direction des services-conseils à l’entreprise

---

La protection de la vie privée dès la conception et les évaluations des facteurs relatifs à la vie privée

Principaux messages

• Les organisations devraient être tenues de protéger la vie privée dès leur conception et de réaliser des évaluations des facteurs relatifs à la vie privée (EFVP) concernant les activités à haut risque.
• De telles exigences proactives aideraient les organisations à prouver qu’elles sont responsables des renseignements personnels sous leur contrôle, à garantir qu’elles respectent la loi et à limiter les risques d’atteinte à la vie privée.
• La conformité à la loi ne peut reposer uniquement sur les enquêtes et les pénalités. Les stratégies proactives peuvent être plus efficaces pour assurer une conformité continue et le respect des droits à la protection des renseignements personnels des consommateurs.

Contexte

• Comme la LPRPDE et l’ancien projet de loi C‑11, le projet de loi C‑27 n’exige pas des organisations qu’elles protègent la vie privée dès leur conception, ni qu’elles effectuent des EFVP pour les activités à haut risque.
  • La protection de la vie privée dès la conception fait référence à l’intégration proactive de mesures de protection de la vie privée dès la conception d’un produit ou d’un service, à partir des premières phases de développement jusqu’au déploiement.
  • Une EFVP est une méthode de gestion des risques qui doit être entreprise avant le lancement de toute activité à haut risque comprenant des renseignements sensibles ou des systèmes d’IA à incidence élevée, comme ceux qui prennent des décisions concernant les offres d’emploi, l’admissibilité à un prêt, les primes d’assurance, ou les comportements suspects ou illégaux.
• Exiger la préparation d’EFVP pour l’ensemble des activités pourrait imposer un fardeau trop lourd aux organisations, particulièrement aux petites et moyennes entreprises. Toutefois, en exigeant la préparation d’une EFVP pour les activités à risque élevé, on s’assure que les risques d’atteinte à la vie privée les plus sérieux sont évalués et atténués.
• Cette disposition s’alignerait sur l’article 25 du RGPD, qui exige des organisations qu’elles respectent une norme générale de mise en œuvre de la protection de la vie privée dès leur conception, qui s’applique à toutes les activités de traitement de données, et sur l’article 35, qui exige des organisations qu’elles réalisent une EFVP pour les activités à haut risque.

Préparé par : PRAP

---

Partis politiques

Principaux messages

• Le Commissariat a souligné à plusieurs reprises la nécessité d’assujettir les partis politiques aux lois sur la protection des renseignements personnels, et d’assurer qu’un tiers indépendant a l’autorité de vérifier et d’imposer la conformité.
• J’ai récemment comparu devant le Sénat au sujet des amendements à la loi électorale du Canada contenus dans le projet de loi C-47. J’ai souligné que la proposition n’imposait pas aux partis politiques des exigences spécifiques en matière de protection de la vie privée et qu’elle ne prévoyait pas non plus de contrôle indépendant.
• J’ai réaffirmé notre position selon laquelle les partis politiques devraient être soumis à des obligations en matière de protection de la vie privée et que le Commissariat devrait jouer un rôle pour assurer la protection du droit à la vie privée dans ce contexte.

Contexte

• Projet de loi C-74, Loi d’exécution du budget : Comprend des amendements autorisant la collecte, l’utilisation, la divulgation, la conservation et l’élimination de renseignements personnels par les partis politiques et leurs membres conformément à leurs propres politiques en matière de protection de la vie privée. Aucune disposition ne prévoit le respect de principes précis en matière de protection de la vie privée, pas plus que le recours à un contrôle indépendant ou encore la possibilité d’accéder à ces données ou de déposer une plainte. Nous avons comparu pour parler de ces provisions devant le Comité sénatorial permanent des affaires juridiques et constitutionnelles le 3 mai 2023.
• Plainte de 2019 : En août 2019, nous avons reçu une plainte relative à la LPRPDE contre les trois principaux partis politiques fédéraux. Nous sommes parvenus à la conclusion que la LPRPDE ne s’appliquait pas aux activités des partis politiques en cause dans la plainte (p. ex., publicités ciblant les électeurs), étant donné la nature non commerciale de ces activités.
• Autres administrations : Les lois régissant la protection de la vie privée dans d’autres administrations telles que la Colombie-Britannique, le Royaume-Uni et l’Union européenne s’appliquent aux partis politiques, et d’autres, comme le Québec, s’apprêtent à faire de même (l’entrée en vigueur des dispositions pertinentes du projet de loi 64 est prévue pour septembre 2023).
• Projet de loi C-76 : En 2018, le projet de loi C-76 a modifié la Loi électorale du Canada pour imposer des obligations limitées en matière de protection de la vie privée (c’est-à-dire l’élaboration, le dépôt et la publication de politiques de protection de la vie privée). Cette obligation n’a toutefois pas imposé de nouvelles protections substantielles pour les renseignements concernant les électeurs, ni de limites opérationnelles à l’utilisation de ces renseignements par les partis.

Préparé par : PRAP

---

Préambule

Principaux messages

• L’ajout du préambule dans le projet de loi C‑27 est un changement positif. Cependant, tel qu’il est rédigé, il ne va pas assez loin dans la reconnaissance du fait que la vie privée est un droit fondamental.
• L’expression « droit à la vie privée » est ambiguë et devrait être modifiée en « droit fondamental des personnes à la vie privée ».
• Le fait de considérer la vie privée comme un droit fondamental contribuerait à l’établissement d’un équilibre approprié entre les intérêts des personnes et les intérêts d’affaires légitimes.
• Le fait que le préambule soit placé au début du projet de loi C‑27, plutôt qu’avant chacune des lois qu’il contient, soulève une préoccupation supplémentaire, à savoir que les principes importants qu’il contient pourraient être négligés à l’avenir.

Contexte

• Les préambules constituent une aide importante pour comprendre l’intention du Parlement lorsqu’il adopte une loi. Le préambule actuel ne se trouve toutefois que dans l’introduction du projet de loi C‑27. Cela signifie qu’une fois promulguée, aucune des lois contenues dans le projet de loi C‑27 n’aura son propre préambule.
• Nous recommandons qu’un préambule distinct soit intégré dans chacune des lois afin de garantir que les principes importants contenus dans le préambule général ne soient pas négligés à l’avenir lors de l’interprétation de ces lois.
• Sur un plan concret, la formulation actuelle du préambule concernant le « droit à la vie privée » semble minimiser l’importance de la vie privée par rapport aux intérêts d’affaires, ce qui pourrait conduire un futur tribunal à mettre en balance ces intérêts d’une manière qui porte atteinte à la protection de la vie privée.
• Le préambule devrait reconnaître explicitement le respect de la vie privée comme droit fondamental des individus. Il est nécessaire de renforcer la confiance des consommateurs à l’égard de l’économie numérique et d’encourager les organisations à utiliser les renseignements personnels d’une manière responsable, qui appuie le commerce et la croissance économique.

Préparé par : Services juridiques

---

Renseignements accessibles au public

Principaux messages

• De manière générale, le CPVP accepte l’approche adoptée à l’égard des renseignements personnels accessibles au public dans l’article 51 de la LPVPC (qui tient compte des dispositions existantes de l’article 7 de la LPRPDE).
• Toutefois, des limites appropriées devraient être établies dans la Loi afin de gérer toute modification ou tout ajout à la liste des renseignements accessibles au public précisés par des règlements.
• Nous recommandons que l’article 51 de la LPVPC soit modifié pour comprendre une condition selon laquelle l’attente raisonnable d’une personne en matière de vie privée soit prise en compte lorsque l’on détermine si des renseignements sont accessibles au public.
• Les enquêtes du Commissariat ont montré qu’il est nécessaire d’éviter une interprétation trop large de la façon dont les « renseignements publics » peuvent être utilisés en l’absence de consentement, car une telle interprétation peut entraîner des préjudices graves.

Contexte

• L’art. 51 permet aux organisations de recueillir, d’utiliser ou de communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, s’il s’agit de renseignements personnels précisés par les règlements, auxquels le public a accès. Cette disposition est essentiellement la même que celles des articles 7(1)(d), 7(2)(c.1) et 7(3)(h.1) de la LPRPDE.
• Le Commissariat a vu plusieurs cas où une organisation a défendu la légitimité de ses activités en se fondant, du moins en partie, sur des renseignements qui étaient accessibles au public (Clearview AI (2021) et Globe24h (2015)).
• Dans le contexte du secteur public, le mémoire de 2021 du CPVP au ministère de la Justice sur la réforme de la Loi sur la protection des renseignements personnels préconisait une définition et une réglementation claires des « renseignements personnels auxquels le public a accès », plutôt que de les exclure des exigences de la Loi.

Préparé par : PRAP

---

Disposition de déclaration d’objet

Principaux messages

• Le Commissariat a déjà demandé la modification de la disposition de déclaration d’objet de la LPRPDE afin de mentionner correctement le droit fondamental à la vie privée.
• Bien que l’article 5 de la LPVPC reconnaisse le « droit à la vie privée des particuliers quant aux renseignements personnels qui les concernent », cette formulation devrait être modifiée afin de garantir que les intérêts importants en jeu soient correctement soupesés.
• Conformément à nos observations concernant le préambule, l’article 5 devrait être modifié pour faire référence au « droit fondamental des personnes à la vie privée », qui fait partie intégrante de ce que la LPVPC est censée protéger et promouvoir.

Contexte

• Veiller à ce que la protection de la vie privée soit considérée comme un droit fondamental est une préoccupation constante du CPVP, qui l’a d’ailleurs souligné dans son mémoire sur le projet de loi C‑11 de mai 2021.
• La caractérisation de la vie privée comme un droit fondamental est conforme aux instruments internationaux relatifs aux droits des personnes qui reconnaissent un droit à la vie privée, ainsi qu’à la description par la Cour suprême du Canada de la vie privée comme un droit fondamental dans Douez c. Facebook Inc, 2017 CSC 33, au paragraphe 105.
• L’utilisation d’un langage cohérent entre la partie I et le préambule, qui ne parle pas du « droit à la vie privée » en anglais (« privacy interests ») et pour lequel nous recommandons une modification similaire, permet de garantir la cohérence de l’interprétation des principes clés qui encadrent la législation.
• Une telle modification n’aurait, à notre avis, aucune incidence sur la validité constitutionnelle de la loi. Le fait de reconnaître la protection de la vie privée comme un droit fondamental ne diminue pas l’objectif général de la Loi en matière d’échanges et de commerce, mais garantit simplement que les intérêts à mettre en balance dans cette équation sont correctement soupesés.

Préparé par : Services juridiques

---

Réputation (déréférencement)

Principaux messages

• Le projet de loi C‑27 ne contient aucune disposition portant directement sur la désindexation. Le Commissariat recommande un droit clair et explicite en ce qui concerne la désindexation ou le retrait des renseignements personnels des résultats de recherche et autres sources en ligne. La loi 25 du Québec est un modèle utile.
• Cette forme de protection est particulièrement pertinente en ce qui concerne les mineurs, qui méritent de pouvoir se développer en tant que personnes dans un environnement numérique sans craindre que chaque trace numérique puisse conduire à un traitement inéquitable à l’avenir.
• Comme les droits constitutionnels risquent d’entrer en conflit ici, le Parlement devrait, dès le départ, édicter des mécanismes et des critères pour équilibrer la protection de la réputation des individus, en particulier des enfants, tout en préservant la liberté d’expression.

Contexte

• Nous utilisons le terme de « désindexation » pour décrire le processus par lequel une page Web, une image ou une autre ressource en ligne est retirée des résultats de recherche (p. ex. le nom d’une personne). L’UE utilise plutôt le terme « d’effacement » (« de-listing », en anglais).
• L’article 28.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec définit des critères raisonnables relatifs à la désindexation ou au retrait de renseignements : si ils portent atteinte à la réputation; si le préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou à l’intérêt de toute personne de s’exprimer librement; et la cessation de la diffusion, la réindexation ou la désindexation demandée n’excède pas ce qui est nécessaire pour éviter la perpétuation du préjudice.
• Il convient de prendre en compte plusieurs facteurs pour évaluer le préjudice, notamment la nature de la personne concernée (personnalité publique, mineur), l’exactitude et la sensibilité des renseignements, le contexte dans lequel ils ont été communiqués, etc.
• Dans une décision à deux voix, la Cour d’appel fédérale a confirmé la décision de la Cour fédérale sur la procédure de renvoi présentée par le CPVP en 2018. L’appel découle d’une décision de la Cour fédérale selon laquelle le moteur de recherche de Google recueille, utilise et communique des renseignements personnels dans le cadre d’activités d’affaires, et que l’entreprise n’est pas exemptée de l’application de l’exemption relative aux fins journalistiques prévue par la LPRPDE.
• Le CPVP poursuivra son enquête sur le respect de la LPRPDE par Google en ce qui concerne la désindexation des résultats de recherche contenant des renseignements personnels.

Préparé par : PRAP

---

Mesures de protection

Principaux messages

• La LPVPC reprend sans grands changements les dispositions de la LPRPDE en ce qui concerne les mesures de sécurité que doivent prendre les organisations pour protéger les renseignements personnels des consommateurs, mais nous croyons qu’il est possible d’améliorer ces dispositions.
• Nous recommandons notamment que les obligations relatives aux mesures de sécurité tiennent non seulement compte de la nature sensible des renseignements traités, mais également des risques pour les consommateurs, en cas de violation, liés à la nature, à la portée et au contexte de l’utilisation des renseignements personnels et compte tenu des activités d’affaires de l’organisation.
• Cela dit, nous sommes favorables à l’inclusion, à l’article 57(3), d’une mention indiquant que les mesures de sécurité doivent prévoir des méthodes raisonnables pour authentifier l’identité des personnes.

Contexte

• Enquête de l’Agence mondiale antidopage : Comme nous l’avons indiqué dans notre mémoire sur l’ancien projet de loi C‑11, en 2016, le CPVP a été informé d’une atteinte à des renseignements personnels au siège social de l’Agence mondiale antidopage (AMA), qui visait les renseignements médicaux sensibles de plusieurs athlètes.
  • Après enquête, nous en sommes venus à la conclusion qu’un cadre de sécurité robuste doit tenir compte du caractère sensible des données mais aussi d’autres facteurs, notamment le risque que l’organisation et les renseignements qu’elle détient soient piratés parce qu’ils représentent une cible de valeur.
• Authentification : Nous soutenons la modification de l’article 57(3) relatif à l’authentification de l’identité et notons que le considérant 64 du RGPD encourage l’utilisation de « toutes les mesures raisonnables pour vérifier l’identité d’une personne concernée qui demande l’accès à des données, en particulier dans le cadre des services et identifiants en ligne. »
  • Lors de la deuxième lecture de l’ancien projet de loi C‑11, des inquiétudes avaient été soulevées quant au fait que le projet de loi ne protégeait pas l’identité des personnes en ligne et ne permettait pas de prévenir les fraudes dues à l’usurpation d’identité, en particulier lors de transactions financières.

Préparé par : PRAP

---

Fins socialement bénéfiques (exceptions au consentement)

Principaux messages

• Le CPVP est généralement favorable à l’introduction, à l’article 39 de la LPVPC, d’une exception au consentement à des fins socialement bénéfiques.
• Il y a beaucoup d’avantages à permettre l’utilisation des renseignements personnels à des fins socialement bénéfiques, et les lois modernes sur la protection des renseignements personnels devraient faciliter de telles fins de manière responsable.
• Bien que nous ayons quelques recommandations sur la façon dont cette mesure pourrait être améliorée, nous observons que certaines caractéristiques ont manifestement été ajoutées pour limiter les risques d’atteinte à la vie privée associés à cette disposition.
  • Par exemple, seuls les renseignements personnels dépersonnalisés peuvent être communiqués, et uniquement à des entités répertoriées ou prescrites qui ont pour mandat d’atteindre une fin socialement bénéfique.

Contexte

• Nous recommandons que les demandes soient faites par écrit, afin que l’organisation qui communique les repersonnalisation puisse s’assurer que l’utilisation est à des fins socialement bénéfiques, et que les accords interdisent la repersonnalisation des renseignements personnels et limitent l’utilisation des renseignements à des fins secondaires ne présentant pas d’avantages sociaux. Finalement, la définition de « fins socialement bénéfiques » pourrait se limiter aux « activités qui sont bénéfiques pour la société et pas simplement des activités pour des intérêts ou gains personnels ou commerciaux ».
• Bien que l’utilisation de renseignements dépersonnalisés pour identifier un individu constitue une infraction en vertu de la LPVPC (art. 128), elle ne s’appliquerait probablement pas aux entités à qui ces renseignements sont communiqués. Il devrait donc être interdit de repersonnaliser les renseignements qui avaient été dépersonnalisés.
• L’article 39 présente des similitudes avec le motif licite d’intérêt public du RGPD (article 6(e)), qui autorise le traitement « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ». L’article 39 de la LPVPC et l’article 6(e) du RGPD concernent principalement les opérations de traitement effectuées par des organismes du secteur public ou des organisations privées ayant un mandat ou une autorité publique.

Préparé par : PRAP

---

Circulation transfrontalière des données

Principaux messages

• La LPRPDE ne répond pas adéquatement aux risques pour la vie privée posés par la circulation transfrontalière des données. Le projet de loi C‑27, dans sa forme actuelle, ne comblerait pas ces lacunes.
• Par exemple, le projet de loi C‑27 n’établit pas de système global pour régir la circulation transfrontalière de données, et ses dispositions ne font pas de distinction entre les circulations de renseignements nationales et transfrontalières.
• Le projet de loi C‑27 devrait être modifié pour comprendre des dispositions portant directement sur la circulation internationale de données pour que les obligations à cet égard soient claires et spécifiques. Ce changement cadrerait avec la plupart des lois modernes en matière de protection de la vie privée, qui traitent explicitement de la circulation transfrontalière de données, et de manière distincte (comme en Australie, en Nouvelle-Zélande et dans le cadre du RGPD).

Contexte

• Le principe 4.1.3 de la LPRPDE exige que les organisations qui transfèrent des renseignements personnels à un tiers aux fins de traitement fournissent un « degré comparable de protection ». L’ancien projet de loi C‑11 aurait obligé les organisations à s’assurer que les fournisseurs de services offrent un « degré de protection essentiellement identique » (article 11(1)) alors que le projet de loi C‑27 exige maintenant un niveau de protection « équivalent ».
• Le projet de loi C‑27 s’appuie sur l’utilisation de moyens contractuels (ou autres) pour offrir un degré de protection « équivalent », par opposition à « par voie contractuelle ou autre » dans la LPRPDE. En revanche, d’autres territoires de compétence prévoient des options précises à cet égard, notamment des mécanismes tels que les décisions d’adéquation, les clauses contractuelles types, les codes de conduite ou des règles ou des régimes d’entreprise.
• Le CPVP recommande la mise en œuvre d’un système distinct concernant la circulation transfrontalière de données, et de prendre en compte les considérations du document de Teresa Scassa (annexé au mémoire de mai 2021 du CPVP sur le projet de loi C‑11) en ce qui concerne : 1) à qui s’appliquent les obligations; 2) la responsabilité; 3) les conditions à remplir et 4) la protection dans le pays de destination.

Préparé par : PRAP

---