Comparution devant le Comité permanent de l’INDU au sujet du projet de loi C-27 : foire aux questions supplémentaire

Le 19 octobre 2023

---

Quelles sont les définitions utilisées à l’échelle internationale des termes « dépersonnalisation » et « anonymisation »? Existe-t-il un consensus sur une définition. S’il n’y en a pas, que font les autorités chargées de la protection des données du G7 face à cette situation?

• Les définitions des termes « dépersonnalisation » et « anonymisation » utilisées à l’échelle internationale figurent dans la charte.
• Il n’existe pas de consensus mondial sur les définitions de ces termes.
• Les autorités chargées de la protection des données du G7, dirigées par le Commissariat à la protection de la vie privée (CPVP), élaborent un document de travail sur l’utilisation des définitions des termes « dépersonnalisation » et « anonymisation » ainsi que de termes connexes au sein du G7.

Contexte

Dans le Règlement général sur la protection des données (RGPD) et la Loi 25 du Québec, l’anonymisation désigne généralement le processus de transformer des renseignements personnels de telle manière que la personne concernée ne soit plus identifiable. Aux États-Unis, dans la Health Insurance Portability and Accountability Act et la California Consumer Privacy Act (CCPA), ce processus correspond de près à la définition du terme « dépersonnalisation ».

Dans le projet de loi C‑27 et la Loi 25 du Québec, la dépersonnalisation désigne généralement le processus consistant à réduire le caractère identifiable des renseignements personnels sans les rendre anonymes. Dans le RGPD, ce processus correspond de plus près à la définition de « pseudonymisation ».

Les seuils juridiques de ces termes varient également d’un État à l’autre. Par exemple, un renseignement est anonymisé dans le RGPD quand la personne concernée « [n’est] pas ou plus identifiable », tandis que dans la Loi 25 du Québec, un renseignement est anonymisé « lorsqu’il est raisonnable de prévoir dans les circonstances » qu’il ne permet plus d’identifier une personne.

Les exigences liées à ces termes varient aussi d’un État à l’autre. Par exemple, la Loi 25 du Québec exige que l’anonymisation se déroule conformément aux meilleures pratiques généralement reconnues et aux conditions et critères établis par le Règlement, tandis que la CCPA des États-Unis exige (entre autres obligations) que les organisations prennent des « mesures raisonnables » pour s’assurer que les renseignements ne peuvent pas être associés à un consommateur ou à un ménage.

Le 26 septembre 2023, les autorités chargées de la protection des données du G7 se sont rencontrées à l’échelle opérationnelle pour discuter de l’élaboration en cours d’un document de travail sur les conditions de dépersonnalisation et d’anonymisation au sein du G7, notamment l’absence de définitions uniformes et d’autres problèmes clés. Ce travail est dirigé par le CPVP, qui assure la présidence du groupe de travail sur les technologies émergentes du G7.

Nous recommandons d’enlever la partie « conformément aux meilleures pratiques généralement reconnues » de la définition d’anonymiser. La notion « conformément aux meilleures pratiques généralement reconnues » a-t-elle été utilisée ou définie dans d’autres lois?

• La Loi 25 du Québec inclut une exigence selon laquelle l’anonymisation doit s’effectuer « selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement ».
• Les lois internationales sur la protection des renseignements personnels ne font mentionnent pas explicitement les meilleures pratiques généralement reconnues, mais le RGPD renvoie aux « technologies disponibles » et à l’« évolution des technologies » en lien avec la norme en matière de pseudonymisation.
• Certaines lois fédérales non liées à la protection des renseignements personnels renvoient à des meilleures pratiques ou à des concepts semblables (p. ex. normes non précisées de l’industrie) en rapport avec certaines exigences juridiques. Toutefois, l’approche la plus courante consiste à intégrer des normes précises dans la loi ou à permettre aux gouvernements d’établir les meilleures pratiques dans le règlement, ou les deux à la fois.

Contexte

La Loi 25 du Québec (par. 110) comporte dans la définition de l’anonymisation une mention explicite de la notion de meilleures pratiques généralement reconnues : « Les renseignements anonymisés en vertu de la présente loi doivent l’être selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement. » la Loi 25 ne fournit pas plus de précisions sur la façon dont la notion « meilleures pratiques généralement reconnues » doit être interprétée. Toutefois, contrairement à la Loi sur la protection de la vie privée des consommateurs (LPVPC), la Loi 25 prévoit explicitement la possibilité d’exigences réglementaires liées à l’anonymisation.

Le RGPD (préambule 26) fournit des conseils selon lesquels, pour déterminer si les personnes concernées par les renseignements qui ont été pseudonymisés sont identifiables, les organisations doivent prendre en considération « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. ».

Bien que la Loi sur l’intelligence artificielle et les données (LIAD) renvoie explicitement à la définition de « renseignements personnels » de la LPVPC, la LIAD (contrairement à la LPVPC) fournit la souplesse nécessaire pour définir les exigences spécifiques en matière d’anonymisation par voie de règlement [par. 6 et alinéa 36c]). Ces exigences réglementaires au titre de la LIAD pourraient être convaincantes en ce qui a trait à la façon dont « meilleures pratiques généralement reconnues » est interprété dans la LPVPC.

La définition de l’anonymisation dans la LPVPC doit-elle s’aligner sur celle adoptée dans la Loi sur la protection des renseignements personnels dans le secteur privé du Québec?

• Bien qu’il soit avantageux d’établir des définitions uniformes des termes, la norme et la définition de l’anonymisation représentent seulement une partie du cadre général de l’anonymisation établi dans ces lois. À certains égards, le cadre de l’anonymisation établi par la Loi 25 du Québec est plus restrictif que celui établi dans la LPVPC; le simple alignement de la définition ou de la norme de l’anonymisation n’harmoniserait pas ces cadres dans l’ensemble.
• Il est à noter que la Loi 25 n’aborde l’anonymisation que dans le contexte des solutions de rechange à la destruction des renseignements personnels (par. 119), et dans ce contexte, n’autorise explicitement l’anonymisation que pour des « fins sérieuses et légitimes », « lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies ». La Loi 25 stipule que l’anonymisation doit s’effectuer selon les meilleures pratiques généralement reconnues et selon « les critères et modalités déterminés par règlement ». La LPVPC ne contient pas de restrictions comparables sur les fins et les situations pour lesquelles les organisations peuvent anonymiser un renseignement personnel (à l’exception de la mention des meilleures pratiques généralement reconnues).
• Le CPVP ne soutiendrait toutefois pas cette approche qui consiste à simplement adopter la norme « raisonnable de prévoir dans les circonstances » sans apporter des changements supplémentaires pour s’assurer que le seuil de l’anonymisation d’un renseignement personnel est élevé et ne laisse aucune place à des pratiques insuffisantes.

Contexte

La LPVPC adopte une norme (presque) absolue qui établit un seuil plus élevé que celui de la Loi 25. Selon la LPVPC, anonymiser désigne le fait de « modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu par quelque moyen que ce soit » (par. 2(1)).

Certains commentateurs en ligne ont demandé que la définition de l’anonymisation dans la LPVPC soit alignée sur celle adoptée dans la Loi 25 du Québec (modifications à Loi sur la protection des renseignements personnels dans le secteur privé). La Loi 25 adopte une norme qui ressemble à la norme adoptée par la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario par rapport à ce sujet : un renseignement est anonymisé lorsqu’il est, en tout temps, « raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier […] cette personne » (article 119).

Certains commentateurs, notamment le Canadian Anonymization Network (CANON) et Barry Sookman, du cabinet McCarthy Tetrault, ont demandé que la définition de l’anonymisation dans la LPVPC soit alignée sur la Loi 25 ou « harmonisée » avec celle-ci, c.-à-d. d’utiliser la norme « raisonnable de prévoir dans les circonstances » dans la LPVPC.

Nous recommandons des évaluations des facteurs relatifs à la vie privée (EFVP) pour les activités « à risque élevé ». Quels seraient la définition et les critères des activités « à risque élevé »?

• Pour conserver le vocabulaire de la LPVPC, notre définition et nos critères des « activités à risque élevé » seraient les suivants :

  Une activité à risque élevé est une activité qui aura ou qui a le potentiel raisonnablement prévisible d’avoir un effet important sur une personne, ou dans le contexte de laquelle la collecte, l’utilisation ou la communication de renseignements personnels pourrait entraîner un préjudice grave pour l’individu (notamment « la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles ») sans mesures de protection appropriées.

• Nous pourrions également insister sur le fait que nous recommandons généralement aux organisations d’entreprendre une EFVP pour toute collecte, utilisation ou communication de renseignements personnels, mais qu’une EFVP est requise pour les activités à risque élevé.

Contexte

Ces faits constitueraient le fondement de notre définition selon le vocabulaire qui existe déjà dans la LPVPC pour la prise de décisions automatisée (impact important) et le signalement des atteintes à la vie privée (préjudice important). Cela nous permet également d’éviter que notre définition soit largement centrée sur l’intelligence artificielle, d’avoir une bonne occasion de fournir des détails supplémentaires par l’entremise de directives ou de conclusions d’enquête, et de conserver une souplesse.

La capacité d’imposer des amendes est-elle une exigence d’adéquation de l’Union européenne?

• Non, les amendes ne représentent pas une exigence explicite d’adéquation au RGPD de l’Union européenne (UE) au titre de l’article 45 ou du préambule 104 du RGPD; il en va de même pour les sanctions administratives pécuniaires (SAP).
• Lors de l’évaluation de l’adéquation, la Commission européenne prend en compte un certain nombre de facteurs, notamment la question de savoir si un pays tiers offre des garanties d’un niveau de protection adéquat essentiellement équivalent à celui assuré au sein de l’UE et « les droits effectifs et opposables […] les recours administratifs et judiciaires que peuvent effectivement » introduire les personnes concernées dont les données à caractère personnel sont transférées (article 45, RGPD).
• La disponibilité de conséquences financières comme des amendes ou des SAP peut aider à satisfaire aux exigences de « droits effectifs et opposables ainsi que des possibilités effectives de recours administratif et juridictionnel » et à accroître les chances que la LPVPC soit jugée « adéquate ».
• Puisque les amendes ou les SAP font généralement partie des règlements nationaux des États membres du RGPD (préambules 148 et 149; article 84), l’intégration de telles sanctions dans la LPVPC serait plus cohérente avec les normes internationales et offrirait des niveaux comparables d’incitation à la conformité (SAP) et de peines pour les organisations non conformes (amendes).

Contexte

Même si le RGPD établit que les États membres doivent imposer des amendes ou des sanctions administratives en cas de non-conformité, il ne semble pas y avoir d’exigence explicite que les États tiers (p. ex. le Canada) doivent exiger de telles conséquences financières dans leur législation sur la protection de la vie privée afin d’avoir un niveau « adéquat » conformément au préambule 104 et à l’article 45.

L’obtention d’un statut d’adéquation de la part de Commission européenne n’est pas une science exacte, et de nombreux facteurs peuvent être pris en considération dans son évaluation. Toutefois, plus la boîte à outils d’application de la loi de la LPVPC et du CPVP est garnie, plus nous avons de chances à démontrer qu’il existe au Canada des « droits effectifs et opposables » pour les personnes concernées et des recours administratifs et judiciaires que les personnes concernées dont les données à caractère personnel sont transférées peuvent effectivement introduire (article 45 du RGPD). Étant donné que les amendes ou les SAP constituent la norme dans les États membres du RGPD (ainsi que dans un certain nombre d’autres pays), le Canada devrait également disposer de ces outils solides d’amélioration de la conformité, même s’ils ne sont pas expressément requis pour obtenir le statut d’adéquation.

---

Préambule 104 du RGPD :

Eu égard aux valeurs fondamentales sur lesquelles est fondée l’Union, en particulier la protection des droits de l’homme, la Commission devrait, dans son évaluation d’un pays tiers, d’un territoire ou d’un secteur déterminé dans un pays tiers, prendre en considération la manière dont un pays tiers déterminé respecte l’état de droit, garantit l’accès à la justice et observe les règles et normes internationales dans le domaine des droits de l’homme, ainsi que sa législation générale et sectorielle, y compris la législation sur la sécurité publique, la défense et la sécurité nationale ainsi que l’ordre public et le droit pénal. Lors de l’adoption, à l’égard d’un territoire ou d’un secteur déterminé dans un pays tiers, d’une décision d’adéquation, il y a lieu de tenir compte de critères clairs et objectifs, tels que les activités de traitement spécifiques et le champ d’application des normes juridiques applicables et de la législation en vigueur dans le pays tiers. Le pays tiers devrait offrir des garanties pour assurer un niveau adéquat de protection essentiellement équivalent à celui qui est garanti dans l’Union, en particulier quand les données à caractère personnel sont traitées dans un ou plusieurs secteurs spécifiques. Plus particulièrement, le pays tiers devrait assurer un contrôle indépendant effectif de la protection des données et prévoir des mécanismes de coopération avec les autorités de protection des données des États membres, et les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que des possibilités effectives de recours administratif et juridictionnel.

---

Alinéa 45 RGPD :

[…]

2. 2. Pour évaluer l’adéquation du niveau de protection, la Commission devrait, plus particulièrement, prendre en considération les éléments ci-dessous :
   1. l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l’organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées;
   2. l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d’assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d’application desdites règles, d’assister et de conseiller les personnes concernées dans l’exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres; et […]

Veuillez fournir un aperçu du règlement sur les services numériques de l’UE, notamment s’il a été adopté intégralement. Si ce n’est pas le cas, quelles sont les étapes qui restent?

• Le règlement sur les services numériques de l’UE établit des règles pour les services intermédiaires en ligne; ceux-ci relient les personnes aux biens, services et contenus. Ils comprennent les réseaux sociaux, les moteurs de recherche, les marchés en ligne, les boutiques d’applications, etc. Les nouvelles obligations propres au contenu numérique comprennent :
  • La mise en place de mécanismes permettant de signaler un contenu illicite (article 16)
  • L’exposition des motifs pour la suspension de compte ou la suppression de contenu (article 17)
  • L’interdiction de l’utilisation des interfaces en ligne trompeuses qui pourraient persuader les destinataires du service à prendre des décisions non souhaitées (préambule 67; article 25)
  • La transparence des publicités en ligne, y compris les facteurs clés montrant la raison pour laquelle une publicité ciblée a été présentée à une personne (article 26)
  • La transparence des systèmes de recommandation, y compris les principaux paramètres utilisés ainsi que les options dont disposent les destinataires du service (article 27)
  • L’interdiction des publicités ciblées qui reposent sur le profilage des mineurs (article 28)
• Les fournisseurs de très grandes plateformes et de très grands moteurs de recherche (qui ont un nombre mensuel de destinataires égal ou supérieur à 45 millions dans l’UE) ont des responsabilités supplémentaires, notamment :
  • Évaluer les risques pour déterminer tout risque systémique découlant de la conception ou du fonctionnement de la plateforme, y compris les risques pour la vie privée et la protection des données, et établir des mesures d’atténuation raisonnables, proportionnées et efficaces (articles 34 et 35)
  • Fournir aux utilisateurs des options de retrait des systèmes de recommandation (article 38)
• La Commission européenne a créé le Centre européen pour la transparence algorithmique pour aider les organismes de réglementation de l’UE à évaluer si les systèmes algorithmiques utilisés par les fournisseurs de très grandes plateformes et de très grands moteurs de recherche respectent les exigences en matière de gestion des risques prévues par le règlement sur les services numériques.
• Le règlement sur les services numériques est entré en vigueur le 25 août 2023 pour les fournisseurs de très grandes plateformes et de très grands moteurs de recherche (17 plateformes et 2 moteurs de recherche) qui ont un nombre mensuel de destinataires actifs du service dans l’Union égal ou supérieur à 45 millions. Il entrera en vigueur pour toutes les parties concernées le 1er janvier 2024.

Quel est le lien entre les dispositions en matière d’intérêt légitime dans la LPVPC et dans le RGPD?

• En vertu du paragraphe 18(3) de la LPVPC, l’organisation peut recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si la collecte ou l’utilisation est faite en vue d’une activité dans laquelle elle a un intérêt légitime qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu.
• Les organisations qui comptent sur cette exception liée au consentement en vertu de la LPVPC devraient déterminer tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu; trouver et prendre des moyens raisonnables pour réduire la probabilité que ces effets se produisent, ou pour les atténuer ou les éliminer; et se conformer à toute autre exigence réglementaire. Elles devraient également consigner les résultats d’une évaluation montrant comment elles répondent à ces exigences et les fournir au CPVP sur demande.
• L’utilisation du motif légal du RGPD pour le traitement des données à caractère personnel à des fins d’intérêts légitimes oblige les organisations à effectuer un test d’équilibre pour s’assurer que les intérêts ou les droits et libertés fondamentaux de la personne concernée ne l’emportent pas sur ces intérêts. Le traitement des données à caractère personnel doit également être « nécessaire » aux fins de l’intérêt légitime.
• Il s’agit d’une différence marquée, car sous le régime de la LPVPC, les droits et les libertés fondamentaux d’une personne ne constituent pas un facteur en soi qui doit être pris en compte; ils doivent être pris en considération seulement lorsque l’activité pourrait avoir un effet négatif sur ces droits et libertés.

Contexte

L’intérêt légitime est l’une des six bases juridiques relatives au traitement des données à caractère personnel au titre du RGPD de l’UE qui permet aux organisations d’utiliser des renseignements personnels sans consentement préalable de la personne concernée lorsque « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. » (Non souligné dans l’original)

Cette disposition est différente de celle du paragraphe 18(3) de la LPVPC qui permet aux organisations de recueillir ou d’utiliser les renseignements personnels d’un individu sans son consentement si la collecte ou l’utilisation est faite « en vue d’une activité dans laquelle elle a un intérêt légitime qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu […] » (non souligné dans l’original)

Un « effet négatif » au sens du paragraphe 18(3) du projet de loi est un terme suffisamment général pour inclure les effets négatifs sur les droits et les libertés fondamentaux d’une personne; toutefois, en pratique, une telle attribution peut ne pas avoir lieu parce qu’elle n’est pas explicitement exigée par le projet de loi. Les droits et les libertés fondamentaux d’une personne ne représentent pas un facteur distinct qui doit être considéré comme partie du critère de pondération du projet de loi.

La professeure Teresa Scassa a constaté que l’accent mis sur les « effets négatifs » dans cette disposition « risque d’assimiler le préjudice à la vie privée à un préjudice quantifiable, ce qui banalise la valeur humaine et sociale de la vie privée ». Comme le fait remarquer la professeure Scassa, dans le contexte d’un recours collectif pour atteinte à la protection des données, les personnes qui, par exemple, sont touchées par les atteintes à la protection des données, ont éprouvé de grandes difficultés à montrer les dommages quantifiables réels découlant de l’atteinte pour laquelle elles peuvent être indemnisées. En supposant que ce défi se pose aussi dans le contexte de l’analyse des intérêts légitimes que le paragraphe 18(3) exigerait, selon la professeure Scassa, le traitement des données à caractère personnel de manière exceptionnelle au titredu RGPD risque de devenir une exception plus courante en vertu de la LPVPC.

Au titre de l’article 38 de la LIAD, commet une infraction la personne qui, afin de développer ou d’utiliser un système d’intelligence artificielle, utilise des renseignements personnels sachant qu’ils ont été obtenus de la perpétration d’une infraction. Quel serait un exemple d’une telle situation?

• Pour s’appliquer, cette disposition exige que les renseignements personnels soient possédés ou utilisés en sachant ou croyant qu’ils ont été obtenus ou qu’ils proviennent de la perpétration, au Canada, d’une infraction sous le régime d’une loi fédérale ou provinciale, ou d’un acte survenu à l’extérieur du Canada qui, au Canada, aurait constitué une infraction.
• L’infraction à la LPVPC qui serait le plus susceptible de déclencher l’application de cette disposition serait une contravention de l’article 75 – l’interdiction d’utiliser des renseignements personnels qui ont été dépersonnalisés pour identifier un individu sauf dans certains cas. En d’autres termes, si, en contravention de la LPVPC, des renseignements personnels dépersonnalisés ont été sciemment repersonnalisés (atteignant le seuil de l’infraction en vertu de l’article 128 de la LPVPC) et que ces renseignements ont été possédés ou utilisés pour développer un système d’intelligence artificielle en sachant ou croyant qu’ils ont été illicitement identifiés après leur dépersonnalisation, cela pourrait constituer une infraction en vertu de la LIAD.
• Il existe également une variété d’autres infractions non liées à la loi sur la protection de la vie privée qui pourraient justifier le recours à l’article 38; par exemple, lorsqu’un développeur de systèmes d’intelligence artificielle sait ou croit que les renseignements qu’il possède ou utilise ont été obtenus par une « utilisation non autorisée d’ordinateur » (c.-à-d. lorsque des données d’identification personnelle ont été obtenues par piratage) au titre du paragraphe 342.1(1) du Code criminel.
• Comme l’article 38 s’applique également aux infractions provinciales, les lois provinciales sur la protection de la vie privée peuvent enrichir les facteurs déclencheurs potentiels mentionnés dans ses dispositions. Par exemple, dans la LPRPS de l’Ontario, l’alinéa 72(1)a) stipule que toute collecte, utilisation ou divulgation volontaire de renseignements personnels sur la santé contrairement à la LPRPS peut constituer une infraction.
• Il est à noter que cette disposition ne s’appliquerait pas dans le cas où les renseignements personnels ont été sciemment obtenus en violation de la LPVPC si cette violation ne constituait pas une infraction (par exemple, si une partie tierce n’avait pas l’autorisation de communiquer les renseignements au développeur du système d’intelligence artificielle ou lorsque les données ont été copiées à partir d’Internet).

Que pensons-nous de la récente lettre collective sur la LIAD?

• Certains points abordés dans la lettre, comme la mesure dans laquelle des détails importants doivent être mis au point dans une future réglementation, représentent un choix pour cette Chambre.
• Toutefois, nous sommes en principe d’accord avec de nombreux points abordés par les auteurs de la lettre concernant la réglementation de l’intelligence artificielle. Du point de vue de la vie privée, la réglementation de l’intelligence artificielle devrait reconnaître explicitement la vie privée comme un droit humain.
• Nous sommes prêts à participer comme acteur principal à toute consultation sur la réglementation de l’intelligence artificielle en ce qui a trait à la vie privée ou à tout autre développement relatif à ce sujet.

Contexte

Le 25 septembre 2023, une lettre collective a été envoyée à François-Philippe Champagne, ministre de l’Innovation, des Sciences et de l’Industrie. Elle a été signée par tout près de 50 organisations et spécialistes bien connus et elle exprimait leurs préoccupations à l’égard de l’incapacité de la LIAD proposée à protéger les droits et les libertés des personnes au Canada contre les risques liés à l’évolution fulgurante de l’intelligence artificielle.

En résumé, ils ont demandé que la LIAD soit retirée du projet de loi C‑27 et ont abordé cinq points principaux qui les préoccupent, conformément aux réserves qui ont été exprimées précédemment par un bon nombre d’intervenants :

1. Droits de la personne : Malgré le préambule, ni le texte de la LPVPC ni celui de la LIAD ne reconnaissent la vie privée comme un droit humain fondamental.
2. Lacunes dans les définitions : Des lacunes importantes dans des définitions comme « système à incidence élevée » font en sorte que des éléments d’importance majeure de la LIAD soient incompréhensibles et dépourvus de substance. L’approche actuelle, qui remet à une future réglementation la mise au point de la plupart des détails, n’améliore pas la souplesse et affaiblit l’obligation de rendre compte en démocratie.
3. Indépendance : Il est inopportun que la réglementation de l’intelligence artificielle soit entièrement placée sous les auspices d’Innovation, Sciences et Développement économique (ISDE), dont le mandat est de soutenir le développement économique de l’industrie de l’intelligence artificielle.
4. Consultation : L’absence de consultations structurées et délibératives de grande envergure, avant et depuis le dépôt du projet de loi, est antidémocratique et a pour conséquence de priver la population canadienne des mesures législatives nécessaires sur l’intelligence artificielle qui protègent les droits et résistent aux contraintes. La consultation plus large menée par ISDE au sujet d’un code de pratique pour les systèmes d’intelligence artificielle générative a débouché sur un document qui s’apparente à une déclaration de principes, mais qui omet de mentionner les questions relatives à la vie privée ainsi que les pratiques douteuses en matière de données comme facteur d’évaluation de l’équité, ce qui empêche en réalité de partir du bon pied.
5. Utilisation de l’intelligence artificielle dans les secteurs public et privé : Le gouvernement aurait dû envisager dès le départ des règles en matière d’intelligence artificielle pour les secteurs privé et public, au lieu d’adopter une approche parcellaire.

Comment le projet de loi C‑27 s’appliquerait-il aux « témoins »? En quoi cela diffère-t-il de la LPRPDE?

• Le projet de loi C‑27 ne contient aucune disposition qui s’applique précisément aux témoins ou qui semble être conçue expressément pour eux.
• Le projet de loi s’appliquerait dans la mesure où un témoin est un identificateur unique pour une personne ou sert à recueillir des renseignements personnels sur une personne.
• Aucune différence pratique notable n’existerait entre le projet de loi C‑27 et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en ce qui concerne les témoins strictement opérationnels (p. ex. les témoins de première partie qui permettent l’exploitation d’un site Web). Sauf qu’au titre du projet de loi C‑27, toute collecte de renseignements personnels basée sur l’utilisation de tels témoins serait autorisée sans consentement en vertu de l’alinéa 18(2)a), tandis qu’en vertu de la LPRPDE, une telle collecte s’appuierait sur le consentement implicite.
• L’incidence possible la plus importante du projet de loi C‑27 pourrait toucher la publicité comportementale en ligne (PCL) dont le témoin est activé, encore une fois selon la forme de consentement requise.
  • Contrairement à ce qui est prévu dans la LPRPDE, le paragraphe 18(3) pourrait autoriser la PCL sans consentement, dans la mesure où :
    • Une organisation a un « intérêt légitime » dans la PCL (il est à noter que le CPVP a précédemment déterminé que la PCL pourrait être une fin acceptable);
    • Cet intérêt légitime l’emporte sur tout effet négatif possible sur l’individu concerné;
    • La PCL n’influence pas les comportements et les décisions d’une personne [dans le cas contraire, une organisation utilisant la PCL ne peut pas s’appuyer sur le paragraphe 18(3).].
  • Si le paragraphe 18(3) ne s’applique pas à la situation, un consentement ne serait pas requis pour la PCL. Le fait que ce consentement soit implicite dépendra des attentes raisonnables et de la sensibilité des renseignements, conformément au paragraphe 15(5); [il est à noter que le paragraphe 15(5) ne limiterait pas l’utilisation d’un consentement implicite si l’on a déterminé que les dispositions du paragraphe 18(3) ne s’appliquent pas à la PCL].
    • Cette condition est semblable dans la LPRPDE.
• Une autre incidence possible peu probable du projet de loi C‑27 serait liée aux systèmes de décision automatisée. Au titre de la LPVPC, l’utilisation de témoins pour la PCL respecterait les critères d’un tel système. Toutefois, il est peu probable que la PCL serait considérée comme ayant une « incidence importante » sur les personnes, ce qui signifie que les dispositions relatives à la transparence [alinéa 62(2)c)] et à l’explication [paragraphe 63(3)] ne s’appliqueraient probablement pas.
• Enfin, les points ci-dessus pourraient devenir moins pertinents à l’avenir, car des entreprises comme Google se tournent vers de nouveaux systèmes de publicité en ligne qui ne sont pas axés sur les témoins.

La recommandation 4 du mémoire du CPVP indique qu’au minimum, vous aimeriez qu’une contravention aux fins acceptables soit ajoutée à la liste des contraventions pouvant faire l’objet de SAP. Quelles autres contraventions voudriez-vous ajouter?

• La liste de contraventions pouvant faire l’objet de SAP constitue une amélioration importante par rapport à l’ancien projet de loi C‑11.
• Toutefois, comme nous l’avons mentionné dans notre mémoire sur l’ancien projet de loi C‑11, notre recherche a démontré que les régimes de SAP dans d’autres territoires de compétence, notamment au Royaume-Uni, en Australie, à Singapour, au Québec, en Ontario (au titre de la LPRPS) et en Californie, permettent aux autorités de protection des données d’émettre des SAP pour presque toute contravention liée à la collecte, à l’utilisation et la communication de renseignements personnels.
• Bien que l’omission principale, à notre avis, soit la contravention à la disposition relative aux fins appropriées [par. 12(1)], nous suggérons que d’autres infractions qui pourraient faire l’objet de SAP comprennent :
  • par. 8(1) – Désigner un individu chargé des questions relatives aux obligations sous le régime de la loi
  • par. 10(1) – Sur demande du commissaire à la protection de la vie privée, lui donner accès aux politiques, pratiques et procédures comprises dans un programme de gestion de la protection des renseignements personnels
  • art. 56 - Assurer le maintien de l’exactitude des renseignements personnels
  • art. 59 – Aviser une organisation d’une atteinte à la protection des renseignements personnels, si l’on croit que l’organisation peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice
  • art. 71 – Modifier des renseignements personnels dont l’inexactitude a été démontrée
• Enfin, deux dispositions qui sont actuellement classées comme infractions peuvent également être intégrées aux dispositions relatives aux SAP pour permettre de régler les contraventions sans avoir recours au procureur public :
  • Paragraphe 60(1) : conservation d’un registre de toutes les atteintes aux mesures de sécurité.
  • Article 75 : interdiction de repersonnaliser des renseignements personnels, sauf dans des cas précis.
  • Si les SAP et les infractions doivent faire partie de l’une ou l’autre catégorie, nous préférons que ces contraventions demeurent des infractions.

Vie privée des groupes – Le projet de loi C‑27 aborde-t-il adéquatement les droits des groupes vulnérables?

• On reconnaît de plus en plus que les cas d’atteintes à la vie privée d’un individu peuvent aussi nuire au bien-être collectif. Par exemple, bien que la surveillance de masse touche les individus, elle peut nuire au bien-être collectif en provoquant des changements de comportement à grande échelle ou une diminution généralisée de la dignité et de l’autonomie.
• De plus, les analyses de données récentes peuvent réduire les individus aux caractéristiques qu’ils partagent au sein d’un groupe, ce qui peut potentiellement causer des torts individuels et collectifs quand des hypothèses formulées à l’égard des caractéristiques du groupe sont appliquées tant au groupe qu’à ceux qui en font partie. Dans ce cas, les atteintes à la vie privée sont étroitement liées au droit à l’égalité et à la protection contre la discrimination.
• Il est primordial que la loi définisse le droit à la vie privée dans son sens le plus large, ce qui signifie établir explicitement dans la loi que l’un des objectifs fondamentaux de la législation devrait être de protéger le droit à la vie privée en tant que droit de la personne en soi, de même qu’en tant qu’élément essentiel à la réalisation et à la protection d’autres droits de la personne.

Contexte

Certains intervenants, notamment Blair Attard-Frost, le Fonds d’action et d’éducation juridique pour les femmes et Jane Bailey, ont présenté la recommandation selon laquelle le projet de loi C‑27 devrait mieux reconnaître les préjudices liés aux droits des groupes ou des collectivités. Ils ont porté une attention particulière à la LIAD.

Les préjudices potentiels qui sont causés par les systèmes d’intelligence artificielle et qui ont été mis en évidence ne se limitent pas aux préjudices à la vie privée, mais comprennent également un large éventail de préjudices collectifs, y compris des préjudices liés à la violation des droits de la personne, à la violation de la propriété intellectuelle, aux répercussions sur les travailleurs et aux répercussions environnementales.

En ce qui concerne la vie privée, Jane Bailey a fait remarquer que lorsque des mesures adéquates de protection sont en place en ce qui concerne la collecte, l’utilisation et la communication de renseignements personnels, les droits à l’égalité qui sont menacés par des utilisations excessives, injustes ou discriminatoires de ces données peuvent également bénéficier de ces mesures de protection. En revanche, selon elle, lorsque les mesures de protection de la vie privée ne limitent pas adéquatement la collecte, l’utilisation et la communication des données à caractère personnel, ces données peuvent être utilisées d’une manière qui mine les droits à l’égalité.

Tous les intervenants conseillent de mener des consultations publiques pour examiner davantage ces questions.

Vie privée des enfants – Concrètement, comment les organisations détermineront-elles si une personne est mineure sans demander de nombreux renseignements personnels? Pouvez-vous fournir des méthodes approuvées par le CPVP?

• Nous reconnaissons que la vérification de l’âge pose des défis aux organisations, et que celles-ci auront besoin de soutien dans cette étape. Ce sera une priorité pour le Commissariat.
• Diverses technologies et méthodes d’analyse sont utilisées actuellement dans les systèmes numériques de vérification de l’âge, ainsi que diverses mesures de protection. Les techniques de vérification de l’âge sont variées et comprennent des méthodes comme la déclaration volontaire, les systèmes fondés sur l’intelligence artificielle et les données biométriques, ou des identificateurs uniques comme le permis de conduire, par exemple. Aucun système n’est identique : la conception et la mise en œuvre, tout comme le potentiel de vulnérabilité, peuvent différer d’un système à l’autre. De plus, les risques évoluent constamment. Selon nous, la clé, c’est de s’assurer qu’il existe plusieurs moyens de défense.
• Une analyse devrait être entreprise pour vérifier qu’une solution technique particulière est appropriée dans les circonstances. Peu importe le mécanisme choisi, l’utilisateur devra au bout du compte fournir une certaine quantité de renseignements personnels. Par contre, dans tout système numérique de vérification de l’âge, il faudrait appliquer le principe de minimisation des données personnelles, de façon à réduire le couplage des données et la surveillance des personnes. La méthode choisie doit également être proportionnelle aux risques. Par exemple, dans certaines situations, il peut être approprié d’utiliser la méthode de la déclaration volontaire pour demander à l’enfant de confirmer son appartenance à une tranche d’âge pour aider à personnaliser un jeu d’apprentissage. Pour du contenu destiné aux adultes, comme les produits du tabac, une vérification plus rigoureuse de l’âge peut être nécessaire ou exigée par la loi.
• L’usage de la biométrie ou de la reconnaissance faciale pour vérifier ou estimer l’âge d’un utilisateur soulève des préoccupations bien particulières sur le plan de la protection de la vie privée. Les technologies biométriques sont généralement très intrusives. De plus, leur efficacité pour ce qui est de vérifier l’âge avec exactitude reste à démontrer.
• D’autres méthodes de vérification de l’âge qui ne nécessitent pas le stockage numérique de renseignements personnels pourraient également être envisagées. Par exemple, une personne pourrait faire vérifier visuellement, sur les lieux d’un point de service, sa carte d’identité délivrée par le gouvernement pour faire confirmer son âge, puis recevoir une clé ou un code vérifié qui peut être utilisé en ligne d’une manière qui ne permet pas de remonter à elle.
• Les mesures de sécurité importantes qui devraient faire partie de tout système de vérification de l’âge comprennent ce qui suit :
  • Minimisation des données : la collecte, l’utilisation et la communication d’une quantité minimale de renseignements peuvent réduire le couplage des données.
  • Contrôles de l’accès : les contrôles permettent de restreindre l’accès aux données des utilisateurs.
  • Chiffrement : des méthodes de chiffrement puissantes devraient être en place pour les données en cours d’utilisation, en transit et inactives. Cela dit, le chiffrement n’est pas une méthode infaillible pour éliminer les risques de réidentification des utilisateurs.
  • Segmentation en unités : des jetons peuvent remplacer des renseignements sensibles par une chaîne aléatoire de caractères qui n’ont aucune valeur.
  • Limitation de l’utilisation : Les renseignements liés à la vérification de l’âge ne doivent pas être utilisés à d’autres fins.
  • Il importe de s’assurer que le système est adapté à l’usage, notamment qu’il est dûment formé ou développé, qu’il est exact et qu’il prévient les biais.
  • Il faut expliquer comment une personne peut contester une évaluation inexacte de son âge.
• Le commissariat à l’information (ICO) du Royaume-Uni a mené une étude sur la vérification de l’âge dans le cadre de son travail sur la réglementation relative aux enfants. Cette étude comprenait une analyse et des conseils pour les organisations sur l’évaluation de la probabilité qu’un service en ligne soit accessible aux enfants. En général, si un fournisseur conclut que des enfants sont susceptibles d’accéder au service et que celui-ci n’est pas approprié pour eux, l’ICO lui conseille d’appliquer les mesures de vérification de l’âge pour restreindre l’accès ou s’assurer que le service est conforme à la réglementation relative aux enfants « de façon proportionnée et axée sur les risques ».
• Les autorités de protection des données de la France ont également évalué les principaux types de systèmes de vérification d’âge. Elles ont conseillé les organisations sur la façon de s’acquitter des obligations juridiques dans ce territoire de compétence, mais ont aussi trouvé que les systèmes actuels ont tendance à favoriser le contournement et l’intrusion. Par conséquent, elles ont demandé la mise en œuvre de modèles plus respectueux de la vie privée et ont collaboré avec un chercheur pour démontrer la faisabilité d’une telle version.

Vie privée des enfants – Pourquoi le concept de l’intérêt supérieur de l’enfant devrait-il être ajouté au projet de loi?

• Le Canada a ratifié la Convention des Nations Unies relative aux droits de l’enfant (CNURDE) en 1991. La CNURDE affirme les droits de l’enfant, y compris le droit à la vie privée, et introduit le concept de l’intérêt supérieur de l’enfant.
• L’« intérêt supérieur de l’enfant » est un principe qui joue un rôle important dans le droit canadien. « Dans toutes les décisions qui concernent les enfants, qu’elles soient le fait des institutions publiques ou privées de protection sociale, des tribunaux, des autorités administratives ou des organes législatifs, l’intérêt supérieur de l’enfant doit être une considération primordiale. » [Paragraphe 3(1)]
• Ce concept signifie que le bien-être et les droits des jeunes soient des considérations primordiales dans les décisions et actions qui les concernent directement ou indirectement. Dans divers contextes, ce principe directeur peut s’appliquer et permettre d’évaluer et de concilier les intérêts des jeunes par rapport à d’autres.
• De plus, la Convention des Nations Unies relative aux droits de l’enfant (CNURDE) aborde expressément le sujet du droit à la vie privée des enfants. L’article 16 de la CNURDE stipule que « [n]ul enfant ne fera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes illégales à son honneur et à sa réputation ». Les jeunes ont droit à la protection de la loi contre de telles immixtions ou de telles atteintes.
• La CNURDE aborde également d’autres droits qui pourraient être pertinents à l’évaluation de la meilleure façon d’offrir aux enfants et aux jeunes la protection à la vie privée mentionnée à l’article 16. L’article 13 garantit le droit de l’enfant à la liberté d’expression. Ce droit comprend la liberté d’accéder à des informations et des idées par tout autre moyen du choix de l’enfant. L’article 17 reconnaît le rôle important que jouent les médias et exige que les États membres veillent à ce que l’enfant ait accès à une information provenant de sources diverses.
• L’article 12 stipule que l’enfant capable de discernement doit se voir accorder le droit d’exprimer librement son opinion sur toute question l’intéressant, les opinions de l’enfant étant dûment prises en considération eu égard à son âge et à son degré de maturité.
• Ces articles suggèrent que les enfants ne sont pas seulement l’objet de droits, mais qu’ils sont censés exercer ces droits ou, au moins, fournir des commentaires sur la façon dont ces droits sont exercés en leur nom, conformément à leur capacité de le faire. La CNURDE reconnaît que la capacité de chaque enfant évolue avec l’âge, et qu’il y a donc une augmentation de la mesure dans laquelle un enfant serait capable d’exercer les droits garantis par la Convention, notamment sans la représentation d’un adulte.
• En plus de 30 ans, la CNURDE a eu une influence considérable sur les droits des jeunes dans le monde entier, incluant le droit à la vie privée. De nombreuses juridictions ont ainsi reconnu que les jeunes peuvent être affectés par les technologies différemment des adultes, qu’ils sont plus exposés aux problèmes liés à la protection de la vie privée et qu’ils ont donc besoin de protections spéciales.
• Le CPVP et les commissaires provinciaux et territoriaux à la vie privée ont récemment publié une résolution qui vise à mettre l’intérêt supérieur des jeunes à l’avant-plan en matière de vie privée et d’accès aux renseignements personnels. Afin d’être utile pour les entreprises et les organisations gouvernementales, la résolution comporte une série de pratiques recommandées aux organisations et fournit des exemples pour les aider à analyser les intérêts supérieurs de l’enfant dans un contexte de vie privée.

Dans la recommandation 3 du mémoire du CPVP, vous mentionnez qu’un certain nombre de provinces ayant des lois essentiellement similaires ont une liste non exhaustive d’éléments dont il faut tenir compte pour établir le caractère acceptable des fins. De quelles provinces s’agit-il?

• Colombie-Britannique : Personal Information Protection Act, SBC 2003, chapitre 63, articles 11, 14 et 17
• Alberta : Personal Information Protection Act, SA 2003, chapitre P-6.5, articles 11, 16 et 19
• Québec : Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, par. 4, 5, 13 et 18.1.

Contexte

Il y a trois provinces dont la loi sur la protection des renseignements personnels dans le secteur privé est essentiellement similaire à la Partie 1 de la LPRPDE :

1. Colombie-Britannique
2. Alberta
3. Québec

Les trois provinces ayant des lois essentiellement similaires n’ont toutefois pas des listes exhaustives des éléments dont il faut tenir compte pour établir le caractère acceptable des fins, comme on en trouve aux dispositions du paragraphe 12(2) de la LPVPC.

PIPA C.-B.	PIPA Alberta	Loi sur la protection des renseignements personnels dans le secteur privé du Québec
Restrictions régissant la collecte des renseignements personnels 11 Sous réserve des dispositions de la présente loi, une organisation ne peut recueillir des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances et : (a) pour réaliser les fins que l’organisation divulgue en vertu du paragraphe 10(1); (b) aux fins autrement autorisées en vertu de la présente loi.	Restrictions régissant la collecte 11(1) L’organisation ne peut recueillir des renseignements personnels qu’à des fins raisonnables. (2) Une organisation ne peut recueillir que le nombre raisonnable de renseignements personnels propre à permettre la réalisation des fins auxquelles ceux-ci sont destinés.	DIRECTION GÉNÉRALE COLLECTE DE RENSEIGNEMENTS PERSONNELS 4. Toute personne qui exploite une entreprise et qui, en raison d’un intérêt sérieux et légitime, peut constituer un dossier sur autrui doit, lorsqu’elle constitue le dossier, inscrire son objet. Cette inscription fait partie du dossier. 5. La personne qui recueille des renseignements personnels afin de constituer un dossier sur autrui ou d’y consigner de tels renseignements ne doit recueillir que les renseignements nécessaires à l’objet du dossier. Ces renseignements doivent être recueillis de façon licite.
Restrictions régissant l’utilisation des renseignements personnels 14 Sous réserve des dispositions de la présente loi, une organisation ne peut utiliser des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances et : (a) pour réaliser les fins que l’organisation divulgue en vertu du paragraphe 10(1); (b) pour les renseignements recueillis avant l’entrée en vigueur de la présente loi, afin de réaliser les fins pour lesquelles les renseignements ont été recueillis; (c) aux fins autrement autorisées en vertu de la présente loi.	Restrictions régissant l’utilisation 16(1) L’organisation ne peut utiliser des renseignements personnels qu’à des fins raisonnables. (2) Une organisation ne peut utiliser que le nombre raisonnable de renseignements personnels propre à permettre la réalisation des fins auxquelles ceux-ci sont destinés.	§ 1. — Détention, utilisation et non communication des renseignements 13. Nul ne peut communiquer à un tiers les renseignements personnels contenus dans un dossier qu’il détient sur autrui ni les utiliser à des fins non pertinentes à l’objet du dossier, à moins que la personne concernée n’y consente ou que la présente loi ne le prévoie.
Restrictions régissant la communication des renseignements personnels 17 Sous réserve des dispositions de la présente Loi, une organisation ne peut communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances et : (a) pour réaliser les fins que l’organisation divulgue en vertu du paragraphe 10(1); (b) pour les renseignements recueillis avant l’entrée en vigueur de la présente Loi, afin de réaliser les fins pour lesquelles les renseignements ont été recueillis; (c) aux fins autrement autorisées au titre de la présente loi.	Restrictions régissant la communication 19(1) L’organisation ne peut communiquer des renseignements personnels qu’à des fins raisonnables. (2) Une organisation ne peut communiquer que le nombre raisonnable de renseignements personnels propre à permettre la réalisation des fins auxquelles ceux-ci sont destinés.	§ 2. — Communication à des tiers 18.1. Outre les cas prévus à l’article 18, une personne qui exploite une entreprise peut également communiquer un renseignement personnel contenu dans un dossier qu’elle détient sur autrui, sans le consentement des personnes concernées, en vue de prévenir un acte de violence, dont un suicide, lorsqu’il existe un motif raisonnable de croire qu’un risque sérieux de mort ou de blessures graves menace une personne ou un groupe de personnes identifiable et que la nature de la menace inspire un sentiment d’urgence. Les renseignements peuvent alors être communiqués à la ou aux personnes exposées à ce danger, à leur représentant ou à toute personne susceptible de leur porter secours. La personne qui exploite une entreprise et qui communique un renseignement en application du présent article ne peut communiquer que les renseignements nécessaires aux fins poursuivies par la communication. Lorsqu’un renseignement est ainsi communiqué par la personne qui exploite une entreprise, celle-ci doit inscrire la communication. Cette inscription fait partie du dossier. Pour l’application du premier alinéa, on entend par « blessures graves » toute blessure physique ou psychologique qui nuit d’une manière importante à l’intégrité physique, à la santé ou au bien-être d’une personne ou d’un groupe de personnes identifiable.

Postes Canada – Postes Canada a-t-elle communiqué avec nous depuis que nous avons déposé le rapport annuel du CPVP? Quelles seront les prochaines étapes en matière de processus?

• Le Commissariat communiquait régulièrement avec Postes Canada tout au long de l’enquête. Postes Canada nous a contactés après la publication de notre Rapport de conclusions final. Nous n’avons pas eu de nouvelles de Postes Canada depuis que nous avons déposé le rapport annuel du CPVP le 19 septembre 2023.
• Nous nous attendons à ce que Postes Canada prenne les mesures nécessaires pour rendre ses activités conformes à la Loi sur la protection des renseignements personnels et nous continuons d’inciter l’organisation à réexaminer les mesures correctives que nous avons suggérées ou à proposer d’autres mesures pour rendre ses activités conformes à la Loi.
  • Nos attentes au sujet des mesures correctives appropriées ont été énoncées dans notre Rapport de conclusions. Nous avons invité Postes Canada à examiner des options potentielles d’obtention d’une autorisation des Canadiens. De plus, nous avons proposé à Postes Canada de satisfaire à notre recommandation en ayant recours à un processus d’envoi postal aux ménages. Nous demeurons ouverts à entendre parler des mesures de transparence proposées par Postes Canada pour solliciter et obtenir l’autorisation des Canadiens.
• Nous prenons note de la déclaration publique faite par Postes Canada le 22 septembre 2023 et de son engagement à réexaminer son programme de services de données à la suite des conclusions de notre enquête. Nous avons hâte d’avoir des nouvelles de Postes Canada et de connaître les mesures qu’elle propose de prendre pour respecter ses obligations au titre de la Loi et protéger la vie privée des Canadiens.

Contexte

Nous avons envoyé un Rapport de conclusions final à Postes Canada le 12 mai 2023. Tout au long de l’enquête, nous avons collaboré avec Postes Canada. Nous avons également rencontré des fonctionnaires de Postes Canada à plusieurs reprises.

Bien que nous apprécions la volonté de Postes Canada de collaborer avec nous, il convient de noter qu’en fin de compte, l’organisation n’a pas accepté notre recommandation d’arrêter sa pratique consistant à utiliser et à communiquer les renseignements personnels (tirés de ses données opérationnelles) dans le cadre des activités de marketing postal sans d’abord obtenir l’autorisation des Canadiens. Postes Canada a également refusé notre proposition de satisfaire à notre recommandation en effectuant un envoi aux ménages comportant des renseignements clairs sur le programme et des directives faciles à suivre sur la façon de se retirer du programme.

Postes Canada a proposé certaines mesures pour informer les Canadiens de cette pratique (comme des brochures dans les bureaux de postes et des renseignements sur son site Web); toutefois, nous avons trouvé que ces mesures font porter aux Canadiens la responsabilité de chercher proactivement l’information, alors que la responsabilité devrait incomber à Postes Canada. Par conséquent, nous demeurons préoccupés par le fait que le programme Marketing Intelliposte ne respecte pas l’article 5 de la Loi sur la protection des renseignements personnels.

Home Depot – Quel est l’état de ce dossier? Le CPVP a-t-il toujours des préoccupations concernant la non-conformité des organisations à ses recommandations et attentes?

• L’enquête du CPVP qui porte sur le fait que Home Depot utilise l’outil « Conversation hors ligne » de Meta a été conclue. Home Depot a déclaré qu’elle a mis fin à l’utilisation de l’outil.
• À la suite de l’enquête sur la conformité de Home Depot, le Commissariat a communiqué de façon proactive avec huit détaillants pour les informer des résultats de son enquête et pour mettre en lumière la nécessité d’obtenir le consentement adéquat. La plupart des entreprises ont affirmé qu’elles n’utilisent pas ou plus l’outil « Conversation hors ligne ».
• Nous sommes ravis de savoir que ces détaillants, et le secteur en général, semblent prendre nos conclusions au sérieux. Nous avons créé de nombreux liens positifs, notamment dans le cadre d’une présentation à la demande du Conseil canadien du commerce de détail et d’une autre présentation à l’International Association of Privacy Professionals à Toronto, durant laquelle nous avons pu communiquer nos conclusions à des centaines de professionnels de la vie privée. Toutefois, nous reconnaissons que d’autres entreprises pourraient toujours communiquer les renseignements personnels des clients en utilisant l’outil « Conversation hors ligne » et des outils similaires sans obtenir le consentement adéquat, et nous continuerons de surveiller la situation.

Contexte

• Nous avons publié notre Rapport de conclusions au sujet de Home Depot le 26 janvier 2023.
• En avril 2023, après un reportage dans les médias, nous avons envoyé des lettres de conformité à huit détaillants (caviardé pour leur demander de nous expliquer comment ils ont répondu à nos attentes ou comment ils planifient de le faire.
• Plusieurs détaillants ont répondu qu’ils n’utilisaient pas ou plus l’outil « Conversation hors ligne » ou des outils similaires. (Caviardé) n’ont pas répondu à la lettre, malgré nos suivis.

Chambre des communes – Il a été rapporté que la Chambre des communes a été victime d’une cyberattaque plus tôt cette semaine. La Chambre a-t-elle prévenu le CPVP? La Chambre a-t-elle des obligations au titre de la Loi sur la protection des renseignements personnels? Si ce n’est pas le cas, pensez-vous qu’elle devrait en avoir?

• La Chambre des communes n’est pas assujettie à la Loi sur la protection des renseignements personnels ni à la LPRPDE. Elle n’avait pas d’obligations légales de signaler l’incident au Commissariat, et nous n’avons reçu aucun rapport d’atteinte à la vie privée.
• Ce qui m’importe, à titre de commissaire à la protection de la vie privée du Canada, c’est que les renseignements personnels soient recueillis, gérés et protégés adéquatement, que ce soit dans le cadre de la Loi sur la protection des renseignements personnels ou d’autres moyens considérés adéquats dans le contexte de la Chambre des communes.
• À cet égard, j’offre mes services de conseil et ceux du Commissariat, au besoin.

Contexte

Le CPVP n’a pas préconisé l’application de la Loi sur la protection des renseignements personnels à la Chambre des communes. Toutefois, en 2016, le commissaire à la protection de la vie privée à cette époque, Daniel Therrien, a présenté au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique ses recommandations relatives à la modification de la Loi sur la protection des renseignements personnels. Ses recommandations comportaient le fait d’élargir la portée de la Loi pour qu’elle s’applique à toutes les institutions fédérales, y compris les cabinets des ministres et celui du premier ministre. Le commissaire Therrien a fait remarquer qu’« un tel élargissement de la portée de la Loi sur la protection des renseignements personnels concorderait avec un des objectifs primordiaux visés par la création des agents du Parlement, à savoir jeter un regard sur les activités du pouvoir exécutif de l’État. » Dans son rapport de 2016, le Comité permanent a conseillé que le gouvernement du Canada examine la proposition d’élargir la portée de la Loi de façon à ce qu’elle s’applique à toutes les institutions fédérales, y compris les cabinets des ministres et celui du premier ministre.

Des appels ont été fréquemment lancés pour que les partis politiques soient soumis à la législation sur la protection de la vie privée. L’appel le plus récent a été fait en mai 2023 durant votre comparution devant le Comité sénatorial permanent des affaires juridiques et constitutionnelles, pour discuter des modifications à la Loi électorale du Canada proposées dans le projet de loi C-47, la Loi d’exécution du budget. Les modifications proposées permettraient à tout parti politique et à ses affiliés de recueillir, d’utiliser, de communiquer et de conserver des renseignements personnels, ainsi que de procéder à leur retrait, conformément à la politique sur la protection des renseignements personnels du parti. Dans votre allocution, vous avez affirmé que les partis politiques devraient être assujettis à des exigences en matière de protection de la vie privée qui s’appuient sur une loi et qui sont fondées sur des principes de protection de la vie privée reconnus à l’échelle internationale, dont celui de pouvoir s’adresser à un tiers indépendant disposant du pouvoir de vérifier et d’imposer la conformité, et celui d’offrir des recours en cas d’atteinte à la vie privée.

Il convient également de noter que la déclaration d’une atteinte à la vie privée ne représente pas une exigence législative pour les institutions du secteur public fédéral assujetties à la Loi sur la protection des renseignements personnels. Elle est plutôt obligatoire dans le cadre des instruments de politique publiés par le Secrétariat du Conseil du Trésor du Canada. Des appels ont aussi été lancés à ce sujet pour intégrer à la Loi l’obligation de signaler une atteinte à la vie privée lorsque celle-ci présente un risque de préjudice pour les personnes concernées. Dans notre mémoire de 2021 présenté dans le cadre de la consultation publique sur la modernisation de la Loi sur la protection des renseignements personnels, nous avons soutenu fermement les propositions du ministère de la Justice visant à prévoir un principe de « mesure de sécurité », une obligation relative à la tenue de documents sur les atteintes, et l’obligation de signaler les cas d’atteinte au Commissariat et d’en aviser les individus touchés lorsque l’atteinte pose un risque de préjudice grave pour l’individu.

Quelles sont les conséquences sur la vie privée de la déclaration du gouvernement selon laquelle il publierait le nom des soldats qui se sont battus aux côtés des nazis durant la Seconde Guerre mondiale et qui ont ensuite été autorisés à immigrer au Canada?

• Le sous-alinéa 8(2)m)(i) de la Loi sur la protection des renseignements personnels permet actuellement que les institutions fédérales communiquent des renseignements personnels pour des raisons d’intérêt public.
• Toutefois, cette communication est facultative, et le sous-alinéa 8(2)m)(i) a un seuil élevé : l’intérêt public doit clairement l’emporter sur toute atteinte à la vie privée.
• Les décisions concernant la communication de renseignements personnels pour des raisons d’intérêt public en vertu du sous-alinéa 8(2)m)(i) doivent être prises par les responsables des institutions au cas par cas.
• Le Commissariat est disponible pour toute consultation afin d’aider les institutions à tenir compte des questions de protection de la vie privée liées à la communication de renseignements dans l’intérêt public.
• Dans sa consultation de 2021 sur la modernisation de la Loi sur la protection des renseignements personnels, le ministère de la Justice a proposé un nouveau cadre pour la communication des renseignements personnels dans l’intérêt public. Nous serions heureux de collaborer avec le ministère de la Justice pour veiller à ce que tout nouveau cadre établisse un équilibre entre les répercussions sur la vie privée et l’intérêt public.
• La définition de « renseignements personnels » est présentée sous forme de liste exhaustive à l’article 3 de la Loi sur la protection des renseignements personnels. À l’alinéa m) de la définition de « renseignements personnels », il est stipulé que dans le contexte d’une demande d’accès à l’information au titre de la Loi sur l’accès à l’information, les renseignements concernant « un individu décédé depuis plus de vingt ans » ne seraient pas considérés comme renseignements des personnels. Toutefois, dans tout autre contexte qu’une demande d’accès à l’information, ces renseignements resteraient des « renseignements personnels » protégés au titre de la Loi sur la protection des renseignements personnels.
• Le paragraphe 69(2) de la Loi sur la protection des renseignements personnels permet la communication de « renseignements personnels » « auxquels le public a accès » (c.-à-d. que les dispositions de l’article 8 ne s’appliqueraient pas à ces renseignements personnels).

Contexte

---

---