Gouvernail des données de Blakes : édition de l’été 2025

Voici l’édition de l’été 2025 de l’infolettre Gouvernail des données de Blakes, une publication du groupe Protection de la vie privée et des données de Blakes. Cette infolettre a pour but d’effectuer un survol des développements récents relatifs à la législation canadienne en matière de protection de la vie privée, de cybersécurité, d’accès à l’information et de gouvernance de l’intelligence artificielle (« IA »), ainsi que de fournir aux lecteurs des pistes de réflexion concrètes sur les diverses questions soulevées par ces développements.

Dans ce numéro

• Modifications à la LAIPVP de l’Ontario. Ce que doivent savoir les institutions du secteur public de l’Ontario et leurs fournisseurs de services au sujet des modifications à la Loi sur l’accès à l’information et la protection de la vie privée de l’Ontario (la « LAIPVP ») qui sont entrées en vigueur le 1^er juillet 2025.
• Aperçu des travaux parlementaires. Les perspectives relativement à la réforme du régime de protection de la vie privée et à la réglementation de l’IA dans le cadre de la 45^e législature du Canada. 
• Nouvelle décision au Québec concernant la vidéosurveillance. Un examen de la décision rendue par la Commission d’accès à l’information du Québec (la « CAI ») relativement à l’utilisation par une société de livraison d’un système de vidéosurveillance dans ses véhicules de livraison.
• Nouvelle décision en Alberta sur l’exception relative aux renseignements accessibles au public. Un résumé d’une décision de la Cour du Banc du Roi de l’Alberta (la « CBRA ») qui élargit la portée de l’exception relative aux renseignements accessibles au public en vertu de la loi albertaine sur la protection des renseignements personnels dans le secteur privé, ainsi que des répercussions sur l’entraînement des modèles d’IA.
• Nouveau guide pour les dépositaires de renseignements sur la santé de petits organismes de soins de santé en Ontario. Des conseils pratiques tirés du nouveau guide de la Commissaire à l’information et à la protection de la vie privée de l’Ontario (la « CIPVP de l’Ontario ») à l’intention des petits organismes de soins de santé en Ontario. 
• Nouveaux développements législatifs et réglementaires. Un sommaire de récentes propositions législatives et décisions relatives à l’application de la loi ayant des répercussions sur les domaines de la protection de la vie privée, de la cybersécurité, de l’accès à l’information et de la gouvernance de l’IA.

À l’horizon

Entrée en vigueur des modifications à la LAIPVP de l’Ontario le 1^er juillet 2025

Des modifications apportées à la LAIPVP en vertu du projet de loi 194, Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (le « projet de loi 194 ») sont entrées en vigueur le 1^er juillet (les « modifications »). La LAIPVP s’applique aux ministères provinciaux de l’Ontario, à ServiceOntario, aux hôpitaux et à diverses autres institutions prescrites, telles que des organismes, des commissions, des conseils et des sociétés (les « institutions assujetties à la LAIPVP »).

Les institutions assujetties à la LAIPVP devraient passer en revue leurs politiques et procédures en matière de protection de la vie privée afin de s’assurer qu’elles satisfont aux nouvelles obligations imposées par le projet de loi 194. Par exemple, les institutions assujetties à la LAIPVP doivent aborder les éléments suivants :

• Évaluation de l’impact sur la vie privée. Une évaluation écrite doit être préparée avant la collecte et le traitement de renseignements personnels (ci-après, les « renseignements visés ») (ou avant que toute modification importante soit apportée à un tel processus). L’évaluation doit présenter les fins prévues par le traitement des renseignements visés, l’autorité légale invoquée pour ce traitement, les types et les sources des renseignements visés, le titre de poste des particuliers qui auront accès aux renseignements visés, les limites ou restrictions auxquelles est assujetti le traitement des renseignements visés, les mesures de précaution et les pratiques utilisées pour protéger les renseignements visés, ainsi que les mesures prises en vue de prévenir, de réduire et d’atténuer le risque de préjudice auquel seraient exposés les particuliers dont les renseignements personnels sont traités. Les institutions assujetties à la LAIPVP devront assurer la formation des parties prenantes internes relativement à cette nouvelle exigence et créer un modèle pour ces évaluations. 
• Déclaration obligatoire des atteintes. Les institutions assujetties à la LAIPVP doivent aviser la CIPVP de l’Ontario et les particuliers concernés de tout vol, de toute perte ou de toute utilisation ou divulgation non autorisée de renseignements personnels dont l’institution assujettie à la LAIPVP a la garde ou le contrôle s’il est raisonnable dans les circonstances de croire qu’il existe un risque réel qu’un préjudice grave pour un particulier pourrait en résulter. Avant l’entrée en vigueur des modifications, le signalement des atteintes n’était que sur une base volontaire et ne faisait l’objet que d’une recommandation de la CIPVP de l’Ontario. Les institutions assujetties à la LAIPVP devraient élaborer un plan d’intervention en cas d’atteinte qui tiendra compte de ces nouvelles exigences; si un tel plan existe déjà, il devra être modifié à la lumière de ces dernières. 
• Protection des renseignements personnels. Les institutions assujetties à la LAIPVP doivent prendre des mesures raisonnables pour veiller à ce que les renseignements personnels dont elles ont la garde ou le contrôle soient protégés contre le vol, la perte, l’utilisation ou la divulgation non autorisée, ainsi que contre la duplication, la modification ou l’élimination non autorisée. Avant l’entrée en vigueur des modifications, il n’y avait aucune exigence en matière de protection des renseignements personnels qui s’appliquait à l’ensemble des institutions assujetties à la LAIPVP. Ces dernières devraient passer en revue les mesures de précaution en matière de protection de la vie privée qu’elles appliquent actuellement. Elles devraient également s’assurer que les ententes en matière de protection des données qu’elles ont conclues avec des fournisseurs tiers comportent des modalités adéquates en matière de protection, de signalement et d’audit permettant à l’institution assujettie à la LAIPVP de répondre de manière appropriée à toute demande de la CIPVP de l’Ontario.

De plus, la CIPVP de l’Ontario est désormais habilitée à examiner les pratiques relatives aux renseignements d’une institution assujettie à la LAIPVP si elle a reçu une plainte. La CIPVP de l’Ontario peut également ordonner à une institution assujettie à la LAIPVP de cesser ou de modifier une pratique relative aux renseignements; de retourner, de transférer ou de détruire les renseignements personnels; et de mettre en œuvre une pratique relative aux renseignements différente. Elle peut par ailleurs recommander à une institution assujettie à la LAIPVP des façons d’améliorer ses pratiques relatives aux renseignements. 

Bien qu’un règlement élargissant la portée des modifications n’ait pas encore été pris, il y a lieu de s’attendre à ce que le gouvernement de l’Ontario publie des lignes directrices sur la conformité à la LAIPVP au cours des prochaines semaines.

Aperçu des travaux parlementaires

À la suite de la tenue de l’élection fédérale en avril, la 45^e législature est en cours. Dans le cadre de la reprise des travaux de la Chambre des communes, de nouveaux membres ont été nommés au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, lequel a pour mandat de superviser le Commissariat à l’information du Canada et le Commissariat à la protection de la vie privée du Canada (le « CPVP »).

Avant la période d’ajournement d’été de la Chambre des communes, le ministre de la Sécurité publique a déposé le projet de loi C-8, lequel est sensiblement identique au projet C-26 qui est mort au feuilleton à la prorogation du Parlement plus tôt cette année. Si le projet de loi C-8 est adopté en sa forme actuelle, il édicterait la Loi sur la protection des cybersystèmes essentiels (la « LPCE »). La LPCE imposerait des obligations en matière de cybersécurité à certains exploitants de « systèmes critiques », notamment dans les secteurs des télécommunications et de l’énergie. Notre Bulletin Blakes intitulé La Chambre des communes se penche de nouveau sur un projet de loi en matière de cybersécurité résume les enjeux liés au projet de loi C-8.

Rien n’indique dans le discours du Trône et les commentaires initiaux du nouveau ministre de l’Intelligence artificielle et de l’Innovation numérique, Evan Solomon, si le gouvernement fédéral envisage de déposer de nouveau le projet de loi C-27 (voir notre Bulletin Blakes sur le projet de loi C-27 de 2022). Si l’on se fie toutefois à des commentaires récents du ministre Solomon selon lesquels le gouvernement fédéral prévoit de prendre une approche favorisant la croissance du secteur canadien de l’IA (plutôt qu’une approche visant à le réglementer), il est peu probable que la Loi sur l’intelligence artificielle et les données soit proposée de nouveau. Il y a lieu de s’attendre à ce que des modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») ainsi qu’à la Loi sur la protection des renseignements personnels applicable au secteur public, soient introduites au cours de la session parlementaire, mais la réforme du régime de protection des renseignements personnels ne semble pas être une priorité immédiate du gouvernement fédéral.

Fait intéressant à noter, le projet de loi C-5* du gouvernement fédéral, qui édicte (entre autres) la Loi sur le libre-échange et la mobilité de la main-d’œuvre au Canada (la « Loi ») et qui a pour but d’éliminer les obstacles fédéraux à la circulation des biens et à la prestation des services entre les provinces et territoires du pays, pourrait être interprété comme étant applicable aux activités visées par le champ d’application de la LPRPDE. Sous réserve des règlements connexes éventuellement pris, la Loi, qui a été présentée au Sénat, prévoit que les biens et les services fournis conformément aux exigences provinciales ou territoriales relatives à la circulation interprovinciale des biens ou à la prestation interprovinciale des services seront dispensés des exigences fédérales comparables en la matière. Il reste à voir si le gouvernement fédéral a l’intention de faire en sorte que cette exemption s’applique aux services visés par les lois provinciales en matière de protection des renseignements personnels, telles que celles de la Colombie-Britannique, de l’Alberta et du Québec. Dans de futures éditions de l’infolettre Gouvernail des données de Blakes, nous fournirons des mises à jour sur les enjeux possibles liés à la compétence du CPVP sur les questions relatives à la protection de la vie privée dans le secteur privé.

*Le projet de loi C-5 a obtenu la sanction royale le 26 juin 2025.

Perspectives en vedette

Décision de la CAI sur la vidéosurveillance dans les véhicules de livraison

Le 20 mai 2025, la CAI a rendu une décision concernant l’utilisation par une société de livraison d’un système de vidéosurveillance dans les véhicules de livraison de cette dernière. La CAI a conclu que la société n’avait pas suffisamment minimisé la collecte de renseignements personnels au moyen de ce système. Dans notre Bulletin Blakes intitulé Commission d’accès à l’information du Québec : Décision sur la vidéosurveillance dans les véhicules de livraison, nous examinons cette décision et analysons les répercussions de celle-ci sur les entreprises exerçant des activités au Québec.

Élargissement de la portée de l’exception relative aux renseignements accessibles au public par un tribunal albertain

Dans l’affaire Clearview AI Inc v. Alberta (Information and Privacy Commissioner), la CBRA a élargi la portée de l’exception relative aux renseignements accessibles au public (publicly available) à l’exigence de consentement prévue dans la loi albertaine intitulée Personal Information Protection Act, pour la collecte, l’utilisation ou la communication des renseignements personnels d’un particulier, afin d’inclure dans les renseignements accessibles au public les renseignements publiés par un particulier sur Internet, y compris sur des sites de médias sociaux, sans paramétrage de confidentialité. Dans notre Bulletin Blakes intitulé Un tribunal albertain élargit la portée de l’exception relative aux renseignements accessibles au public, nous nous penchons sur cette décision et soulignons les répercussions qu’elle pourrait avoir sur le développement de modèles d’IA. 

Nouveau guide de la CIPVP de l’Ontario à l’intention des dépositaires de renseignements sur la santé de petits organismes de soins de santé

La CIPVP de l’Ontario a publié un nouveau guide de gestion de la protection de la vie privée (le « Guide ») ayant pour but d’aider les petits organismes de soins de santé à remplir les obligations en matière de protection de la vie qui leur incombent en vertu de la législation ontarienne sur la protection des renseignements personnels sur la santé. Notre Bulletin Blakes intitulé Ontario : Nouveau guide de gestion de la protection de la vie privée à l’intention des petits organismes de soins de santé fait un survol du Guide et résume de quelle façon les dépositaires de renseignements sur la santé peuvent l’utiliser dans le cadre de leur programme de gestion de la protection de la vie privée.

Nouveaux développements législatifs et réglementaires

Principaux développements juridiques

• Les travaux parlementaires reprendront le 15 septembre 2025, après la période d’ajournement d’été.
• Le CPVP a remis au Parlement son rapport annuel 2024-2025; ce rapport comprend les plans relatifs à la modernisation du CPVP qui permettront à ce dernier de réagir plus efficacement aux nouveaux enjeux.
• Un projet de loi albertain (Bill 46) a reçu la sanction royale le 15 mai 2025; ce projet de loi modifie la Access to Information Act et la Protection of Privacy Act de l’Alberta, lesquelles ont été adoptées récemment. 
• Le règlement albertain intitulé Security Management for Critical Infrastructure Regulation, pris en vertu de la Responsible Energy Development Act de l’Alberta, est entré en vigueur le 31 mai 2025. Ce règlement établit des exigences pour des installations essentielles précises relativement à la mise en place d’un programme de gestion de la sécurité conformément à la norme CSA Z246.1, y compris des mesures de cybersécurité. Restez à l’affût d’un prochain Bulletin Blakes sur ce règlement.

Nouvelles décisions et orientations

• Le CPVP a lancé une consultation exploratoire sur l’établissement d’un code canadien sur la protection des renseignements personnels des enfants; ce code clarifiera les obligations prévues à la LPRPDE et présentera les attentes du CPVP en ce qui concerne la façon dont les organisations gèrent les renseignements personnels des enfants.
• Le Commissaire à la vie privée du Canada (le « Commissaire ») et le Commissaire à l’information du Royaume-Uni ont publié un survol des conclusions tirées de l’enquête qu’ils ont menée conjointement sur l’atteinte à la sécurité des données à l’échelle mondiale survenue chez 23andMe, une société qui vend des services de dépistage génétique directement aux consommateurs. Le Commissaire a conclu que 23andMe a contrevenu à l’article 10.1 de la LPRPDE et aux articles 2 et 3 du Règlement sur les atteintes aux mesures de sécurité, compte tenu des lacunes dans le signalement de l’atteinte au Commissaire et les avis envoyés aux particuliers touchés.
• La Cour d’appel de la Colombie-Britannique (la « CACB ») a confirmé qu’aucune preuve de préjudice n’était requise en vertu de la Privacy Act de la Colombie-Britannique pour l’octroi de dommages-intérêts par suite d’une violation de cette loi; la CACB a ainsi confirmé une décision de première instance octroyant des dommages-intérêts globaux de 15 000 $ CA à chaque membre d’une action collective, et ce, sans preuve de préjudice.
• Le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique a publié un guide (disponible uniquement en anglais) sur les demandes d’accès aux renseignements personnels de personnes décédées.
• Dans son rapport d’enquête F2025-IR-01 (disponible uniquement en anglais), le Commissaire à l’information et à la protection de la vie privée de l’Alberta (le « CIPVP de l’Alberta ») a conclu que le gouvernement de l’Alberta avait manqué aux obligations qui lui incombent en vertu de la loi albertaine intitulée Freedom of Information and Protection of Privacy Act. Dans le rapport d’enquête, le CIPVP de l’Alberta indique que des organismes publics gouvernementaux avaient refusé à tort 28 demandes d’accès à l’information et présente ses recommandations visant à remédier à la non-conformité à cette loi.

Nous joindre

Pour toute question, n’hésitez pas à vous adresser à l’avocat de Blakes avec lequel vous communiquez habituellement ou à un membre du groupe Protection de la vie privée et des données de Blakes. Afin de recevoir par courriel les perspectives du groupe Protection de la vie privée et des données, y compris l’infolettre Gouvernail des données de Blakes, inscrivez-vous ici.