Gouvernail des données de Blakes : mai 2025

Bienvenue à la toute première édition de l’infolettre Gouvernail des données de Blakes, une publication du groupe Protection de la vie privée et des données de Blakes. Cette infolettre a pour but d’effectuer un survol des développements récents relatifs à la législation canadienne en matière de protection de la vie privée, de cybersécurité, d’accès à l’information et de gouvernance de l’intelligence artificielle (« IA »), ainsi que de fournir aux lecteurs des pistes de réflexion concrètes sur les diverses questions soulevées par ces développements.

Dans ce numéro

• Transferts transfrontaliers des données. Ce que votre entreprise doit savoir au sujet du traitement des renseignements personnels à l’extérieur du Canada.
• Vérification numérique de l’identité dans le secteur des services financiers. Quelques pratiques exemplaires permettant aux organisations de s’assurer que leurs solutions de vérification de l’identité sont conformes aux lois canadiennes en matière de protection de la vie privée.
• Nouvel outil d’autoévaluation des risques d’atteinte à la vie privée déployé par le Commissariat à la protection de la vie privée du Canada. Un éclairage sur l’utilisation de ce nouvel outil mis à la disposition des organisations par un organisme de réglementation fédéral.
• Lignes directrices sur le recrutement d’employés au Québec. Un survol des lignes directrices sur le traitement des renseignements personnels dans un contexte de recrutement au Québec. 
• Modifications au RRPCFAT. De nouvelles exigences en vertu du Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes (le « RRPCFAT ») relativement à l’échange, entre entités réglementées, de renseignements personnels d’un individu à l’insu de ce dernier.
• Nouveaux développements législatifs et réglementaires. Un sommaire de récentes propositions législatives et décisions relatives à l’application de la loi ayant des répercussions sur les domaines de la protection de la vie privée, de la cybersécurité, de l’accès à l’information et de la gouvernance de l’IA.

À l’horizon

Transferts transfrontaliers des données

Les marchés mondiaux étant confrontés à de nouvelles pressions économiques, notamment des tarifs imprévus et des perturbations commerciales, il y a lieu de veiller à rester bien au fait des obligations en matière de transfert de données que prévoient les lois canadiennes sur la protection des renseignements personnels. Voici donc, à titre de rappel, cinq points clés qui vous aideront à composer avec le traitement transfrontalier des données : 

1. Les lois sur la protection des renseignements personnels dans le secteur privé permettent généralement le transfert des renseignements personnels à des fournisseurs de services à l’extérieur du Canada. Les organisations assujetties aux lois fédérales et/ou provinciales canadiennes sur la protection des renseignements personnels dans le secteur privé doivent satisfaire à certaines exigences lorsqu’elles transfèrent des renseignements personnels à un fournisseur de services à l’extérieur du Canada. Entre autres, elles peuvent être tenues de conclure certaines ententes écrites, de faire preuve de transparence au sujet de leurs pratiques de traitement transfrontalier des renseignements personnels et, dans certaines circonstances, de réaliser une évaluation des facteurs relatifs à la vie privée.
2. Le transfert de renseignements personnels à l’extérieur du pays par des entités du secteur public peut être assujetti à des restrictions prévues par la loi ou à des politiques gouvernementales, ou encore peut devoir faire l’objet d’une autorisation gouvernementale. Comme c’est le cas pour les entités du secteur privé, les entités du secteur public doivent satisfaire à certaines exigences pour pouvoir transférer des renseignements personnels à des fournisseurs de services à l’extérieur du Canada, lesquelles exigences peuvent comprendre la conclusion d’une entente écrite et la réalisation d’une évaluation des facteurs relatifs à la vie privée. De plus, des politiques gouvernementales peuvent imposer des restrictions relativement au transfert des renseignements personnels à l’extérieur du Canada par des entités du secteur public. En Nouvelle-Écosse, par exemple, les entités du secteur public et leurs fournisseurs de services doivent veiller à ce que les renseignements personnels sous leur garde et leur contrôle soient stockés et accessibles uniquement au Canada. Cependant, certaines exceptions peuvent s’appliquer, notamment lorsque le dirigeant d’une entité du secteur public détermine que le traitement des renseignements personnels à l’extérieur du Canada satisfait aux exigences requises et produit un rapport à l’intention du ministre de la Justice de la Nouvelle-Écosse. 
3. Les exigences applicables à la divulgation de renseignements personnels à l’extérieur du Canada pourraient différer de celles qui s’appliquent au transfert de renseignements personnels à des fournisseurs de services à l’étranger. Une entité qui divulgue (c’est-à-dire, qui communique) des renseignements personnels à une autre entité à l’extérieur du Canada afin que ces renseignements soient sous le contrôle de cette dernière pourrait être assujettie à des exigences propres à son secteur d’activité. Par exemple, aux termes de la Loi de 2004 sur la protection des renseignements personnels sur la santé en vigueur en Ontario, les renseignements personnels sur la santé d’un particulier ne peuvent être divulgués à l’extérieur de la province que si certaines conditions sont satisfaites.
4. Des exigences en matière de résidence des données peuvent être prévues par contrat. Même lorsque les lois ou les politiques gouvernementales permettent le transfert des renseignements personnels à l’extérieur du Canada, une entité – notamment une entité agissant en qualité de fournisseur de services – peut être assujettie à des restrictions contractuelles exigeant que les renseignements personnels demeurent au Canada. Les entités devraient passer en revue leurs engagements contractuels avant de transférer des renseignements personnels à l’extérieur du Canada et d’accéder à des renseignements personnels stockés à l’extérieur du pays. 
5. Soyez transparents au sujet du traitement des renseignements personnels à l’extérieur du Canada. Les organisations devraient veiller à ce que les personnes concernées soient avisées du fait que leurs renseignements personnels pourraient être traités dans un autre pays que le Canada et que des organismes d’application de la loi et des agences de sécurité nationale de ce pays pourraient accéder à leurs renseignements.

Perspectives en vedette

Vérification numérique de l’identité dans le secteur des services financiers

Pour se conformer à leurs obligations prévues par la loi et protéger leurs activités, les entreprises de services financiers de tous les types s’appuient sur des solutions leur permettant de vérifier l’identité de manière exacte. Or, elles doivent veiller aussi à ce que leur utilisation de telles solutions soit conforme aux lois sur la protection de la vie privée applicables. Dans notre Bulletin Blakes intitulé Pratiques exemplaires liées à la vérification numérique de l’identité dans le secteur canadien des services financiers, nous présentons quelques pratiques exemplaires qui aideront votre organisation à s’assurer que ses solutions de vérification de l’identité sont conformes aux lois canadiennes.

Protection de la vie privée au Canada : Nouvel outil d’autoévaluation des risques d’atteinte à la vie privée

Le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a déployé un outil d’évaluation du risque réel de préjudice grave à la vie privée dans le but d’aider les organisations assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») à évaluer si une atteinte entraîne un risque réel de préjudice grave pour des individus, ce qui donnerait lieu à des obligations de signalement. Dans notre Bulletin Blakes récent intitulé Protection de la vie privée au Canada : Nouvel outil d’autoévaluation des risques d’atteinte à la vie privée, nous présentons cet outil et apportons un éclairage utile sur l’intégration des orientations du CPVP à vos plans d’intervention en cas d’atteinte.

Nouvelles lignes directrices au Québec relativement à la collecte de renseignements personnels en contexte de recrutement

De nouvelles lignes directrices publiées par la Commission de l’accès à l’information du Québec (la « CAI ») permettent de mieux comprendre la position de cette dernière quant à la collecte de renseignements personnels dans le cadre du recrutement d’employés. Ces lignes directrices confirment que la CAI considère qu’une telle collecte doit être menée par les employeurs avec précaution et dans le respect de la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP ») et de la Charte des droits et libertés de la personne du Québec. Dans notre Bulletin Blakes intitulé Collecte de renseignements personnels en contexte de recrutement au Québec, nous résumons les nouvelles lignes directrices de la CAI.

Nouvelles exigences en vertu du RRPCFAT concernant l’échange de renseignements personnels

Le 4 mars 2025, sont entrées en vigueur des modifications au RRPCFAT relativement à l’échange, entre entités réglementées, de renseignements personnels d’un individu à l’insu de ce dernier. Une entité réglementée qui souhaite communiquer de tels renseignements à une autre entité réglementée en vue de détecter ou de décourager le recyclage des produits de la criminalité, le financement des activités terroristes ou le contournement des sanctions doit élaborer et mettre en œuvre un code de pratique interne régissant ce type de communications. Ce code doit être conforme aux exigences du RRPCFAT et être approuvé par le CPVP. Nous résumons ces modifications dans notre Bulletin Blakes intitulé Recyclage des produits de la criminalité et financement des activités terroristes : nouvelle série de modifications.

Nouveaux développements législatifs et réglementaires

Principaux développements juridiques

• Il est attendu que le Parlement reprendra ses travaux en mai à la suite de la tenue de l’élection fédérale.
• Des modifications à la Loi sur l’accès à l’information et la protection de la vie privée de l’Ontario entrent en vigueur le 1^er juillet 2025.
• Des modifications récentes à la Freedom of Information and Protection of Privacy Act de l’Alberta ne sont pas encore entrées en vigueur.
• Des modifications à la Freedom of Information and Protection of Privacy Act de la Nouvelle-Écosse (en anglais) ont reçu la sanction royale.

Nouvelles décisions et orientations

• CAI – Metro inc. : Par suite d’une enquête menée en vertu de la LPRPSP et de la Loi concernant le cadre juridique des technologies de l’information (la « LCCJTI ») du Québec, la CAI a confirmé qu’il fallait donner une interprétation large de l’article 44 de la LCCJTI. Elle a conclu que le projet de reconnaissance faciale de Metro inc. contreviendrait à la LCCJTI et a interdit à Metro inc. d’aller de l’avant avec ce projet. Ce dernier comportait la mise en service d’une banque de caractéristiques ou de mesures biométriques permettant d’identifier, au moyen de la reconnaissance faciale, les personnes ayant déjà été impliquées dans des événements de vol à l’étalage ou de fraude dans les établissements de l’entreprise, sans le consentement exprès de ces personnes. La CAI ne s’est pas prononcée sur la conformité du projet à la LPRPSP.
• Clearview AI Inc. v Information and Privacy Commissioner for British Columbia (en anglais) : Dans cette affaire, la Cour suprême de la Colombie-Britannique (la « CSCB ») a confirmé une ordonnance rendue par le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (le « CIPVPCB ») qui exigeait que la société Clearview AI Inc. (« Clearview ») cesse d’offrir ses services de reconnaissance faciale en Colombie-Britannique et qu’elle mette tout en œuvre pour 1) cesser de recueillir, d’utiliser et de communiquer les renseignements personnels de personnes dans cette province; et 2) supprimer les renseignements personnels recueillis auprès de personnes dans cette province sans leur consentement. Clearview avait utilisé un algorithme pour prélever des images de visages et les métadonnées connexes à partir de diverses sources en ligne, notamment des médias sociaux, en vue de créer une base de données de reconnaissance faciale. Clearview avait également vendu des services de reconnaissance faciale à des organismes d’application de la loi au Canada, entre autres en Colombie-Britannique. En confirmant l’ordonnance rendue par le CIPVPCB, la CSCB a noté que la législation en matière de protection de la vie privée de la Colombie-Britannique s’applique aux sociétés qui fournissent des services à des entités dans cette province et qui y exercent des activités, même si ces sociétés n’ont pas d’employés, de bureaux ou de serveurs dans la province. De plus, la CSCB a conclu que les renseignements personnels se trouvant sur les sites Web de médias sociaux ne constituent pas des renseignements « auxquels le public a accès » en vertu de la législation en matière de protection de la vie privée de la province. Par conséquent, les entreprises doivent obtenir le consentement auprès des personnes concernées afin de recueillir de tels renseignements.
• G.D. v South Coast British Columbia Transportation Authority (en anglais) : Dans cette affaire, la Cour d’appel de la Colombie-Britannique (la « CACB ») a accueilli l’appel d’une décision rejetant l’autorisation d’une action collective demandée à la suite d’une cyberattaque perpétrée par des pirates informatiques, laquelle a donné lieu à une atteinte aux renseignements personnels d’employés et de clients de la South Coast British Columbia Transportation Authority (« Translink »). Dans sa décision, la CACB a accueilli l’appel et infirmé la conclusion de la juge de première instance selon laquelle les revendications des demandeurs en vertu de la législation en matière de protection de la vie privée de la Colombie-Britannique étaient vouées à l’échec. Elle a statué qu’il était possible que le défaut pour un consignataire de données de prendre des mesures raisonnables en vue de protéger les renseignements personnels qu’il recueille, menant à une violation des données, constitue un délit civil d’atteinte à la vie privée. La CACB a également statué qu’il était possible que Translink ait un devoir de diligence envers les demandeurs, qu’il s’agisse d’employés ou de clients, relativement à la protection de leurs renseignements personnels, ce qui permettait d’établir une cause d’action en négligence.

Nous joindre

Pour toute question, n’hésitez pas à vous adresser à l’avocat de Blakes avec lequel vous communiquez habituellement ou à un membre du groupe Protection de la vie privée et des données de Blakes.

Vous comptez assister au Symposium canadien sur la protection de la vie privée de l’IAPP? Nous y serons également et serions heureux de vous y voir!