Revue de l’année 2023 du droit canadien de la protection de la vie privée

L’année 2023 a été marquée par d’importants changements dans le droit canadien de la protection de la vie privée et des données. Comme nous l’avons fait les années précédentes, nous soulignons la Journée de la protection des données en résumant les développements les plus importants de 2023 dans ce domaine et en proposant un aperçu de ce qui pourrait s’y produire à l’avenir. 

Modifications à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec en vigueur 

Le 22 septembre 2023, la deuxième série de modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé  du Québec (la « LPRPSP ») par le projet de loi n 64 (devenu la Loi 25) est entrée en vigueur.

Consultez notre Bulletin Blakes de septembre 2023 intitulé Nouvelles obligations en matière de protection des renseignements personnels au Québec : votre organisation est-elle prête? pour en savoir davantage.

Désormais, les organisations assujetties à la LPRPSP sont notamment tenues de faire ce qui suit :

• Élaborer et mettre en œuvre des politiques et des pratiques internes en matière de gouvernance relativement à la protection des renseignements personnels;
• Procéder à une évaluation des facteurs relatifs à la vie privée pour tout projet visant l’acquisition, le développement ou la refonte de systèmes d’information ou de prestation de services électroniques comportant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels;
• Avant de communiquer des renseignements personnels à l’extérieur du Québec, procéder à une évaluation des facteurs relatifs à la vie privée, laquelle évaluation doit tenir compte de la sensibilité du renseignement, de la finalité de l’utilisation de ce dernier, des mesures de protection dont le renseignement bénéficierait, ainsi que le régime juridique applicable dans le territoire où ce renseignement serait communiqué;
• Si l’organisation recueille des renseignements personnels au moyen d’une technologie qui permet d’identifier ou de localiser une personne ou encore d’effectuer un profilage de celle-ci, notamment au moyen de témoins non nécessaires, informer la personne concernée du recours à cette technologie et des moyens offerts pour activer ces fonctions.
• Si l’organisation offre des produits ou des services technologiques au public, veiller à ce que les paramètres de confidentialité de ces produits ou services assurent le plus haut niveau de confidentialité sans aucune intervention de la part de la personne concernée.

En plus des pouvoirs d’application conférés par la LPRPSP, la Loi 25 introduit un régime de sanctions administratives pécuniaires (les « sanctions »). La sanction maximale d’une société est de 10 M$ CA ou de 2 % du chiffre d’affaires mondial de l’exercice financier précédent, selon le plus élevé de ces montants. La Commission d’accès à l’information (la « Commission ») a publié un cadre général afin de jeter un peu de lumière sur la façon dont ces sanctions seront appliquées. En date de janvier 2024, la Commission n’avait publié aucune décision relative à l’application de la loi en lien avec les nouvelles modifications. 

Certaines violations plus flagrantes de la LPRPSP constituent des infractions. Un tribunal peut imposer, pour de telles infractions, des amendes pouvant atteindre 25 M$ CA ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent, selon le plus élevé de ces montants. Ces amendes sont portées au double en cas de récidive. Il convient de noter que les administrateurs et les dirigeants peuvent également être tenus responsables.

Mise à jour des lignes directrices de la Commission 

En octobre 2023, la Commission a publié ses lignes directrices relatives au consentement, offrant des explications détaillées des critères de validité du consentement devant être obtenu en vertu de la LPRPSP. Bien que ces lignes directrices ne soient pas contraignantes, elles fournissent des pratiques exemplaires relativement à l’obtention d’un consentement. Les organisations assujetties à la LPRPSP devraient en prendre connaissance. 

Pour aider les entités des secteurs privé et public à se conformer aux modifications apportées à la LPRPSP, la Commission a considérablement mis à jour son site Web en y ajoutant de nouvelles indications.

Pour en savoir davantage, consultez notre Bulletin Blakes de septembre 2023 intitulé L’organisme de réglementation de la protection des renseignements personnels du Québec publie de nouvelles indications.

Ces nouvelles indications comprennent un guide sur l’évaluation des facteurs relatifs à la vie privée, incluant un modèle générique de rapport, ainsi qu’un guide pour rédiger une politique de confidentialité.

Entrée en vigueur de la Intimate Images Protection Act de la Colombie-Britannique

La loi de la Colombie-Britannique intitulée Intimate Images Protection Act (la « Loi ») et le règlement y afférent intitulé Intimate Images Protection Regulation (le « Règlement ») entreront en vigueur le 29 janvier 2024. Bien que la distribution d’une image intime sans le consentement du sujet de cette dernière constitue une infraction criminelle en vertu du Code criminel, la Loi et le Règlement prévoient un recours civil pour les particuliers dont des images intimes ont été distribuées sans leur consentement ou qui sont menacés d’une telle distribution. Aux termes de la Loi, un particulier peut poursuivre une cause d’action pour dommages-intérêts. De plus, la Loi établit un processus expéditif par lequel un particulier peut faire supprimer, retirer ou désindexer des images intimes dont il est le sujet qui ont été publiées sans son consentement. La Loi touche également les « intermédiaires sur Internet » (internet intermediaries), c’est-à-dire les organisations qui hébergent ou indexent du contenu de tiers au moyen d’une plateforme en ligne. Comme cette définition englobe la plupart des plateformes de médias sociaux, des plateformes d’hébergement de vidéos, des sites Web et des moteurs de recherche, tous les intermédiaires sur Internet auraient avantage à prendre connaissance de la Loi et du Règlement.

Pour en savoir davantage, consultez notre Bulletin Blakes de janvier 2024 intitulé Entrée en vigueur de la Intimate Images Protection Act de la Colombie-Britannique.

Nouveau régime de pénalités administratives pécuniaires en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario

En novembre 2023, le gouvernement de l’Ontario a publié un règlement en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario (la « LPRPS »), lequel règlement établit les critères et les montants relativement aux pénalités administratives pécuniaires (les « PAP ») déterminées par le commissaire à l’information et à la protection de la vie privée en Ontario (le « CIPVP ») pour une contravention à la LPRPS ou aux règlements y afférents. Depuis le 1^er janvier 2024, le montant maximal que peut atteindre une PAP en vertu de la LPRPS est de 50 000 $ CA pour une personne physique et de 500 000 $ CA pour une autre entité juridique, y compris les sociétés médicales professionnelles et les exploitants de groupes de praticiens de la santé. Toutefois, le CIPVP peut augmenter le montant d’une PAP d’un montant équivalant à celui du bénéfice pécuniaire que la personne a acquis par suite de la contravention.

Le CIPVP a publié des orientations au sujet de ces nouveaux pouvoirs et a indiqué qu’il n’aura pas recours aux PAP par défaut en cas de contravention à la LPRPS. En général, les PAP serviront uniquement de mesures d’application de la loi dans le cas des contraventions les plus graves et non dans le cas des erreurs commises par inadvertance et des contraventions ponctuelles.

Pour en savoir davantage, consultez notre Bulletin Blakes de janvier 2024 intitulé Mise à jour de la LPRPS (Ontario) : entrée en vigueur des pénalités administratives pécuniaires.

Le gouvernement fédéral propose un code de conduite volontaire relatif aux systèmes d’intelligence artificielle générative 

Au cours de la dernière année, les systèmes d’intelligence artificielle (« IA ») générative ont connu de fortes avancées sur le plan des capacités et leur adoption a été de plus en plus répandue. En réponse à ces développements et à la lenteur à laquelle le projet de loi visant à édicter la Loi sur l’intelligence artificielle et les données (la « LIAD ») suit son cours, le gouvernement du Canada a annoncé la tenue d’une consultation sur un projet de code de pratique pour les systèmes d’IA générative.

Pour en savoir davantage, consultez notre Bulletin Blakes de septembre 2023 intitulé Le gouvernement du Canada sollicite des commentaires sur le code de pratique pour les systèmes d’IA générative. 

Cette consultation a donné lieu à la publication du Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés. Dans le cadre de cet engagement volontaire, les développeurs et les gestionnaires de systèmes génératifs avancés s’engagent à s’efforcer d’atteindre les résultats suivants :

• Responsabilisation. Les entreprises comprennent leur rôle à l’égard des systèmes qu’elles développent ou gèrent, mettent en place des systèmes appropriés de gestion des risques et collaborent avec d’autres entreprises au besoin pour éviter qu’il y ait des lacunes.
• Sécurité. Des évaluations des risques doivent être réalisées pour les systèmes, et les mesures d’atténuation nécessaires doivent être prises avant le déploiement pour veiller à ce que l’exploitation des systèmes soit sécuritaire.
• Justice et équité. L’incidence potentielle en matière de justice et d’équité est évaluée et gérée à différentes étapes de l’élaboration et du déploiement des systèmes.
• Transparence. Suffisamment de renseignements sont publiés pour permettre aux consommateurs de prendre des décisions éclairées et aux experts d’évaluer si les risques ont été adéquatement gérés.
• Surveillance humaine. L’utilisation du système est surveillée après le déploiement, et des mises à jour sont effectuées au besoin pour gérer les risques qui se matérialisent. 
• Validité et fiabilité. Les systèmes fonctionnent comme prévu, sont sécurisés contre les cyberattaques, et leur comportement en réponse aux diverses tâches ou situations auxquelles ils sont susceptibles d’être exposés est compris.

En date de janvier 2024, 22 organisations et entreprises canadiennes ont adopté ce code volontaire.

Incertitude entourant le projet de loi C-27

Le projet de loi déposé par le gouvernement fédéral visant à moderniser la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), notamment en réglementant les systèmes d’IA par l’introduction de la LIAD, demeure encore à l’étape de l’examen en comité du processus législatif. 

Déposée en juin 2022, la Loi de 2022 sur la mise en œuvre de la Charte du numérique (le « projet de loi C-27 ») a été transmise au Comité permanent de l’industrie et de la technologie (le « Comité ») à des fins d’examen en avril 2023. Le projet de C-27 a depuis fait l’objet de débats considérables et d’une attention particulière lors de 15 réunions tenues par le Comité à l’automne 2023. Ce processus comprenait la proposition, par le gouvernement fédéral, d’importantes modifications au projet de la LIAD, lesquelles changeraient grandement le cadre réglementaire. 

Pour en savoir davantage, consultez notre Bulletin Blakes de juin 2022 intitulé Nouveau projet de loi fédéral modernisant les exigences de protection des renseignements personnels dans le secteur privé.

De plus, le 15 janvier 2024, la Commission européenne a annoncé la conclusion de son examen de sa décision d’adéquation relativement à la protection des renseignements personnels transférés depuis l’Union européenne (l’« UE ») vers le Canada. Dans son rapport, la Commission européenne a déterminé qu’aux fins de l’article 45 du Règlement général sur la protection des données (le « RGPD ») de l’Union européenne, les données traitées conformément au RGPD peuvent être transférées de l’UE au Canada sans que des mesures de protection supplémentaires ne soient nécessaires (par exemple, des règles contractuelles types) ou sans qu’une autorisation de transfert des données ne soit requise. Par conséquent, les données peuvent continuer de circuler librement depuis l’UE vers le secteur privé canadien. La question de savoir si la Commission européenne allait continuer de reconnaître le caractère adéquat de la LPRPDE constituait un facteur important de la modernisation du régime de cette loi qui était proposée par le projet de loi C-27. Étant donné que l’examen du caractère adéquat de la LPRPDE a été conclu et qu’aucune modification n’est requise à l’égard de cette dernière, il reste à voir si le projet de modernisation du régime de cette loi demeure une priorité pour le gouvernement fédéral.

Pour en savoir davantage, communiquez avec :

ou un autre membre de notre groupe Protection de la vie privée et des données.