Revue de l’année 2024 du droit canadien de la protection de la vie privée

Comme dans les années passées, notre équipe souligne la Semaine de la protection des données en résumant les principaux développements survenus dans ce domaine en 2024 au Canada et en présentant un aperçu des répercussions que pourrait avoir une année électorale bien chargée sur le droit canadien de la vie privée en 2025. 

Alberta

Remaniement du processus de signalement des atteintes à la vie privée

En avril 2024, l’Office of the Information and Privacy Commissioner of Alberta (l’« OIPC de l’Alberta ») a remanié son processus de signalement des atteintes à la vie privée. Auparavant, l’OIPC de l’Alberta rendait une décision d’avis d’incident à l’égard de chaque incident qui lui était signalé et qui entraînait un risque réel de préjudice grave; ces décisions étaient publiées par l’OIPC de l’Alberta sur son site Web. Aux termes du processus remanié, une décision d’avis d’incident ne sera rendue que si l’entité n’a pas avisé les particuliers concernés de l’incident ou si l’avis remis est lacunaire. Du reste, les décisions d’avis d’incidents ne seront plus publiées systématiquement en ligne; leur publication sera plutôt laissée à la discrétion du Commissaire à l’information et à la protection de la vie privée de l’Alberta. 

Remplacement de la loi provinciale sur l’accès à l’information et la protection de la vie privée

En décembre 2024, l’Assemblée législative de l’Alberta a adopté deux projets de loi qui abrogeraient la loi provinciale actuelle intitulée Freedom of Information and Protection of Privacy Act (la « Loi FOIP ») et remplaceraient cette dernière par deux lois distinctes, soit la Protection of Privacy Act (la « Loi PPA ») portant sur la protection des renseignements personnels et l’Access to Information Act (la « Loi ATIA ») portant sur l’accès à l’information. 

En vertu de la Loi PPA, les organismes publics seraient assujettis à de nouvelles obligations en matière de protection des renseignements personnels, y compris :

• l’interdiction de vendre des renseignements personnels en toute circonstance, y compris à des fins de marketing ou de publicité; 
• l’obligation d’adopter une approche de « protection de la vie privée dès la conception » (privacy by design) au moment de créer des programmes et des services; 
• l’obligation d’établir et de mettre en œuvre un programme en matière de gestion des renseignements personnels, lequel comprendrait des politiques et des procédures visant à renforcer la conformité à la Loi PPA; 
• l’obligation d’aviser les Albertains si l’organisme public a l’intention d’utiliser des renseignements personnels dans un système automatisé pour générer du contenu, prendre des décisions ou encore faire des recommandations ou des prédictions;
• l’obligation d’effectuer des évaluations des facteurs relatifs à la vie privée dans certains cas et de les soumettre à l’OIPC de l’Alberta; 
• l’obligation d’aviser les particuliers touchés, l’OIPC de l’Alberta et le ministre responsable de la Loi PPA de tout incident lié à la protection de la vie privée pouvant entraîner un risque réel de préjudice grave.

Par rapport aux dispositions en matière d’accès à l’information prévues à la Loi FOIP, la nouvelle Loi ATIA augmenterait les exceptions concernant la communication de renseignements sous la garde ou le contrôle d’un organisme public et confèrerait aux organismes publics de nouveaux pouvoirs importants pour gérer les demandes d’accès. Par exemple, la Loi ATIA permettrait désormais aux organismes publics de refuser les demandes d’accès à l’information pour diverses raisons, et ce, sans l’approbation de l’OIPC de l’Alberta, notamment si une telle demande nuit de façon déraisonnable au déroulement des activités de l’organisme public concerné, si elle est soumise à répétition ou de manière systématique, ou encore si elle est floue ou incompréhensible. De plus, la Loi ATIA limiterait l’étendue de l’information pouvant être fournie aux demandeurs, puisqu’elle obligerait les organismes publics à accorder l’accès seulement s’il est possible de le faire au moyen du matériel informatique, des logiciels et de l’expertise technique dont dispose habituellement l’organisme public. Contrairement à ceux d’autres ressorts, les organismes publics de l’Alberta ne seraient plus tenus de créer des documents contenant les renseignements fournis en réponse à une demande d’accès à l’information.

Pour en savoir davantage, consultez notre Bulletin Blakes intitulé Protection des renseignements et accès à l’information dans le secteur public en Alberta : nouveautés pour les entreprises. 

Ontario

Nouvelle législation visant la protection de la vie privée et l’utilisation des systèmes d’intelligence artificielle dans le secteur public

En novembre 2024, le projet de loi 194, Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public a reçu la sanction royale. Ce projet de loi comporte des modifications qui transforment considérablement la Loi sur l’accès à l’information et la protection de la vie privée (la « LAIPVP »). De plus, il édicte la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique (la « LRSCMN »).

Les modifications apportées à la LAIPVP introduisent plusieurs nouvelles obligations incombant aux institutions, y compris :

• l’obligation d’aviser le commissaire à l’information et à la protection de la vie privée de l’Ontario (le « CIPVP de l’Ontario ») et les particuliers touchés des atteintes à la vie privée présentant un risque réel de préjudice grave pour un particulier; 
• l’obligation générale de protéger les renseignements dont les institutions ont la garde ou le contrôle contre le vol, la perte et l’utilisation ou la divulgation non autorisée, ainsi que contre la copie, la modification ou l’élimination non autorisée;
• l’obligation, avant de recueillir des renseignements personnels, d’effectuer une évaluation écrite qui tient compte de divers éléments prescrits dans la LAIPVP, notamment les mesures que doit prendre l’institution pour atténuer les risques. Cette évaluation doit être fournie au CIPVP de l’Ontario sur demande de ce dernier.

La LRSCMN régit quant à elle l’utilisation des systèmes d’intelligence artificielle par les entités du secteur public de l’Ontario. Dans cette loi, le terme « système d’intelligence artificielle » est défini comme étant « un système qui, pour des objectifs explicites ou implicites, fait des déductions à partir d’entrées qu’il reçoit afin de générer des résultats tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels » ou les autres systèmes prescrits. De plus, aux termes de la LRSCMN, l’utilisation d’un tel système comprend l’utilisation d’un système qui est mis à la disposition du public, qui est élaboré ou obtenu par l’entité du secteur public, ou qui est élaboré par un tiers pour le compte de cette dernière. Les exigences et obligations incombant aux entités du secteur public de l’Ontario qui utilisent des systèmes d’intelligence artificielle seront prescrites par les règlements pris en application de la LRSCMN, lesquels n’ont pas encore été publiés.

Les modifications à la LAIPVP et la LRSCMN entreront en vigueur à la date que le lieutenant-gouverneur fixera par proclamation. Il y a lieu de noter toutefois que, comme des élections provinciales auront lieu en 2025, l’investiture d’un nouveau gouvernement pourrait retarder (possiblement indéfiniment) cette proclamation.

Pour en savoir davantage, consultez nos Bulletins Blakes intitulés Projet de loi 194 de l’Ontario : Réforme de la LAIPVP et nouvelles exigences de signalement des atteintes à la vie privée et Utilisation de systèmes d’intelligence artificielle dans le secteur public : l’Ontario dépose le projet de loi 194. 

Arrêt de la CSC : Application du droit au respect de la vie privée prévu à la Charte aux conseils scolaires publics de l’Ontario

En juin 2024, la Cour suprême du Canada (la « CSC ») a rendu un jugement historique dans l’affaire Conseil scolaire de district de la région de York c. Fédération des enseignantes et des enseignants de l’élémentaire de l’Ontario, statuant que la Charte canadienne des droits et libertés (la « Charte ») s’applique aux conseils scolaires publics de l’Ontario et que toutes les activités menées par ces derniers sont susceptibles de faire l’objet d’un examen fondé sur la Charte.

La Fédération des enseignantes et des enseignants de l’élémentaire de l’Ontario a déposé un grief au nom de deux enseignantes (les « enseignantes ») ayant fait l’objet d’une réprimande inscrite à leur dossier pour utilisation abusive de technologies appartenant au Conseil scolaire de district de la région de York (le « Conseil scolaire »). Les enseignantes avaient utilisé un journal personnel, lequel était stocké sur Google Disque, pour consigner leurs préoccupations à l’égard d’un autre enseignant. L’arbitre chargé d’entendre le grief (l’« arbitre ») a conclu que les enseignantes avaient une attente raisonnable en matière de vie privée pour ce qui est de leur journal, laquelle attente avait été réduite par le fait d’avoir laissé l’ordinateur ouvert dans le lieu de travail.

La CSC a confirmé la décision rendue par la Cour d’appel de l’Ontario, laquelle avait infirmé la décision de l’arbitre. Les juges majoritaires de la CSC ont conclu que dans les situations où s’applique un droit prévu par la Charte, les arbitres doivent reconnaître et analyser ce droit en tenant compte du cadre juridique applicable. Ils ont statué que, pour analyser s’il y a eu violation de la protection conférée par l’article 8 de la Charte contre les fouilles, les perquisitions et les saisies abusives, deux questions doivent être analysées : premièrement, la question de savoir s’il existe une attente raisonnable en matière de respect de la vie privée, laquelle constitue une analyse contextuelle fondée sur « l’ensemble des circonstances »; et, deuxièmement, la question de savoir si la fouille était raisonnable aux termes d’une convention collective applicable. Les arbitres peuvent continuer de s’appuyer sur la jurisprudence arbitrale en matière de protection de la vie privée au travail, mais doivent s’assurer que leur analyse est conforme au cadre d’analyse applicable à l’article 8 de la Charte.

Pour en savoir davantage, consultez notre Bulletin Blakes intitulé Arrêt historique de la CSC : La Charte s’applique aux conseils scolaires publics de l’Ontario. 

Québec

Publication de la version définitive du Règlement sur l’anonymisation

En mai 2024, le gouvernement du Québec a publié la version définitive du Règlement sur l’anonymisation des renseignements personnels (le « Règlement sur l’anonymisation »), qui établit les exigences auxquelles les organisations assujetties à la loi du Québec intitulée Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP ») doivent se conformer lorsqu’elles anonymisent des renseignements personnels. Aux termes de la LPRPSP, une fois les fins pour lesquelles les renseignements personnels ont été recueillis ou utilisés sont atteintes, les organisations doivent soit détruire les renseignements en question, soit les rendre anonymes pour les utiliser uniquement « à des fins sérieuses et légitimes ». Une telle anonymisation doit être conforme à la fois aux meilleures pratiques généralement reconnues et aux exigences prévues au Règlement sur l’anonymisation.

Nouvelle loi sur la protection des renseignements de santé

En juillet 2024, la loi québécoise intitulée Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (la « LRSSS ») est entrée en vigueur, de même que deux règlements connexes. La LRSSS établit un nouveau cadre général de protection des renseignements de santé et de services sociaux au Québec et s’applique à un large éventail d’entités des secteurs public et privé exerçant des activités dans le domaine des soins de la santé. Par ailleurs, la LRSSS impose de nombreuses obligations qui sont similaires aux exigences prévues à la LPRPSP.

Portabilité des données

En septembre 2024, des modifications à la LPRPSP sont entrées en vigueur, constituant le dernier chapitre de la réforme du régime de la protection de la vie privée au Québec à la suite de l’adoption de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Ces modifications comprennent l’introduction d’un « droit à la portabilité des données », lequel prévoit qu’un particulier (le « requérant ») peut exiger qu’une organisation lui communique certains « renseignements personnels informatisés », ou qu’elle les communique à toute autre personne ou organisation autorisée par la loi à recueillir ces renseignements, et ce, dans un format technologique dit « structuré et couramment utilisé » (c.-à-d., les renseignements personnels recueillis en format papier ne sont pas visés par ce nouveau droit). En outre, seul un renseignement personnel qui est recueilli auprès du requérant, et non pas créé ou inféré à partir d’un renseignement personnel le concernant, est visé par ce droit.

Pour en savoir davantage au sujet du Règlement sur l’anonymisation, de la LRSSS et du nouveau droit à la portabilité des données prévu à la LPRPSP, consultez nos Bulletins Blakes intitulés Le gouvernement du Québec publie la version définitive du Règlement sur l’anonymisation des renseignements personnels, Québec : Une loi exhaustive sur la protection des renseignements de santé entre en vigueur et Un nouveau droit à la portabilité des données est en vigueur au Québec.

Fédéral

Arrêt de la réforme du régime législatif fédéral en matière de protection de la vie privée en raison de la prorogation du Parlement

Le 6 janvier 2025, le premier ministre Trudeau a prorogé le Parlement, ce qui a eu pour effet d’entraîner la mort au Feuilleton de tous les projets de loi déposés auprès de la Chambre des communes et du Sénat. Les projets de loi en matière de protection de la vie privée et de données qui ont été touchés par la prorogation comprennent :

• le projet de loi C-26, lequel aurait édicté la Loi sur la protection des cybersystèmes essentiels;
• le projet de loi C-27, lequel aurait modifié en profondeur la législation fédérale sur la protection des renseignements personnels dans le secteur privé et aurait édicté la Loi sur l’intelligence artificielle et les données;
• le projet de loi C-63, lequel aurait édicté la Loi sur les préjudices en ligne.

Si la législature actuelle se poursuit, ces projets de loi devront être représentés [ou rétablis] au début de la prochaine session. Or, comme une élection générale doit avoir lieu d’ici octobre 2025 (il est attendu d’ailleurs qu’elle soit déclenchée au printemps), il est difficile de prédire les réformes en matière de protection de la vie privée que le gouvernement pourrait proposer lors de la prochaine législature. 

Pour en savoir davantage au sujet des projets de loi C-26, C-27 et C-63, consultez nos Bulletins Blakes intitulés Droit canadien en matière de cybersécurité : Le projet de loi C-26 franchit une autre étape, Nouveau projet de loi fédéral modernisant les exigences de protection des renseignements personnels dans le secteur privé et Projet de loi C-63 du Canada : La Loi sur les préjudices en ligne cible le contenu préjudiciable sur les médias sociaux. 

Pour en savoir davantage, communiquez avec un membre de notre groupe Protection de la vie privée et des données.