2020 s’annonce comme une année importante pour la réglementation des questions de protection de la vie privée, avec deux événements importants qui ont eu lieu jusqu’à présent cette année. Au début de février, le Commissariat à la protection de la vie privée (CPVP) a intenté une action contre Facebook à la suite de l’affaire Cambridge Analytica. Plus tard dans le mois, le CPVP a annoncé une enquête conjointe sur la technologie de reconnaissance faciale. Les deux initiatives concernent la capacité des organisations de recueillir et d’utiliser des renseignements personnels sans le consentement approprié. Ces mesures prises par le CPVP sont conformes à son rapport de décembre 2019, qui demande une réforme des lois fédérales canadiennes sur la protection des renseignements personnels et un pouvoir accru de réglementer les questions de protection de la vie privée. Les organisations peuvent s’attendre à ce qu’à l’avenir, elles soient examinées de plus près en ce qui concerne la façon dont elles gèrent les renseignements personnels.
Au début de février, le CPVP a intenté une poursuite contre Facebook devant la Cour fédérale. Le CPVP demande une ordonnance obligeant Facebook à modifier ses pratiques de protection des données à la suite de l’affaire Cambridge Analytica. Plus particulièrement, le CPVP cherche (entre autres choses) à obtenir une déclaration selon laquelle Facebook a contrevenu à diverses dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et une ordonnance exigeant que Facebook corrige ses pratiques pour se conformer à la LPRPDE. La présente instance fait suite à l’enquête du CPVP sur cette affaire, dont les résultats sont énoncés dans le rapport annuel du CPVP de 2018-2019 du CPVP daté de décembre 2019 et dans le Rapport des conclusions de l’enquête conjointe sur Facebook menée par la commissaire à la protection de la vie privée du Canada et la commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique.
Dans son rapport d’enquête, le CPVP a affirmé que les renseignements personnels d’environ 621 889 Canadiens avaient été exposés à une exploitation potentielle par Cambridge Analytica. Le CPVP a conclu que Facebook n’avait pas obtenu le consentement valable des utilisateurs qui avaient installé une application tierce et n’avait pas prévu de mesures de protection adéquates pour protéger efficacement les renseignements personnels des utilisateurs. Dans son rapport, le CPVP a également indiqué que Facebook avait refusé ou omis de donner suite aux recommandations du CPVP.
Facebook fait face à la possibilité d’amendes importantes dans d’autres juridictions pour ces actions, et a déjà été
La demande présentée par le CPVP en faveur d’obtenir une réparation ordonnée par un tribunal contre Facebook témoigne de la détermination croissante du CPVP à appliquer les principes qui sous-tendent la LPRPDE et de l’exposition correspondante des organisations qui cherchent à banaliser des renseignements personnels au-delà de la portée permise.
Plus tard en février, le CPVP a annoncé qu’il enquêtait conjointement avec les autorités de protection de la vie privée du Québec, de la Colombie-Britannique et de l’Alberta sur Clearview AI et son utilisation de la technologie de reconnaissance faciale. Dans l’annonce, la technologie de Clearview AI est signalée comme « utilisant sa technologie pour recueillir des images et mettre la reconnaissance faciale à la disposition des forces de l’ordre dans le but d’identifier les individus ». Clearview AI a également affirmé fournir ses services aux institutions financières.
L’objectif déclaré de l’enquête est de déterminer si les pratiques de l’entreprise sont conformes à la législation canadienne sur la protection des renseignements personnels. Les organismes provinciaux et territoriaux de réglementation de la protection de la vie privée ont également convenu d’élaborer conjointement des lignes directrices à l’intention des organisations sur l’utilisation de la technologie biométrique.
Cette annonce du COMMISSARIAT et des commissaires provinciaux à la protection de la vie privée a été faite quelques jours avant
L’enquête et les directives prévues sur l’utilisation de la technologie biométrique soulignent l’accent réglementaire croissant mis sur les technologies émergentes et sur la façon dont ces technologies peuvent être utilisées pour recueillir et utiliser des renseignements personnels au-delà de la portée permise.
Souvent, les organisations recueillent des renseignements personnels à une fin déterminée, mais les utilisent à d’autres fins. Il s’agit souvent d’un manque de compréhension au sein de l’organisation en ce qui concerne : la portée du consentement obtenu des personnes pour l’utilisation et la communication de leurs renseignements; la portée des renseignements personnels réellement recueillis auprès de personnes; ou la restriction du caractère raisonnable de l’utilisation des renseignements personnels. Cet écart entre la portée du consentement et l’utilisation donne lieu à une exposition réglementaire et judiciaire.
De plus, les organisations peuvent recueillir, utiliser ou stocker des renseignements personnels qu’elles ne recueillent pas directement auprès de la personne. Parce qu’ils ne les recueillent pas directement auprès de la personne, ils ne sont pas toujours axés sur les questions de consentement, d’utilisation autorisée et d’obligations de protéger les renseignements. Lorsqu’une organisation a la garde ou le contrôle de renseignements personnels, qu’elle les ait ou non recueillis directement auprès de la personne, les obligations en vertu de la législation sur la protection des renseignements personnels peuvent s’appliquer.
Les organisations qui exercent des activités commerciales au Canada peuvent s’attendre à une surveillance réglementaire accrue de leurs pratiques de collecte, d’utilisation, de stockage, de communication, de transfert et de destruction des renseignements personnels. Compte tenu de la définition large de ce qui constitue des renseignements personnels au Canada (tout renseignement concernant une personne identifiable), la gestion de cette question nécessite un examen exhaustif des activités d’une organisation en ce qui a trait à la gestion des données. Pour gérer l’exposition réglementaire et le risque de litige correspondant découlant de la mauvaise gestion de l’information, les organisations sont encouragées à adopter une approche proactive à l’égard de ce risque.
Si vous avez des questions sur des problèmes de confidentialité ou de sécurité des données, veuillez contacter l’équipe Bennett Jones Privacy and Data Protection team.