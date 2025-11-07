Voici l'édition de l'automne 2025 de l'infolettre Gouvernail des données de Blakes, une publication du groupe Protection de la vie privée et des données de Blakes.

Voici l'édition de l'automne 2025 de l'infolettre Gouvernail des données de Blakes, une publication du groupe Protection de la vie privée et des données de Blakes. Cette infolettre a pour but d'effectuer un survol des développements récents relatifs à la législation canadienne en matière de protection de la vie privée, de cybersécurité, d'accès à l'information et de gouvernance de l'intelligence artificielle (l'« IA »), ainsi que de fournir aux lecteurs des pistes de réflexion concrètes sur les diverses questions soulevées par ces développements.

Dans ce numéro

À l'horizon

Mise à jour de la politique fédérale

En date de la première semaine d'octobre, le gouvernement fédéral canadien (le « gouvernement fédéral ») n'avait pas encore déposé un projet de loi pour la Loi sur la protection de la vie privée des consommateurs ou la Loi sur l'intelligence artificielle et les données, ni signalé son intention de le faire. Ces deux lois figuraient au projet de loi C-27 qui avait été déposé lors de la dernière session parlementaire. Cependant, il y a lieu de noter certains nouveaux développements au niveau fédéral.

Le ministre de l'Intelligence artificielle a annoncé un « sprint national » de 30 jours en vue d'élaborer une stratégie renouvelée en matière d'IA par le biais d'une consultation publique. Ce sprint comportera une collecte d'idées par l'intermédiaire du Groupe de travail sur la stratégie en matière d'IA, soit un nouveau groupe formé d'experts issus de l'industrie, du milieu universitaire et de la société civile. Il est attendu que les membres de ce groupe feront part des idées qu'ils auront recueillies en novembre 2025. Cette consultation publique ne laisse pas supposer que le gouvernement fédéral prévoit de déposer un projet de loi exhaustif en matière d'IA. Elle porte principalement sur la commercialisation de l'IA et les stratégies pour attirer les investissements au Canada, mais elle vise également à obtenir des commentaires sur les cadres, les normes, la réglementation et les règles qui favoriseraient l'adoption de l'IA à l'échelle du Canada. Les membres du public sont invités à soumettre leurs commentaires par courriel ou au moyen du portail Consultations des Canadiens.

Lors de sa séance d'information avec les nouveaux membres du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique, le commissaire à la protection de la vie privée du Canada (le « commissaire ») a réitéré que l'augmentation du nombre de plaintes concernant la protection des renseignements personnels et de signalements d'atteinte à la vie privée témoigne de la préoccupation plus générale du public relativement au droit à la vie privée. Selon le commissaire, des lois modernisées lui donnant l'autorité de rendre des ordonnances et d'imposer des amendes permettraient de répondre à cette préoccupation. Le commissaire a réitéré également que la protection de la vie privée des enfants constitue l'une des priorités du Commissariat. Il y a lieu de s'attendre à ce que le Commissariat publie le Code sur la protection des renseignements personnels des enfants au début de 2026.

Perspectives en vedette

Enquête du Commissariat : Conclusion à un droit au déréférencement en vertu de la LPRPDE

Le Commissariat a publié récemment ses conclusions relativement à son enquête sur la conformité du service de moteur de recherche de Google à ses obligations au titre de la LPRPDE. Il a conclu notamment que le fait pour Google de ne pas avoir procédé au déréférencement des résultats de recherche contenant des renseignements personnels d'un individu, lesquels résultats avaient causé des préjudices graves à ce dernier, contrevenait au paragraphe 5(3) de la LPRPDE. Dans notre Bulletin Blakes intitulé Le Commissariat à la protection de la vie privée du Canada conclut à un droit limité au déréférencement en vertu de la LPRPDE, nous examinons ces conclusions et analysons leurs répercussions sur les entreprises exerçant des activités au Canada.

Document d'orientation du Commissariat sur le traitement des données biométriques dans le secteur privé

Le Commissariat a publié un document d'orientation à l'intention des organisations du secteur privé au sujet de leurs obligations en vertu de la LPRPDE lorsqu'elles doivent traiter des renseignements biométriques. Dans notre Bulletin Blakes intitulé Nouveau document du Commissariat à la protection de la vie privée sur le traitement des données biométriques dans le privé, nous présentons un survol de ce document d'orientation et expliquons comment les mesures à prendre et à éviter que propose le Commissariat peuvent aider les organisations à se conformer aux exigences prévues à la LPRPDE.

Pour connaître d'autres considérations clés en matière de protection de la vie privée en lien avec la biométrie, connectez-vous ou inscrivez-vous pour visionner notre webinaire intitulé Biometric Data: Privacy Obligations and Regulatory Risks (offert en anglais seulement).

Nouvelle ligne directrice du BSIF sur le recours à l'IA par les IFF

Le 11 septembre 2025, dans le cadre de sa publication trimestrielle de modifications réglementaires, le BSIF a publié sa version définitive de la Ligne directrice E-23 - Gestion du risque de modélisation (2027) (la « ligne directrice définitive »). La ligne directrice définitive, qui prendra effet le 1er mai 2027, porte sur les risques émergents liés à la technologie et impose des exigences en matière de gestion des risques aux IFF quant à l'utilisation de modèles d'IA. Dans notre Bulletin Blakes intitulé Le BSIF publie la ligne directrice E-23 définitive sur la gestion du risque de modélisation et le recours à l'IA par les IFF,nous explorons en quoi un programme de conformité rigide ne suffira plus pour satisfaire aux exigences du BSIF; les IFF devront faire preuve d'un engagement continu en procédant à des tests, à des activités de surveillance et à des examens pendant toute la durée de vie des modèles d'IA qu'elles utilisent, en vue d'atténuer efficacement les risques qui s'y rattachent.

IA et cybersécurité : Points essentiels pour les CA

L'IA et la cybersécurité sont deux domaines qui affichent une trajectoire de croissance similairement abrupte et qui présentent des risques et des occasions pour les émetteurs. Dans notre Bulletin Blakes intitulé Intelligence artificielle et cybersécurité : Points essentiels de la surveillance par le conseil d'administration, nous résumons les développements juridiques récents et les pratiques exemplaires actuelles relativement à ces domaines afin d'aider les administrateurs et les dirigeants à surmonter les défis que présentent ces domaines. Nous y présentons également les points clés que doivent retenir les administrateurs canadiens, ainsi que les mesures qu'ils devraient prendre.

Escroqueries au moyen de noms de domaine trompeurs : Partie I – En quoi elles consistent et comment les repérer? Partie II – Pratiques exemplaires en matière de prévention et Partie III – Stratégies d'intervention et de règlement des différends

Le nom de domaine est devenu un des éléments clés d'une marque, permettant au public d'identifier facilement le site Web et l'adresse courriel d'une entreprise. Les escroqueries au moyen de noms de domaine trompeurs, et les problèmes qu'elles engendrent, ne sont donc pas un nouveau phénomène. Il est essentiel que toute organisation fasse preuve de la plus grande vigilance pour éviter que des tentatives d'escroquerie soient commises au moyen d'un nom de domaine similaire au sien. En redoublant sa vigilance à cet égard, une organisation réduit ainsi au minimum le risque d'être visée par une telle escroquerie ainsi que le risque que ses clients soient induits en erreur ou encore que sa marque soit endommagée en raison d'un tel stratagème de fraude. Le fait d'agir promptement peut souvent atténuer ces risques. Dans la partie I et la partie II de notre nouvelle série de Bulletins Blakes (dans le cadre du Mois de la sensibilisation à la cybersécurité, en octobre), nous dressons le portrait actuel des escroqueries au moyen de noms de domaine trompeurs, présentons des méthodes utiles pour les repérer et résumons les pratiques exemplaires pour prévenir de telles tentatives d'escroquerie. Dans la partie III, nous abordons les moyens d'intervention efficaces lorsqu'une escroquerie au moyen nom de domaine trompeur a été repérée.

Condamnation possible d'un avocat à payer des dépens pour avoir cité des cas hallucinés par l'IA

Le 26 septembre 2025, la CAA a rendu sa première décision au sujet des fausses références que peuvent générer les outils d'IA générative. Ces fausses références, consistant essentiellement en des lois ou cas de jurisprudence fictifs, sont communément appelées des « hallucinations ». La CAA envisage de condamner personnellement l'avocat de l'appelant à payer des dépens majorés pour avoir omis de vérifier l'exactitude des décisions auxquelles il réfère dans son mémoire. Dans notre Bulletin Blakes (version française à venir), nous examinons cette décision et les répercussions de cette question en évolution.

Nouveaux développements législatifs et réglementaires

Principaux développements juridiques

Le projet de loi 150 de la Nouvelle-Écosse a reçu la sanction royale. Ce projet de loi édicte la Freedom of Information and Protection of Privacy Act, laquelle loi vient moderniser la législation en matière d'accès à l'information et de protection des renseignements personnels dans le secteur public dans cette province et introduit d'importants changements, notamment en faisant du commissaire à l'information et à la protection de la vie privée de la Nouvelle-Écosse un officier de l'Assemblée législative.

Le projet de loi 127 de la Nouvelle-Écosse, Protecting Nova Scotians Act (la « PNSA »), a également été adopté par le gouvernement néo-écossais et a reçu la sanction royale le 3 octobre 2025. La PNSA introduit notamment la Social Insurance Number Protection Act (la « SINPA »), laquelle a pour objet de limiter la collecte inutile de numéros d'assurance sociale (le « NAS »). La SINPA interdit à toute personne de demander ou de collecter le NAS d'un individu dans le cadre d'une activité commerciale, à moins que ce soit exigé par la loi ou permis en vertu des règlements applicables. Une organisation qui contrevient à la SINPA est coupable d'une infraction et passible d'une amende maximale de 500 000 $ CA. La SINPA entrera en vigueur sur proclamation du gouverneur en conseil.

Nouvelles décisions et orientations

Conclusions du Commissariat relativement à son enquête sur TikTok :Le Commissariat a publié ses conclusions relativement à une enquête menée conjointement avec certains de ses homologues provinciaux (collectivement, les « commissariats ») auprès de TikTok Pte. Ltd. (« TikTok »). Dans ce rapport, les commissariats formulent plusieurs recommandations à l'intention de TikTok au sujet de ses pratiques en matière de protection de la vie privée, notamment la mise en œuvre de mécanismes améliorés de contrôle de l'âge, ainsi que l'amélioration de sa politique de confidentialité pour mieux expliquer ses pratiques de ciblage publicitaire. Les commissariats recommandent également à TikTok de cesser d'autoriser les annonceurs à cibler les utilisateurs de moins de 18 ans (sauf pour les publicités fondées sur des caractéristiques génériques).

Décision 298 en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (la « LPRPS »)de l'Ontario (en anglais seulement) : La commissaire à l'information et à la protection de la vie privée de l'Ontario (la « commissaire de l'Ontario ») a imposé, pour la première fois, des pénalités administratives pécuniaires en vertu de la LPRPS pour non‑conformité à celle-ci. Cette décision porte sur l'accès non autorisé d'un médecin au système de dossiers médicaux électroniques d'un hôpital en vue de solliciter des patients pédiatriques potentiels. Dans sa décision, la commissaire de l'Ontario renvoie aux orientations publiées à l'intention du secteur des soins de la santé et indique que les pénalités administratives pécuniaires ne sont pas censées être punitives, mais plutôt un outil réglementaire souple, équilibré et progressif, axé sur la reddition de comptes et l'apprentissage, les conséquences plus importantes étant réservées pour les violations plus graves ou répétées.

Nouveau document d'orientation à l'intention des dépositaires de renseignements de santé en Alberta sur les outils de transcription par IA (en anglais seulement) : L'Office of the Information and Privacy Commissioner of Alberta (l'« OIPC de l'Albera ») a publié un document d'orientation à l'intention des dépositaires de renseignements sur la santé (les « dépositaires ») en vertu de la Health Information Act (Alberta) au sujet de l'utilisation d'outils de transcription par IA. Dans le document d'orientation, l'OPIC de l'Alberta souligne que même si ces outils peuvent aider les dépositaires à fournir de meilleurs services de santé, tels que permettre à un dépositaire de se concentrer davantage sur son patient plutôt que de prendre des notes pendant une rencontre avec ce dernier, les risques relatifs à la vie privée et à la sécurité que comportent ces outils doivent être pris en compte et traités avant leur utilisation. Le document d'orientation rappelle également aux dépositaires en Alberta leur obligation de soumettre des évaluations des facteurs relatifs à la vie privée.

Nouvelles lignes directrices sur la dépersonnalisation des données structurées en Ontario :Le 15 octobre 2025, la commissaire de l'Ontario a publié des lignes directrices mises à jour et étoffées sur la dépersonnalisation des données structurées. Ces lignes directrices présentent la position de la commissaire de l'Ontario sur ce qui est ou n'est pas considéré comme des données dépersonnalisées. Elles présentent aussi la façon dont les données dépersonnalisées peuvent être utilisées, y compris le partage de données entre des organisations liées, ainsi que divers processus détaillés pour dépersonnaliser des données structurées.

Rapport annuel de la Commission d'accès à l'information du Québec : La Commission d'accès à l'information (la « CAI ») a publié son rapport annuel d'activités et de gestion 2024-2025 (le « rapport »), lequel fait état du travail réalisé par la CAI au cours de la dernière année. Selon le rapport, le nombre de plaintes reçues s'est accru comparativement à l'année précédente. De plus, la CAI a reçu 514 avis d'incidents de confidentialité en 2024-2025, ce qui représente une augmentation de 16 % par rapport à 2023-2024. L'erreur humaine et les rançongiciels continuent d'être les causes les plus fréquentes d'incidents de confidentialité déclarés par les organisations visées par les activités de la CAI.

