Archives de catégorie : Droit (Général)

Rejet d’une action collective quant aux données personnelles dans un ordinateur portable égaré

Publié le par

La Cour supérieure rejetait il y a quelques semaines une action collective fondée sur un défaut de protéger adéquatement les renseignements personnels d’individus fichés chez une organisation. Fait intéressant, contrairement au scénario habituel, la poursuite en question est parvenue à passer tout le processus d’une action collective, pour en arriver à un véritable jugement sur le fond, contrairement à ce qui se passe habituellement dans ce genre de dossier, comme le rejeter parce que frivole ou parce que l’action collective ne tient pas la route pour un tel type de recours devant les tribunaux.

Cette fois, les tribunaux québécois nous fournissent une véritable décision suivant une action collective en matière de fuite de renseignements personnels, chose relativement rare, au Québec comme ailleurs. Nous obtenons donc ici une vraie de vraie décision se prononçant quant au comportement d’une organisation qui a subi une fuite de données personnelles.

La décision en question est celle de Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (2021 QCCS 1093), laquelle découle de l’action intentée par un individu faisant partie d’un groupe dont les renseignements étaient sauvegardés dans un ordinateur portable dont les données n’étaient pas chiffrées, ordinateur et égaré par un préposé de la défenderesse (l’«OCRCVM»). Son recours visait à être indemnisé pour le préjudice lié à de l’inquiétude, l’usurpation (appréhendée ou réelle) de son identité, des inconvénients, etc. On demandait aussi au tribunal d’octroyer des dommages punitifs à cause de l’insouciance alléguée de l’OCRCVM et de son retard à intervenir adéquatement lors de l’incident.

Comme cela se produit souvent dans ce genre d’affaires (lorsqu’on obtient une véritable décision), le tribunal estime que les simples craintes et désagréments découlant d’une perte des renseignements personnels ne seront généralement pas des dommages susceptibles d’être indemnisés par nos tribunaux. Bien qu’il ne soit pas nécessaire de carrément être victime de vol d’identité (par exemple), on doit tout de même avoir subi un véritable préjudice. Or, ici, ce qu’on alléguait constituer un préjudice ne se qualifiait tout simplement pas comme étant de véritables dommages en droit; c’était plutôt ici des «inconvénients normaux que toute personne vivant en société rencontre et devrait être tenue d’accepter». En gros : désolé, mais être simplement dans la liste des personnes impliquées dans une perte de données n’est pas suffisant, en soi, pour justifier un recours devant les tribunaux québécois. Cette conclusion s’avère d’ailleurs conforme à ce qu’on a vu dans d’autres affaires du genre, notamment au Québec.

Ici, le requérant n’est pas parvenu non plus à démontrer de lien de causalité entre la perte de l’ordi en question et les problèmes liés au vol (réel ou tenté) de son identité qui seraient survenus. Ainsi, le tribunal ne pouvait pas non plus donner droit à la demande de dommages punitifs. Comme on s’en souviendra, non seulement doit-on toujours démontrer une faute et un préjudice, mais aussi un lien causal entre les deux. Ce troisième ingrédient faisant défaut, le tribunal rejette aussi le recours de ce côté.

À tout événement, cette décision réitère qu’en pareil cas, s’ils espèrent réussir avec un tel recours devant nos tribunaux, les demandeurs devraient pouvoir démontrer non seulement une faute suffisante, mais aussi (et surtout) de véritables dommages qui soient susceptibles d’indemnisation. La perte de vos renseignements par un tiers n’est donc pas un billet de loterie, loin de là.

De plus, malgré que la demande de M. Lamoureux visait aussi à obtenir des dommages punitifs, le tribunal conclut qu’on était ici non seulement pas dans un cas de faute intentionnelle, mais aussi que l’OCRCVM a été suffisamment diligent dans sa réaction à la perte de l’ordi en question, compte tenu des circonstances. La C.S. se refuse donc à voir ici une faute dont la gravité justifierait d’octroyer des dommages punitifs. Troisième prise, donc.

Fait intéressant, au passage, la C.S. énonce des principes à appliquer dans l’examen de demandes similaires à l’avenir, quand vient le temps de juger du bien-fondé des démarches d’une organisation en pareilles circonstances. En l’occurrence, la C.S. confirme ici qu’en cas de perte d’un appareil mobile (non chiffré), les démarches suivantes peuvent s’avérer adéquates:

  • mener une enquête interne sérieuse;
  • retenir sans délai les services d’un consultant spécialisé afin de cerner l’information perdue et de jauger le risque que cette perte représente, etc.;
  • aviser les autorités, notamment celles en matière de renseignements personnels; et
  • aviser les victimes potentielles, en plus de leur payer un service de surveillance de dossier de crédit.

Quand ce genre de démarches ont été suivies, les tribunaux ne devraient pas normalement envisager l’octroi de dommages punitifs.

Le gouvernement canadien entendrait régir, par l’entremise du CRTC, les contenus placés en ligne, incluant l’UGC et les applis

Publié le par

Comme on s’en souviendra, depuis l’automne dernier, le gouvernement fédéral est à tenter de faire adopter son projet de loi C-10, lequel vise à modifier la Loi sur la radiodiffusion (inter alia), afin de viser les entreprises en ligne, incluant afin de permettre au gouvernement de taxer les services de diffusion en continu. Or, on apprenait récemment que le gouvernement aurait aussi l’intention de proposer des amendements législatifs visant à régir le contenu de ce qui est mis en ligne par les usagers (le «user-generated content», ou «UGC») et même le contenu des applis elles-mêmes.

Oui, le gouvernement libéral serait à tenter de modifier la loi canadienne afin de conférer à son chien de garde, le CRTC, le pouvoir de se prononcer quant aux contenus qui s’avèrent acceptables en ligne, incluant par rapport à ce qui est placé dans du contenu généré par des internautes, des jeux d’ordi et des applis en général. C’est du moins ce que voit poindre le juriste Michael Geist, basé sur le commentaire d’un député ayant (par erreur) commenté des amendements qui ne sont pas encore formellement proposés. Selon les propos du député en question, le gouvernement voudrait bel et bien ajouter le contenu des applis à ce que peut régir le CRTC — ce serait bien réel.

D’un projet de loi initialement présenté comme simplement destiné à permettre de taxer les Netflix de ce monde, à cause du mécanisme utilisé (la diffusion en continu), on est passé à un projet de loi visant aussi certains contenus, pour sembler nous diriger allègrement vers un projet de loi dont le résultat serait de régir carrément le matériel placé en ligne, y compris les applis, les jeux d’ordi et les éléments que créent et mettent en ligne des individus (des billets de blogue, des balados, etc.).

Y a-t-il seulement moi qui décèle une légère dérive dans ce qui est en train de se passer côté contrôle de l’Internet par le grand garnement fédéral? Hmmm. À suivre —malheureusement.

L’intelligence artificielle dans la mire du législateur européen

Publié le par

On rapporte le dépôt d’un projet de règlement européen, ce matin, visant à régir l’utilisation de l’intelligence artificielle (l’«IA») par les entreprises. Encore une fois, comme avec son règlement en matière de données personnelles, l’Europe mène le bal en matière d’encadrement juridique de ce que font et devraient pouvoir faire les entreprises.

Cette fois, l’effort législatif européen vise à contraindre l’utilisation de l’IA, en particulier en divisant les systèmes l’utilisant en quatre catégories de risques pour les droits et la sécurité des individus. Bien que l’IA ait un potentiel énorme, sa venue comporte néanmoins d’énormes risques pour l’intérêt public et la société en général, sans parler des droits des individus. Ce règlement viserait donc à mettre en place des règles plus ou moins strictes, tout dépendant du risque perçu en matière de santé, de sécurité ou de droits fondamentaux des individus. Plus une utilisation s’avère dangereuse, plus les lois européennes en contraindraient l’utilisation — c’est l’idée.

La Commission européenne propose ainsi « de nouvelles règles et actions en faveur de l’excellence et de la confiance dans l’intelligence artificielle », par une proposition visant à éventuellement harmoniser le traitement de l’IA par les pays européens. Le but : éviter une dystopie rendue possible par l’adoption débridée de l’IA par les organisations de tous acabits, sans jamais leur avoir imposé de cadre juridique.

Par exemple, le règlement interdirait certains systèmes posant un risque démesuré de surveillance ou d’abus des droits de la personne, comme ceux qui permettraient de mettre en œuvre un système de pointage citoyen, à l’instar de ce que la Chine met en place chez elle.

À l’échelon suivant, les « systèmes d’IA à haut risque devront respecter des obligations strictes pour pouvoir être mis sur le marché »; la réglementation obligerait les organisations utilisant des systèmes d’IA risqués à déployer des dispositifs de sûreté et de gestion, à documenter et tester leurs systèmes, à les inscrire auprès des autorités européennes, à afficher le degré de risque associé à leur système, etc. Ces systèmes comprendraient :

  • les technologies d’IA qui sont utilisées dans les infrastructures critiques (par exemple les transports) et sont susceptibles de mettre en danger la vie et la santé des citoyens;
  • les technologies d’IA utilisées dans l’éducation ou la formation professionnelle, qui peuvent déterminer l’accès à l’éducation et le parcours professionnel d’une personne (par exemple, la notation d’épreuves d’examens);
  • les technologies d’IA utilisées dans les composants de sécurité des produits (par exemple, l’application de l’IA dans la chirurgie assistée par robot);
  • les technologies d’IA utilisées dans le domaine de l’emploi, de la gestion de la main-d’œuvre et de l’accès à l’emploi indépendant (par exemple, les logiciels de tri des CV pour les procédures de recrutement);
  • les technologies d’IA utilisées dans les services privés et publics essentiels (par exemple, l’évaluation du risque de crédit, qui prive certains citoyens de la possibilité d’obtenir un prêt);
  • les technologies d’IA utilisées dans le domaine du maintien de l’ordre, qui sont susceptibles d’interférer avec les droits fondamentaux des personnes (par exemple, la vérification de la fiabilité des éléments de preuve);
  • les technologies d’IA utilisées dans le domaine de la gestion de la migration, de l’asile et des contrôles aux frontières (par exemple, la vérification de l’authenticité des documents de voyage);
  • les technologies d’IA utilisées dans les domaines de l’administration de la justice et des processus démocratiques (par exemple, l’application de la loi à un ensemble concret de faits).

Les deux autres catégories de systèmes d’IA seraient susceptibles de passablement moins de contraintes, incluant, à titre d’exemple, l’obligation de simplement le divulguer quand un système de clavardage implique que l’usager soit face à une IA, plutôt qu’à un être humain véritable.

On avance déjà que cette initiative européenne fera des petits, alors que nombre d’autres juridictions sont susceptibles d’emboîter le pas. Bien que le Canada ne soit encore là, il ne serait pas étonnant qu’une initiative semblable voie ici le jour — en fait, le contraire le serait. En déposant ce projet de règlement, le Parlement européen déclare d’ailleurs que son intention est « d’élaborer de nouvelles normes mondiales qui garantiront que l’IA soit digne de confiance ».

Si vous êtes curieux, le projet de règlement couvre 85 articles, sur 50 pages. Vous savez —une petite lecture légère de vacances pour cet été.