Archives de l’étiquette : commissaireàlaprotectiondelavieprivée

Refonte de la loi canadienne en matière de renseignements personnels: le projet de loi C-11 défectueux selon le Commissaire canadien

Publié le par

Bien qu’on présente le projet de loi fédéral C-11 comme une refonte législative visant à favoriser les droits des individus quant à leurs données, le Commissaire canadien à la protection de la vie privée se montrait sceptique, lors d’une conférence récente organisée par Option consommateurs. Selon lui, le projet de loi C-11 s’avère en réalité un pas de recul, notamment parce qu’il n’offrirait pas de contrôle suffisant aux individus relativement à leurs renseignements.

Comme on s’en souviendra, l’automne dernier, le gouvernement fédéral déposait un projet de loi visant à complètement remplacer la loi actuelle en matière de renseignements personnels, une loi adoptée il y a plus de 20 ans et désormais désuète.

Selon le commissaire Therrien, ce projet de loi comporterait de nombreuses lacunes que nous aurions avantage à corriger avant de l’adopter, notamment en matière de consentement éclairé. Sa critique à ce sujet est notamment que la nouvelle loi continuerait de permettre aux entreprises d’utiliser une langue qui s’avère trop souvent vague, opaque ou même obscure, quand on déclare le genre d’utilisation qu’on entend faire des renseignements des personnes qui consentiraient. Alors que dans d’autres juridictions (comme l’Europe) chaque entreprise doit nommer de façon claire ses fins explicites, précises et légitimes pour utiliser des données personnelles, pour l’instant, le projet de loi C-11 ne l’exigerait pas. C’est ce qui fait notamment dire au Commissaire qu’on est à affaiblir notre régime de protection en matière de renseignements personnels.

Sans grande surprise, le Commissaire critique aussi l’idée de confier le pouvoir d’imposer des amendes non pas à sa propre Commission, mais plutôt à un nouveau tribunal administratif qui sera créé de toute pièce. Selon lui, cette nouvelle structure alourdira inutilement le processus (en plus d’encourager les entreprises à interjeter appel afin de contester ses décisions éventuelles, plutôt que de régler les litiges), ce qui défavorisera les personnes dans leurs tentatives de protéger leurs renseignements.

De plus, force est de constater (et suis bien d’accord) que C-11 cible un nombre trop restreint de violations de cette loi éventuelle comme base possible d’un recours pouvant mener à des amendes pour les entreprises délinquantes. Par exemple, aucune obligation liée à la validité des consentements qu’on aurait cherché à obtenir ne serait placée dans cette catégorie selon le projet tel qu’il existe actuellement. À ce sujet, d’ailleurs, le Commissaire critique aussi la panoplie d’exceptions au prérequis d’un consentement que prévoit le projet C-11, notamment parce que plusieurs de ces exceptions sont trop vagues pour bien servir les intérêts des individus une fois la loi en vigueur.

Le Commissaire se montre aussi réfractaire à l’approche qu’adopte C-11 en visant à permettre aux entreprises de s’autoréglementer, en quelque sorte, en adoptant des protocoles qu’elles choisissent elles-mêmes.

Pour prendre un pas de recul, le Commissaire réitère d’ailleurs qu’un problème fondamental de l’approche canadienne actuelle a trait à l’absence du droit à la protection de nos renseignements dans nos Chartes, alors que leur inclusion en ferait un droit fondamental de l’individu.

Base de données de Clearview: clairement en violation des règles canadiennes en matière de protection des renseignements personnels

Publié le par

On rapporte ce matin que le commissaire à la protection de la vie privée déclarait cette semaine que l’entreprise Clearview AI a violé les droits des Canadiens à grande échelle par l’entremise de son système de reconnaissance faciale. La base de données créée par Clearview en configurant son système pour naviguer au hasard du Web et des réseaux sociaux en fichant tout un chacun des individus que le système peut repérer et identifier. Le système aurait ainsi emmagasiné trois milliards de photographies de visages d’individus. Oui, MILLIARDS.

En fichant autant de Canadiens sans aucune permission, l’entreprise aurait donc en un sens violé la loi canadienne, d’une façon qui met les personnes à risque, notamment d’abus par les forces de l’ordre (par exemple par la GRC, jusqu’à récemment un bon client de Clearview). En pratique, à tout le moins, c’est le résultat.

On comprendra qu’il y a quelque chose de dérangeant dans une situation où des policiers pourraient ne pas avoir le pouvoir de faire X, mais y parvenir en passant par un produit comme Clearview. Devrait-on se formaliser qu’un corps policier puisse entrer la photo d’un suspect dans le système de Clearview et l’identifier, sans aucun mandat?

Du côté de l’entreprise même, on peut aussi voir comme étant problématiques les pratiques d’une société dont le système surfe en ligne et sauvegarde (c’est-à-dire inscrit sans vergogne dans sa base de données) les photos de tous les individus qu’elle parvient à identifier. Euhhh, pensez-vous?

Plusieurs commissaires (provinciaux) à la protection de la vie privée ont d’ailleurs joint leur voix à celle du commissaire fédéral à ce sujet. L’entreprise, elle, refuse d’admettre que ses activités s’avèrent problématiques, notamment parce qu’elle est américaine et donc, selon elle, non liée par les lois canadiennes. Clearview s’est d’ailleurs retirée du marché canadien en 2020, en cessant en principe d’offrir l’accès à son système à des organisations canadiennes. Selon elle, n’ayant plus de connexion suffisante avec le Canada, elle peut faire ce qu’elle veut, peu importe que cela puisse froisser les sensibilités de quelques citoyens canadiens. En vertu de la loi canadienne à ce sujet, cette position est malheureusement défendable, ce pour quoi les autorités pourraient bien frapper un mur si elles tentaient de déposer de réelles procédures contre Clearview.

À tout événement, les commissaires invitent à nouveau Clearview à supprimer les photos des Canadiens qui auraient été fichés (sans permission) dans sa base de données. Permettez-moi de ne pas retenir mon souffle pendant qu’on attend que Clearview se conforme à cette invitation.