Chronique du CTI – Conclusion du CPVP et als. : Violation des lois en matière de renseignements personnels pour un dispositif de reconnaissance faciale

Le 2 février 2021, le Commissariat à la protection de la vie privée du Canada (le CPVP), en collaboration avec la Commission d’accès à l’information du Québec (la CAI), le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (le CIPVP de la C.-B.) et le Commissariat à l’information et à la protection de la vie privée de l’Alberta (le CIPVP de l’Alberta) (collectivement les « Commissariats »), ont publié leur rapport de conclusions d’enquête sur Clearview AI, Inc. (Clearview AI). Les faits Clearview AI est une entreprise basée aux États-Unis ayant commercialisé un dispositif de reconnaissance faciale. Ce dispositif permet de prélever des images comportant notamment des visages à partir de sites web publics, de stocker ces données, de créer des identifiants biométriques, de permettre aux utilisateurs de télécharger une image afin de la comparer à celles dans la base de données et de fournir une… Lire la suite

Chronique du CTI – La gestion des risques en droit des technologies de l’information

[1] « Le risque est une dimension indissolublement liée à la vie; que l’homme s’est arraché à sa condition première par la fabrication de l’outil, facteur de risque; que le risque a pris une ampleur et des formes nouvelles lorsque l’outil s’est transformé en machine et l’artisan en ouvrier […]. Le risque, c’est bien exact, ne date pas d’aujourd’hui. »[2]  1.     D’où provient la notion de risque ? Longtemps perçu comme une punition divine, le risque est devenu quantifiable à partir du XVIIe siècle avec le développement des assurances, industrie s’appuyant sur le calcul des probabilités[3]. Les assureurs conceptualisent alors la notion autour d’un ou plusieurs événements dont la réalisation dépend de faits identifiables et, dans une certaine mesure, anticipables. Ce changement de perception a ramené le risque à un fait étudiable et par conséquent redonné à l’homme un contrôle sur son environnement. S’il est vrai que l’approche de gestion… Lire la suite

Chronique du CTI – BILL C-11: New and Improved Canadian Privacy Law

Geneviève Millie Lacroix, Lawyer Erin Schachter, Lawyer     On November 17,2020, the Innovation, Science, and Industry Minister Navdeep Bains introduced BillC-11, AnAct to Enact the Consumer Privacy Protection Act and thePersonal Information and Data Protection Tribunal Act and to make consequentialand related amendments to other Acts (CPPA). Ifenacted, the bill will enhance the protection of data that is collected by privateinstitutions throughout Canada. The legislation is still at the stages of its firstreading and will likely be amended substantially before its enactment.Nonetheless discussion of the bill in its current form is relevant tounderstand where the wind of change is blowing in relation to privacylegislation in Canada. In its current form, the bill includes many changes to Canada’sexisting framework and repeals large sections of the current federal privacylaw ThePersonal Information Protection and Electronic Documents Act (PIPEDA).Bill C-11 also implements the ten principles contained in the Canadiandigital charter which is not… Lire la suite

Chronique du CTI – Bill 64 : Quebec Seeks to Dramatically Reform the Province’s Privacy Policy

Erin Schachter, Lawyer      Itai Azerrad, articling student Bill 64, An Act to modernize legislativeprovisions as regards the protection of personal information, approved unanimously by the QuebecNational Assembly in its first reading on June 12, 2020 will, if enacted, enhance theprotection of data that is collected by public bodies and businesses within theprovince of Quebec. While the legislation may still be heavily amended, thebill in its current form includes many changes to Quebec’s existing frameworkfor using, obtaining, maintaining and destroying data.     Using Data: One of the changes that may be enacted is anincrease in the comprehensiveness of consent required to use data within theprovince.[1] According to clauses 9 and 102 of the bill,amending section 53.1 of the Act respecting Access to documents held bypublic bodies and the Protection of personal information, CQLR c A-2.1 and section 14 of theAct respecting the protection ofpersonal information in the private sector,… Lire la suite

Chronique du CTI – Uber Technologies Inc. v Heller, a threat to the viability of standard form contracts of adhesion?

Tara Mandjee, lawyer      On June 26, 2020, the Supreme Court of Canada rendered adecision against Uber Technologies Inc. (Uber), finding that the arbitrationclause in its standard form contract with its drivers was unconscionableand invalid, as it imposed theNetherlands as the place of arbitration and required its drivers to payUS$14,500 in upfront fees, irrespective of the size of the dispute. Mr. David Heller(Heller), a driver for UberEats, started a class action seeking a declarationthat Uber drivers are employees of Uber and are therefore entitled to benefitsunder the Ontario Employment Standard ActTo become a driver, Mr. Heller was required to sign a long, standard contractthat it could not negotiate and which included a provision requiring that anylegal issue under such contract had to be submitted to the InternationalChambre of Commerce for resolution. Uber contested the legal proceeding on thebasis of that arbitration clause, claiming that the case had to be… Lire la suite

Chronique du CTI – L’invalidation du bouclier de protection des données UE-États-Unis (Privacy Shield) en bref

Laurence Champagne, avocate       Introduction Dans le cadre de l’arrêt Schrems II,  la Cour deJustice de l’Union européenne (CJUE) a invalidé, le 16 juillet 2020, ladécision d’adéquation du bouclier de protection des données Privacy Shield  permettant letransfert de données personnelles entre les entreprises de l’Union européenneet des États-Unis en vue de soutenir le commerce transatlantique.  M. Maximillian Schrems, utilisateur de Facebook, a déposé une plainteauprès de l’autorité irlandaise de contrôle notamment afin d’interdire letransfert des données par Facebook Ireland vers des serveurs appartenant àFacebook Inc. aux États-Unis[1]. Il a soutenu dans sa plainteque le droit américain ne permet pas d’offrir une protection suffisante contrel’accès à ses renseignements personnels par les autorités publiquesaméricaines. L’arrêt Schrems II fait suite à la décision de la CJUE rendue en2015 invalidant le Safe Harbor (SchremsI) et invitant M. Schrems à reformuler sa plainte. L’arrêt Schrems II porte entre autres sur deux questions en… Lire la suite