Information, vie privée et diffamation

Vue d’ensemble

Notre équipe a représenté de nombreux organismes publics et privés dans le cadre de recours portant sur la nature confidentielle de documents, la validité de certaines décisions du gouvernement et le respect de la réputation et de la vie privée.

Nous agissons notamment comme conseillers juridiques auprès de plusieurs grandes sociétés, d’ordres professionnels, d’organismes publics et d’entreprises médiatiques dans les dossiers relevant du droit administratif et du droit constitutionnel. Nous avons en outre représenté divers clients dans le cadre de poursuites en diffamation et pour atteinte à la vie privée.

Chez Lavery, nous avons été le premier grand cabinet à pressentir, il y a près de 30 ans, l’importance primordiale de l’information au sein des sociétés. Qu’il s’agisse du droit d’accès à l’information gouvernementale, de la protection des renseignements personnels, de flux transfrontaliers de données, de l’usage des technologies de l’information, du respect de la vie privée et de la réputation, du droit à l’image ou du droit à l’oubli, nos avocats en droit de l’information et de la vie privée offrent une remarquable vue d’ensemble grâce à leurs services et conseils d’une rigueur inégalée. 

Services

  • Avis juridiques et résolution de litiges : protection de la vie privée et des renseignements personnels dans les secteurs public et privé en général et dans le contexte de la relation employeur-employé en particulier (politique sur la protection des renseignements personnels, vidéosurveillance, usage des technologies de l'information, collecte, utilisation et communication de renseignements personnels avant l'embauche et durant l'emploi, etc.)
  • Avis juridiques et résolution de litiges : accès à l'information gouvernementale fédérale et provinciale
  • Avis juridiques et résolution de litiges : secret professionnel et privilège relatif au litige
  • Avis juridiques et résolution de litiges : liberté de la presse, diffamation, droit à la vie privée et à l'image, et protection des sources d'information
  • Audits de conformité et gestion du risque
  • Support opérationnel en cas de perte ou de vol de renseignements personnels
  • Représentation devant les instances gouvernementales et parlementaires sur le plan des politiques et législations en matière d'accès à l'information et de protection de la vie privée
  • Relations avec les instances réglementaires provinciales et fédérales, incluant la Commission d'accès à l'information du Québec, le Commissariat à la protection de la vie privée du Canada et le Commissariat à l'information du Canada
  • Protection des renseignements commerciaux, financiers, techniques et industriels fournis aux gouvernements par les entreprises
  • Interprétation des règles en matière de télémarketing et de prospection philanthropique
  • Recours collectifs dans les domaines de la protection des renseignements personnels et du respect de la vie privée
  • Structuration des transactions commerciales nationales et internationales par Internet
  • Soutien à la gestion et à l'organisation des entreprises et des organismes publics pour assurer le respect des règles de protection des données personnelles, notamment lors de la conception de systèmes informatiques et de sites Internet
  • Protection de la vie privée, de l'image et de la réputation dans le cadre de l'exploitation des nouvelles technologies de l'information (Internet, médias sociaux et informatique en nuage)
  • Archivage et transfert de documents sur des supports technologiques
  • Application de la nouvelle Loi canadienne anti-pourriel
  • Application de la Loi sur la transparence et l'éthique en matière de lobbyisme et de la Loi sur le lobbying
  • Application au Canada des directives européennes concernant le traitement des données à caractère personnel, de la loi américaine Helms-Burton, du Patriot Act et des ITAR
  • Conseils en matière de droit à l'oubli
  1. Projets biotechnologiques au Québec : Les pièges juridiques de l’exploitation de l’ADN et des tissus humains

    Les projets biotechnologiques reposent sur des données génétiques et du matériel biologique sensibles Les entreprises innovantes évoluant dans les secteurs des sciences de la vie, de la recherche et des biotechnologies manipulent aujourd’hui des actifs parmi les plus sensibles sur le plan juridique : tissus humains, matériel biologique et données génétiques. Qu’il s’agisse d’ingénierie tissulaire, de biobanques ou de technologies d’analyse reposant sur l’intelligence artificielle, les modèles d’innovation se développent désormais autour de la circulation et de l’exploitation de données biologiques à forte valeur scientifique et commerciale. Pourtant, plusieurs organisations concentrent encore leurs efforts sur les dimensions scientifiques et opérationnelles de leurs projets, sans toujours mesurer pleinement les contraintes juridiques qui apparaissent dès qu’un projet implique de l’ADN ou du matériel biologique associé à une personne. Le risque d’un point de vue commercial est donc qu’une organisation, qu’elle soit une entreprise privée ou une institution publique, développe une technologie, mais soit incapable de l’exploiter commercialement, faute d’avoir les droits nécessaires à l’utilisation du matériel biologique et des renseignements impliqués. Au Canada, et plus particulièrement au Québec, les lois relatives à la protection des renseignements personnels et des renseignements de santé constituent désormais la pierre angulaire de ces projets1. Cette réalité dépasse largement les enjeux traditionnels de cybersécurité ou de confidentialité. Elle influence directement la manière dont le matériel biologique peut être : collecté; utilisé; transféré; conservé; transformé; et éventuellement valorisé dans un contexte commercial ou de recherche collaborative2. Pourquoi l’ADN et les tissus humains bénéficient d’une protection juridique particulière La sensibilité particulière de l’ADN et des données génétiques n’est d’ailleurs plus contestée. La jurisprudence canadienne reconnaît depuis longtemps le caractère hautement personnel et intime de ce type d’information3. La doctrine souligne également que les tissus humains et les données génétiques occupent une place particulière dans les projets de recherche et d’innovation en raison de leur potentiel d’identification, de leur valeur scientifique et des enjeux éthiques et commerciaux associés à leur utilisation4. Cette approche se reflète notamment dans la Loi sur les renseignements de santé et de services sociaux5, dont l’article 2 qualifie expressément de renseignement de santé toute information concernant « tout matériel prélevé sur [une] personne », incluant le matériel biologique. Les articles 5 et suivants de cette loi encadrent également les conditions dans lesquelles ces renseignements peuvent être utilisés, communiqués ou transférés dans un contexte de recherche ou de collaboration impliquant des tiers6. Ces obligations s’ajoutent à celles prévues par la Loi sur la protection des renseignements personnels dans le secteur privé7, qui impose notamment que les renseignements personnels soient recueillis pour des fins déterminées et légitimes, et que leur utilisation demeure compatible avec les objectifs ayant justifié leur collecte initiale8. Intelligence artificielle, données génétiques et risques de réidentification Dans un contexte biotechnologique, cette question devient particulièrement sensible lorsque des tissus humains ou des données génétiques initialement recueillis dans un cadre clinique ou scientifique sont ensuite réutilisés dans des projets technologiques ou d’intelligence artificielle. En effet, beaucoup de projets où l’intelligence artificielle est utilisée requièrent à la fois l’utilisation de matériel biologique et de l’ADN, mais aussi des données phénotypiques, des renseignements de santé, ainsi que des renseignements familiaux des patients dont provient le matériel biologique. On parle donc ici d’un risque de croisement de données qui est substantiel et qui doit être encadré en toute conscience des risques pour ces individus. Dans certains projets, il semble probable que la combinaison de l’ADN et de renseignements familiaux compromette non seulement la vie privée des individus desquels le matériel biologique a été prélevé, mais aussi de membres de leurs familles. Ce type d’enjeu a déjà été soulevé d’ailleurs dans le cadre de la génétique généalogique9. Consentement, renseignements de santé et usages secondaires : un enjeu souvent sous-estimé Un projet initialement conçu à des fins de recherche peut rapidement évoluer vers des usages secondaires dépassant le cadre initial envisagé. Pourtant, les mécanismes de consentement obtenus au départ ne couvrent pas nécessairement l’ensemble des usages futurs, notamment lorsque des données dérivées ou des résultats d’analyse sont intégrés à des plateformes technologiques ou utilisés dans le développement d’outils analytiques10. Contrats de recherche et transfert de matériel biologique : un outil essentiel de gouvernance Les contrats deviennent alors l’outil central de gouvernance. Dans ce contexte, les conventions de transfert de matériel biologique, les ententes de recherche collaborative et les clauses relatives aux données ne servent plus uniquement à encadrer la propriété intellectuelle ou la confidentialité commerciale. Elles permettent également de structurer les responsabilités liées à la circulation des échantillons biologiques, à la traçabilité des données, aux restrictions de réutilisation et aux obligations de dépersonnalisation11. Propriété intellectuelle, ADN et renseignements personnels : des droits complémentaires Cette interaction entre innovation biotechnologique, propriété intellectuelle et protection des renseignements personnels soulève des tensions juridiques complexes. Une base de données génétiques ou un modèle biologique dérivé peut représenter simultanément un actif commercial stratégique et un ensemble de renseignements personnels hautement sensibles. Or, les droits de propriété intellectuelle pouvant exister sur les résultats, les algorithmes ou les méthodes analytiques ne permettent pas d’écarter les obligations imposées par les lois québécoises relatives à la protection des renseignements personnels et des renseignements de santé12. Au contraire, pour pouvoir exploiter commercialement une technologie, il faut à la fois avoir les droits nécessaires sur la propriété intellectuelle, mais aussi ceux découlant du cadre juridique associé aux renseignements de santé et aux renseignements personnels. L’exploitation commerciale d’une technologie commence bien avant sa mise en marché Dans un contexte où les organisations cherchent de plus en plus à valoriser les données issues de la recherche scientifique, les enjeux liés à la gouvernance des tissus humains, de l’ADN et du matériel biologique ne devraient plus être abordés comme une considération accessoire traitée en fin de projet. Ils deviennent un élément central de la structuration juridique, opérationnelle et commerciale des projets biotechnologiques modernes et méritent donc qu’on s’y attarde en amont. À retenir 1. L'ADN est juridiquement un renseignement de santé  Au Québec, le matériel biologique et les données génétiques ne sont pas de simples outils de recherche. Selon la loi, ils sont qualifiés de « renseignements de santé » hautement sensibles. La collecte, l'utilisation et le transfert sont strictement encadrés, exigeant un consentement exprès et éclairé. 2. La propriété intellectuelle ne donne pas tous les droits Développer un algorithme d'IA performant ou un modèle biologique innovant ne permet pas de contourner les lois québécoises sur la protection de la vie privée. Pour commercialiser une technologie biotechnologique, il faut impérativement détenir les droits de propriété intellectuelle ET respecter le cadre juridique des données de santé utilisées. 3. Le piège de l’évolution des projets (usages secondaires) Un consentement obtenu au départ pour un projet de recherche clinique ne couvre généralement pas les usages futurs (comme l'intégration des données dans des plateformes d'IA). Sans une gouvernance contractuelle solide dès le départ (conventions de transfert, clauses de dépersonnalisation), l'organisation risque de ne jamais pouvoir exploiter commercialement sa technologie. Loi sur les renseignements de santé et de services sociaux, RLRQ c R-22.1, art 1, 2, 5, 44 à 49 et 77. Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art 4, 5, 8, 12 et 14. R c. Dyment, [1988] 2 RCS 417; R c S.A.B., 2003 CSC 60. Marie Hirtle et Bartha Maria Knoppers, Le stockage des éléments du corps humain, les droits de propriété intellectuelle et les autres droits de propriété, Industrie Canada, 2014. Loi sur les renseignements de santé et de services sociaux, préc., note 1, art 2. Id., art 5, 44 à 49 et 77. Loi sur la protection des renseignements personnels dans le secteur privé, préc., note 2. Id., art 4, 5, 8, 12 et 14. Clausius, K., Kenny, E. & Crawford, M. J. (2023). BILL S-231: The Ethics of Familial and Genetic Genealogical Searching in Criminal Investigations. Canadian Journal of Bioethics / Revue canadienne de bioéthique, 6(3-4), 44–56.  Loi sur les renseignements de santé et de services sociaux, préc., note 1, art 44 à 49; Loi sur la protection des renseignements personnels dans le secteur privé, préc., note 2, art 12 et 14. Loi sur les renseignements de santé et de services sociaux, préc., note 1, art 48 et 49; Loi sur la protection des renseignements personnels dans le secteur privé, préc., note 2, art 18.3 et 23. Loi sur les renseignements de santé et de services sociaux, préc., note 1, art 5 et 49; Loi sur la protection des renseignements personnels dans le secteur privé, préc., note 2, art 12, 17 et 18.3.

    Lire la suite
  2. Dans les coulisses du sport : là où les données ne prennent jamais de pause

    L’Agence mondiale antidopage en sait quelque chose. Victime d’une fuite de données en 2016, elle a illustré de manière éclatante que même les institutions sportives les plus en vue ne sont pas à l’abri des cyber incidents. Ce constat est désormais repris noir sur blanc par les autorités : dans un bulletin publié en 2024, le Centre canadien pour la cybersécurité prévient que l’ensemble de l’écosystème sportif, (spectateurs, athlètes, organisations et représentants gouvernementaux liés aux événements sportifs) fait l’objet de campagnes de cyberattaques ciblées.  Au programme, notamment : extorsion par compromission de courriels professionnels; rançongiciels; hameçonnage; sites malveillants; empoisonnement des moteurs de recherche. Or, lorsque survient un incident et qu’une déclaration aux autorités s’impose, il est bien souvent trop tard pour instaurer une gouvernance solide et faire preuve de diligence raisonnable. À l’heure actuelle, les compétitions sportives produisent un torrent de données. La quantité est effarante, leur nature quasi orwellienne. Les partisans et athlètes peuvent le constater dans les tableaux qui suivent Collecte sur les athlètes  Ligues Types de renseignements recueillis NFL Données de performance et de suivi (statistiques, position/mouvement, vitesse, statistiques liées aux passes, courses et réceptions) Données médicales/santé (examens, blessures, protocoles commotions) Données de dépistage (substances) Données disciplinaires/enquêtes Données professionnelles/contractuelles Déplacements/logistique/sécurité LNH Données de performance/suivi Données médicales/santé (examens, blessures, protocoles commotions) Données de dépistage (substances) Données disciplinaires/enquêtes Données professionnelles/contractuelles Déplacements/logistique/sécurité MLB Données de performance et de suivi Données médicales/santé (examens, blessures, protocoles commotions) Données de dépistage (substances) Données disciplinaires/enquêtes Données professionnelles/contractuelles Déplacements/logistique/sécurité   Collecte de renseignements sur les clients (en ligne)  Ligues Types de renseignements recueillis NFL Renseignements fournis par la personne  Identifiants: nom, courriel, adresse postale, téléphone, date de naissance; identifiants uniques (nom d’utilisateur, mot de passe, SSN et autres identifiants gouvernementaux si requis, p. ex. pour des prix). Données démographiques et autres catégories protégées: genre, race, ethnicité, orientation sexuelle. Informations financières et commerciales: données de paiement, historique d’achats. Géolocalisation en temps réel (y compris précise). Préférences de communication et de marketing. Équipe favorite et inférences sur vos préférences. Informations audio/électroniques/visuelles (p. ex., photos fournies). Données biométriques (si vous optez pour l’authentification biométrique au stade; avec consentement et avis supplémentaire si requis). Informations sur vos contacts (nom, courriel) que vous partagez; si autorisé, accès à vos contacts, calendriers et photos. Requêtes de recherche. Contenus publiés (commentaires, forums). Informations professionnelles et d’emploi. Informations d’éducation. Informations pouvant être de santé (p. ex., sièges accessibles). Correspondance, renonciations/acceptations et autres informations envoyées. Collecte automatique  Identifiants et techniques d’appareil/réseau: IP, MAC, identifiants publicitaires, type d’appareil, navigateur/OS. Activités d’utilisation: pages vues, liens cliqués, parcours, données d’usage de l’application. Suivi et courriels: témoins/pixels/ balises, interactions avec courriels (ouvertures/clics). Médias sociaux (si liés): données reçues selon vos paramètres et la politique de la plateforme. Journaux et trafic: logs serveur, trafic sur le WiFi des stades Captation visuelle/sonore: CCTV et prises d’images/vidéos lors d’événements. LNH Renseignements fournis par la personne Identifiants et coordonnées (nom, courriel, téléphone, adresse, date de naissance), Informations commerciales (paiement, achats/services), Données démographiques (langue, âge, genre, race/ethnicité, composition et revenu du ménage), Préférences (club/joueurs favoris), Photos/vidéos, Contenus/retours (commentaires, sondages), Coordonnées d’amis Données de candidature (CV, références, vérifications permises). Collecte automatique Activité et interactions (contenus vus, enchères/achats, temps passé, témoins/balises), modalités d’accès (navigateur, OS, adresse IP, historique de navigation avant/après), Informations et identifiants d’appareil (type, identifiants uniques, contenus locaux si autorisés), Localisation (GPS/Bluetooth/WiFi, cellules), Inférences sur les préférences; Éléments commerciaux liés aux transactions (p. ex., horodatage). Collecte auprès de tiers Clubs membres (billetterie, identifiants, journaux d’usage); Fanatics/NHL Shop & Auctions (nom, courriel, articles achetés; statistiques d’engagement marketing); Autres partenaires commerciaux, sources publiques/commerciales (courtiers de données); Réseaux sociaux connectés (selon les paramètres et la politique de la plateforme). Club de la LNH * Coordonnées : nom, courriel, adresse postale, sexe, date de naissance, téléphone (p. ex., achat/transfert de billet, création de compte, demandes, concours/promo). Données démographiques et préférences (groupe d’âge, race, genre; événements/produits préférés, p. ex., sondages). Données de santé liées à des besoins d’accessibilité. Vidéo surveillance dans les salles (sécurité; partage limité selon la loi). Analyses anonymes d’achalandage et comptage d’appareils (caméras/technos; WiFi); statistiques pouvant être partagées avec des partenaires. Analytique Web (Google Analytics) dépersonnalisée; option de désactivation. Publicité/remarketing en ligne (Google, Facebook, LinkedIn, etc.) via témoins; mécanismes de retrait (paramètres plateformes; DAAC). Géolocalisation via applications (si activée). Médias sociaux : données de profil et interactions autorisées; Données techniques (IP, navigateur, OS, résolution, localisation, langue, provenance, mots-clés, pages vues, données saisies, annonces vues), identifiants (IDFA, AAID), infos de connexion (opérateur, FAI, WiFi); possibilité de reconnaître un appareil). MLB Renseignements fournis par la personne Identifiants et coordonnées: nom complet, adresse courriel, adresse postale, numéros de téléphone, date de naissance. Sécurité et authentification: mot de passe. Paiements : données de paiement. Données démographiques: caractéristiques démographiques. Contenus et enregistrements: enregistrements vocaux, enregistrements audiovisuels. Préférences et intérêts: informations sur vos intérêts et préférences. Données liées à des activités/événements : renseignements demandés pour une activité ou un événement (p. ex., contact d’urgence). Renseignements personnels sensibles: au sens des lois applicables (p. ex., origine raciale ou ethnique; informations de santé comme handicap ou allergies). Collecte automatique  Données techniques et d’utilisation: adresses IP, données d’appareil, données d’utilisation. Localisation et contacts : données de localisation; contacts enregistrés sur votre appareil mobile. Collecte auprès de tiers Données provenant de tiers/intégrations : informations fournies par d’autres entreprises si la personne connecte leurs services. *Cette collecte se fait sur les utilisateurs du site Web, les personnes qui visitent les salles, les personnes qui postulent à un emploi ou participent à un concours, les personnes qui soumettent des projets.    Structure des ligues Pour comprendre qui fait quoi en matière de protection des renseignements personnels, il faut d’abord regarder comment les ligues sportives sont organisées. Dans la plupart des cas, elles prennent la forme d’organismes sans but lucratif ou de sociétés par actions. Autour de cette structure se construit tout un cadre de règles qui définit à la fois la gouvernance et le modèle d’affaires. On y retrouve : D’abord les statuts et règlements généraux, qui encadrent la gouvernance, l’admission des clubs, le droit de vote, les pouvoirs du commissaire ou du conseil; S’ajoutent les règlements sportifs et de compétition, qui traitent notamment de l’éligibilité, du calendrier, des transferts, du repêchage, des plafonds salariaux ou des mécanismes de contrôle des coûts; Les ligues adoptent également des politiques d’intégrité et de sécurité contre le dopage, les paris et la manipulation, le harcèlement et les abus, ainsi que des conventions commerciales portant, entre autres, sur la diffusion, les commandites, la billetterie et l’exploitation des données. Dans certains cas, ce cadre est complété par des conventions collectives avec les associations de joueurs et des mécanismes formels de règlement des différends. Dans cet environnement, la ligue joue un rôle central. Elle dispose généralement du pouvoir : d’adopter, d’interpréter et de modifier ses règles; d’admettre de nouveaux clubs; de gérer les projets d’expansion et de relocalisation et les changements de contrôle; et d’imposer des sanctions comme des amendes, des retraits de points, des suspensions ou des exclusions. Elle centralise aussi les droits commerciaux stratégiques, les droits médias, les marques de commerce et les données et met en place des politiques de partage des revenus destinées à maintenir un certain équilibre concurrentiel entre les équipes. Rôles en matière de renseignements personnels Le club Dans la relation quotidienne avec l’athlète ou le client, le club est généralement le point de contact principal. C’est lui qui signe les contrats avec les joueurs, vend les billets, gère les abonnements, exploite la boutique en ligne et les programmes de fidélité. Concrètement, c’est souvent le club qui recueille les renseignements personnels, qui explique à quoi ils servent, qui décide des renseignements qu’il est nécessaire de recueillir et qui met en place les mesures de sécurité et de gestion des incidents. Le club doit donc être en mesure d’informer clairement l’athlète ou le client au moment de la collecte sur les finalités de la collecte, les moyens par lesquels s’effectue la collecte, les catégories de renseignements recueillis, les destinataires de ces renseignements et les droits dont ils bénéficient. Il doit limiter la collecte à ce qui est nécessaire et s’assurer de l’exactitude des renseignements, obtenir un consentement valide, manifeste, libre, éclairé et explicite pour les renseignements sensibles comme les données de santé ou biométriques, mettre en place des mesures de sécurité adaptées aux risques, gérer et déclarer les incidents de confidentialité susceptibles de causer un préjudice sérieux, répondre aux demandes d’accès et de rectification et encadrer rigoureusement la communication de renseignements à ses prestataires de services ou ses mandataires. Aux yeux des athlètes et des clients, le club est souvent perçu comme le véritable « détenteur » de leurs données. La Ligue Le rôle de la ligue en matière de renseignements personnels est plus difficile à saisir parce qu’il varie selon les activités. Lorsque la ligue collecte directement des renseignements auprès des personnes, par exemple via une application officielle, une plateforme de diffusion ou un site transactionnel pour ses propres fins, elle doit assumer des responsabilités comparables à celles d’un club. C’est ce que fait, par exemple, MLB Advanced Media, qui se définit comme « responsable de traitement » à l’égard des données de ses clients. Mais dans bien des cas, la ligue agit plutôt en coulisse. À certains égards, elle joue un rôle de mandataire des clubs, en négociant et en signant des contrats technologiques, des conventions de télédiffusion ou d’autres ententes commerciales qui seront déployés au niveau des clubs. À d’autres égards, elle agit comme prestataire de services, en offrant des plateformes technologiques centralisées, des systèmes de billetterie, des infrastructures de données ou des services administratifs partagés. En droit québécois, ces deux rôles – mandataire et prestataire de services – sont traités sous la même logique : le club peut transmettre à la ligue les renseignements nécessaires à l’exécution du mandat ou du contrat de service, sans avoir à redemander le consentement de chaque personne, à condition qu’une entente écrite impose des mesures claires de protection de la confidentialité, limite l’utilisation aux seules fins du mandat ou du service et encadre la conservation des données. La ligue doit aussi aviser rapidement le responsable de la protection des renseignements personnels du club de toute violation ou tentative de violation de la confidentialité et lui permettre d’effectuer des vérifications. Par ailleurs, les clubs et la ligue peuvent toujours choisir de fonder certains échanges d’information sur le consentement explicite des athlètes ou des clients. Encore faut-il que ce consentement soit réellement manifeste, libre, éclairé, donné pour des fins spécifiques et présenté de manière distincte lorsqu’il est demandé par écrit. Conclusion Même si l’analyse porte souvent sur les ligues professionnelles, la même logique s’applique aux organisations sportives amateurs ou non professionnelles. Dans tous les cas, la relation entre la ligue, le club et l’athlète ou le client doit être clairement encadrée sous l’angle de la vie privée. Les organisations sportives ont intérêt à cartographier les flux de renseignements personnels, à harmoniser les messages d’information donnés aux personnes concernées, à se doter d’une entente type encadrant la communication de renseignements entre les clubs et la ligue, à prévoir des mécanismes simples d’accès et de rectification, et à former les intervenants clés. Intégrer ces éléments dans les statuts, règlements et ententes des clubs et de la ligue permet à la fois de réduire les risques et de renforcer la confiance des athlètes, des parents, des partisans et des partenaires commerciaux. Reste une question de fond, toutefois : compte tenu du critère légal de nécessité pour des fins sérieuses et légitimes, la masse de renseignements aujourd’hui collectés dans l’écosystème sportif est-elle vraiment justifiée ? C’est là un débat stratégique que les organisations sportives ne pourront pas éviter.  

    Lire la suite
  3. Anonymiser des données : pas aussi simple qu’il n’y paraît

    Les angles morts à vérifier lors de l’anonymisation des données L’anonymisation est devenue une étape essentielle pour valoriser des jeux de données à des fins d’innovation, notamment en intelligence artificielle. À défaut d’un processus d’anonymisation mené selon les règles de l’art, les entreprises peuvent s’exposer à des sanctions financières, à des recours judiciaires et à un risque réputationnel accru et, par le fait même, à des répercussions potentiellement majeures sur leurs activités. Processus d’anonymisation Ce qu’en dit la loi La Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé ») et laLoi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès ») prévoient qu’un renseignement concernant une personne physique est anonymisé lorsqu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. Puisqu’un renseignement anonymisé ne constitue plus alors un renseignement personnel, cette distinction revêt une importance capitale. Or, mis à part ces critères, les deux lois ne détaillent pas le processus d’anonymisation. Pour pallier cette lacune, le gouvernement a adopté le Règlement sur l’anonymisation des renseignements personnels (le « Règlement »), dont l’objet est de définir les critères du processus d’anonymisation et de fixer un cadre qui s’appuie sur des normes élevées de protection de la vie privée. Ce que les entreprises doivent savoir avant d’amorcer un processus d’anonymisation Suivant le Règlement, avant d’amorcer un processus d’anonymisation, l’entreprise ou l’organisme désirant anonymiser des renseignements doit définir les fins « sérieuses et légitimes » auxquelles ceux-ci sont destinés. Ces fins doivent demeurer conformes, selon le cas, à la Loi sur le privé ou à la Loi sur l’accès, et toute nouvelle finalité doit être soumise à la même exigence. Par ailleurs, le processus doit se dérouler sous la supervision d’une personne compétente en la matière, apte à sélectionner et à appliquer les techniques appropriées. Cette supervision vise à garantir non seulement la mise en œuvre adéquate des méthodes retenues, mais aussi à assurer la validation continue des choix technologiques et des mesures de sécurité. 4 étapes clés du processus d’anonymisation des renseignements   DépersonnalisationDans un premier temps, il est nécessaire d’entreprendre une dépersonnalisation. Cette opération consiste à retirer ou à remplacer tout renseignement personnel permettant l’identification directe (tels le nom, l’adresse ou le numéro de téléphone) par des pseudonymes. Il importe toutefois de bien prévoir les interactions entre les différents ensembles de données, afin de réduire au maximum les risques de retrouver des renseignements qui permettraient de reconnaître une personne. Analyse préliminaire des risques de réidentificationUne analyse préliminaire des risques de réidentification doit ensuite être menée. Cette deuxième étape repose notamment sur le critère d’individualisation (impossibilité d’isoler une personne), le critère de corrélation (impossibilité de faire le lien entre plusieurs ensembles de données relatifs à une même personne) et le critère d’inférence (impossibilité de déduire des renseignements personnels à partir d’autres informations disponibles). Les outils d’anonymisation les plus couramment utilisés sont l’agrégation, la suppression, la généralisation et la perturbation. Par ailleurs, des mesures de protection adéquates, comme un chiffrement de haut niveau et des contrôles d’accès restrictifs, doivent être prévues afin minimiser la probabilité de réidentification. Approfondissement de l’analyse préliminaire des risques de réidentificationUne fois les deux premières étapes franchies, une analyse approfondie des risques de réidentification doit être effectuée. Force est de reconnaître qu’aucun risque ne peut être nul. Toutefois, ce risque doit être maintenu aussi faible que possible, en prenant en considération la sensibilité des renseignements, la disponibilité d’autres données publiques et la complexité nécessaire pour tenter une réidentification. Afin de maintenir ce très faible niveau de risque, une évaluation périodique doit être effectuée en tenant compte des progrès technologiques susceptibles de faciliter la réidentification. Consignation d’une description des renseignements anonymisésEnfin, il est essentiel de consigner dans un registre une description des renseignements anonymisés, les fins pour lesquelles ils sont utilisés, les techniques employées et les mesures de sécurité prises, ainsi que les dates des analyses ou des mises à jour effectuées. Cette consignation renforce la transparence et sert à démontrer que l’entreprise ou l’organisme désirant anonymiser des renseignements s’acquitte de ses obligations légales.

    Lire la suite
  4. Quatre conseils aux entreprises pour éviter la dépendance et la vulnérabilité à l’Intelligence Artificielle

    Alors que le monde discute des guerres tarifaires touchant divers produits, on néglige parfois les risques pour les technologies de l’information. Pourtant, plusieurs entreprises s’appuient sur l’intelligence artificielle pour la prestation de leurs services. Plus particulièrement, l’usage des grands modèles de langage est intégré dans une foule de technologies, dont ChatGPT a été le porte-étendard. Mais les entreprises doivent-elles se placer en situation de dépendance face à des fournisseurs de services technologiques s’ils sont basés uniquement aux États-Unis? Des solutions de rechange chinoises telles Deepseek font parler d’elles, mais soulèvent des questions sur la sécurité des données et le contrôle de l’information qui y est associé. La professeure Teresa Scassa écrivait déjà, en 2023, que la souveraineté en matière d’intelligence artificielle prend différentes formes, incluant la souveraineté étatique, mais aussi la souveraineté des communautés sur les données et la souveraineté individuelle1. D’autres invoquent déjà l’intelligence artificielle comme un vecteur du recalibrage des intérêts internationaux2. Dans ce contexte, comment les entreprises peuvent-elles se prémunir contre les fluctuations qui pourraient être décidées par des autorités gouvernementales d’un pays ou d’un autre? À notre avis, c’est justement en exerçant une certaine souveraineté à leur échelle que les entreprises peuvent se préparer à de tels changements. Quelques conseils : Comprendre les enjeux de propriété intellectuelle : Les grands modèles de langage sous-jacents à la majorité des technologies d’intelligence artificielle sont parfois offerts sous des licences ouvertes (open source), mais certaines technologies sont diffusées sous des licences commerciales restrictives. Il est important de comprendre les contraintes des licences sous lesquelles ces technologies sont offertes. Dans certains cas, le propriétaire du modèle de langage se réserve le droit de modifier ou restreindre les fonctionnalités de la technologie sans préavis. À l’inverse, des licences ouvertes permissives permettent d’utiliser un modèle de langage sans limite de temps. Par ailleurs, il est stratégique pour une entreprise de garder la propriété intellectuelle sur ses compilations de données qui peuvent être intégrées dans des solutions d’intelligence artificielle. Considérer d’autres options : Dès lors que la technologie est appelée à manipuler des renseignements personnels, une évaluation des facteurs relatifs à la vie privée est requise par la loi avant l’acquisition, le développement ou la refonte technologique[3]. Même dans les cas où cette évaluation n’est pas requise par la loi, il est prudent d’évaluer les risques liés aux choix technologiques. S’il s’agit d’une solution intégrée par un fournisseur, existe-t-il d’autres options? Serait-on en mesure de migrer rapidement vers une de ces options en cas de difficulté? S’il s’agit d’une solution développée sur mesure, est-elle limitée à un seul grand modèle de langage sous-jacent? Favoriser une approche modulaire : Lorsqu’un fournisseur externe est choisi pour fournir le service d’un grand modèle de langage, c’est souvent parce qu’il offre une solution intégrée dans d’autres applications que l’entreprise utilise déjà ou par l’intermédiaire d’une interface de programmation applicative développée sur mesure pour l’entreprise. Il faut se poser la question : en cas de difficulté, comment pourrait-on remplacer ce modèle de langage ou l’application? S’il s’agit d’une solution complètement intégrée par un fournisseur, celui-ci offre-t-il des garanties suffisantes quant à sa capacité de remplacer un modèle de langage qui ne serait plus disponible? S’il s’agit d’une solution sur mesure, est-il possible, dès sa conception, de prévoir la possibilité de remplacer un modèle de langage par un autre? Faire un choix proportionné : Ce ne sont pas toutes les applications qui nécessitent les modèles de langage les plus puissants. Lorsque l’objectif technologique est modéré, plus de possibilités peuvent être considérées, dont des solutions basées sur des serveurs locaux qui utilisent des modèles de langage sous licences ouvertes. En prime, le choix d’un modèle de langage proportionné aux besoins diminue l’empreinte environnementale négative de ces technologies en termes de consommation d’énergie.  Ces différentes approches s’articulent par différentes interventions où les enjeux juridiques doivent être pris en considération de concert avec les contraintes technologiques. La compréhension des licences et des enjeux de propriété intellectuelle, l’évaluation des facteurs relatifs à la vie privée, les clauses de limitation de responsabilité imposées par certains fournisseurs, autant d'aspects qui doivent être considérés en amont. Il s’agit là non seulement de faire preuve de prudence, mais aussi de profiter des occasions qui s’offrent à nos entreprises de se démarquer dans l’innovation technologique et d’exercer un meilleur contrôle sur leur avenir. Scassa, T. (2023). Sovereignty and the governance of artificial intelligence. UCLA L. Rev. Discourse, 71, 214. Xu, W., Wang, S., & Zuo, X. (2025). Whose victory? A perspective on shifts in US-China cross-border data flow rules in the AI era. The Pacific Review, 1-27. Voir notamment la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art. 3.3.

    Lire la suite
  1. Lavery est reconnu dans le nouveau répertoire des meilleurs cabinets d'avocats au Canada par Best Lawyer pour 2025

    Nous sommes heureux d’annoncer que Lavery a été reconnu parmi les meilleurs cabinets d'avocats dans la nouvelle édition du répertoire Best Law Firms - Canada publié par Best Lawyers pour 2025. Notre cabinet a été classé dans 16 domaines de pratique au niveau national et 50 domaines de pratique à l'échelle régionale. Ces reconnaissances sont une démonstration renouvelée de l’expertise et de la qualité des services juridiques qui caractérisent les membres de Lavery. Les cabinets figurant sur la liste 2025 Best Lawyers - Canada sont reconnus pour leur excellence professionnelle au travers des évaluations de leurs clients et de leurs pairs. Lavery a été classé dans le répertoire 2025 Best Law Firms - Canada dans les catégories suivantes. Notez que les pratiques reflètent celles de Best Lawyers : Tier 1 Administrative and Public Law (National / Regional) Banking and Finance Law (Regional) Class Action Litigation (Regional) Commercial Leasing Law (Regional) Construction Law (Regional) Corporate and Commercial Litigation (Regional) Corporate Law (Regional) Family Law (National / Regional) Information Technology Law (Regional) Insolvency and Financial Restructuring Law (Regional) Insurance Law (National / Regional) Intellectual Property Law (Regional) Labour and Employment Law (Regional) Mergers and Acquisitions Law (Regional) Mining Law (Regional) Natural Resources Law (Regional) Product Liability Law (Regional) Securities Law (Regional) Trusts and Estates (Regional) Workers' Compensation Law (Regional) Tier 2 Administrative and Public Law (Regional) Advertising and Marketing Law (Regional) Alternative Dispute Resolution (Regional) Biotechnology and Life Sciences Practice (Regional) Class Action Litigation (National) Corporate Governance Practice (Regional) Corporate Law (National / Regional) Director and Officer Liability Practice (Regional) Energy Law (Regional) Environmental Law (Regional) Family Law (Regional) Health Care Law (Regional) Insurance Law (Regional) Intellectual Property Law (National) Labour and Employment Law (National) Professional Malpractice Law (Regional) Real Estate Law (Regional) Tax Law (Regional) Trusts and Estates (National) Tier 3 Aboriginal Law / Indigenous Practice (Regional) Alternative Dispute Resolution (Regional) Banking and Finance Law (National) Construction Law (National) Corporate and Commercial Litigation (National) Defamation and Media Law (Regional) Employee Benefits Law (Regional) Equipment Finance Law (Regional) Family Law Mediation (Regional) Health Care Law (Regional) Insolvency and Financial Restructuring Law (National) Mergers and Acquisitions Law (National) Mining Law (National) Privacy and Data Security Law (Regional) Private Funds Law (Regional) Professional Malpractice Law (Regional) Project Finance Law (Regional) Securities Law (National) Workers' Compensation Law (National) À propos de Lavery Lavery est la firme juridique indépendante de référence au Québec. Elle compte plus de 200 professionnels établis à Montréal, Québec, Sherbrooke et Trois-Rivières, qui œuvrent chaque jour pour offrir toute la gamme des services juridiques aux organisations qui font des affaires au Québec. Reconnus par les plus prestigieux répertoires juridiques, les professionnels de Lavery sont au cœur de ce qui bouge dans le milieu des affaires et s'impliquent activement dans leurs communautés. L'expertise du cabinet est fréquemment sollicitée par de nombreux partenaires nationaux et mondiaux pour les accompagner dans des dossiers de juridiction québécoise. À propos de Best Lawyers Best Lawyers est le service de classement d’avocats le plus ancien et respecté au monde. Depuis plus de 40 ans, il aide ceux qui ont besoin de services juridiques à trouver les avocats les mieux qualifiés pour les représenter dans des territoires éloignés ou dans des domaines spécialisés du droit. Les classements de Best Lawyers sont diffusés dans des publications locales, régionales et nationales de premier plan à travers le monde.

    Lire la suite
  2. Bernard Larocque nommé juge à la Cour supérieure du Québec

    C'est avec une immense fierté que nous avons accueilli l'annonce du ministre de la Justice qui confirme la nomination de Bernard Larocque comme juge de la Cour supérieure du Québec pour le district de Montréal. La Cour supérieure du Québec est le tribunal de droit commun au Québec qui entend en première instance toute demande en justice qu'une disposition formelle d'une loi n'a pas confiée à un autre tribunal. La Cour supérieure joue un rôle de premier plan dans le système de justice du Québec. Arrivé au cabinet en 1998 au sein du groupe de litige, Bernard Larocque est devenu associé dès 2003. Sa pratique s'est concentrée en litige civil, dont notamment la diffamation, le droit des assurances, l'action collective, la responsabilité professionnelle et le litige administratif. Il a fréquemment plaidé devant les tribunaux, dont la Cour suprême du Canada et la Cour d'appel du Québec. Son excellence et sa réputation comme avocat plaideur lui ont d'ailleurs valu d'être consacré Fellow par le prestigieux American College of Trial Lawyers (ACTL) en mars 2020. Bernard a aussi toujours rayonné sur le plan communautaire et a été très impliqué au sein du conseil d'administration de Justice Pro Bono pendant plus de vingt ans, conseil qu'il préside depuis 2020. « Bernard rejoint à la magistrature plusieurs de ses anciens collègues et amis du cabinet. Il incarne parfaitement les valeurs de Lavery, animé par l'excellence et la rigueur, un sens profond du devoir et un désir de redonner à la société. Des qualités qui le suivront dans cette prochaine étape importante de sa carrière juridique », conclut Anik Trudel, cheffe de la direction chez Lavery.

    Lire la suite
  3. Marie-Hélène Jolicoeur conférencière à l’ACUQ

    Ce printemps, Marie-Hélène Jolicoeur, associée au sein du groupe Droit du travail et de l’emploi, a présenté à quatre reprises une formation d’une durée de quatre heures à près d’une centaine de préposés de centres d’appels d’urgence au Québec. Ces formations s’inscrivent  dans le contexte d’un programme d’amélioration des compétences mis sur pied par l’Association des centres d’urgence du Québec (ACUQ). Intitulée Médias sociaux et confidentialité de l’information, la formation  avait notamment pour objectif de rappeler les obligations légales auxquelles sont tenus les préposés des centres d’appels d’urgence et d’analyser les impacts en matière d’emploi que peut avoir la diffusion de renseignements confidentiels ou autres informations obtenues dans le cadre du travail sur les médias sociaux.

    Lire la suite
  1. Lavery accompagne Agendrix dans l’obtention de deux certifications ISO en matière de sécurité et de confidentialité des données

    Le 6 février 2023, Agendrix, une entreprise qui opère un logiciel de gestion du personnel, a annoncé avoir obtenu la certification de deux normes de sécurité et de confidentialité des données reconnues mondialement, soit ISO/CEI 27001:2013 et ISO/IEC 27701:2019. Elle devient l’un des premiers fournisseurs de logiciel de gestion du personnel et des horaires de travail au Canada à obtenir ces certifications. L’entreprise prend les devants pour tout ce qui touche la sécurité et la confidentialité des données traitées par ses applications web et mobile. La norme ISO/CEI 27001:2013 vise à améliorer les systèmes de sécurité de l’information, ce qui signifie pour les clients d’Agendrix que ses produits sont conformes aux plus hauts standards de sécurité de l’information. La norme ISO/IEC 27701:2019 encadre la gestion et le traitement des renseignements personnels et des données sensibles. La certification confirme qu’Agendrix adopte les meilleures pratiques en la matière et se conforme aux lois applicables. Une équipe Lavery composée de Eric Lavallée, Dave Bouchard, Ghiles Helli et Catherine Voyer ont accompagné Agendrix dans l’obtention de ces deux certifications. Plus spécifiquement, nos professionnels ont accompagné Agendrix dans la révision de leur contrat-type avec leurs clients, ainsi que dans la mise en place de politiques et de divers documents internes essentiels à la gestion des renseignements personnels et à la sécurité de l’information. Fondée en 2015, l’entreprise sherbrookoise Agendrix compte plus de 150 000 utilisateurs dans quelque 13 000 milieux de travail. Agendrix est un logiciel de gestion du personnel et se positionne comme leader au Québec en matière de gestion des horaires de travail auprès des PME. Agendrix a pour mission de centrer la gestion sur l'humain en développant un logiciel qui simplifie la vie des employés de première ligne. L’entreprise emploie aujourd’hui plus de 45 employés.

    Lire la suite