Les conclusions du Bureau du commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, voulant que la société de technologie de reconnaissance faciale Clearview AI a enfreint les lois sur la protection de la vie privée, ont été confirmées en appel.
Le 18 février 2026, la Cour d’appel de la Colombie-Britannique a rendu sa décision dans le dossier Clearview AI Inc. v. British Columbia (Information and Privacy Commissioner), 2026 BCCA 67 (la « décision de la Cour d’appel de la Colombie-Britannique »), confirmant le jugement (ordonnance P21-08) du Bureau du commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique (la « décision du Bureau du commissaire »)1 selon laquelle la société américaine Clearview AI Inc. (« Clearview ») a enfreint la Personal Information Protection Act (la « PIPA ») de la Colombie-Britannique avec son outil de reconnaissance faciale.
Cet appel fait suite à la décision très attendue de la Cour suprême de la Colombie-Britannique rendue en 20242, qui a également confirmé le jugement du Bureau du commissaire par voie d’examen judiciaire et réaffirmé les principes fondamentaux du droit canadien suivants en protection de la vie privée :
- La collecte de renseignements personnels de résidents et résidentes de la Colombie-Britannique par une organisation étrangère est susceptible de substantiellement lier celle-ci à la province, ce qui signifie que, constitutionnellement, la PIPA sera applicable.
- Cette même logique s’applique aux entreprises dont le modèle d’affaires repose sur la collecte systématique de renseignements personnels à partir de sources en ligne qui cessent leurs activités en Colombie-Britannique3.
- En raison du statut quasi constitutionnel des lois sur la protection de la vie privée, il est raisonnable que les commissaires à la protection de la vie privée interprètent de manière restrictive les exemptions – notamment celle se rapportant aux renseignements accessibles au public – à l’obligation d’obtenir un consentement avant de collecter, d’utiliser ou de divulguer des renseignements personnels.
- Les exemptions prévues par la PIPA ne créent pas un régime de « double droit » concurrent dans lequel les droits des particuliers à la protection de leurs renseignements personnels doivent contrebalancer les droits des organisations de collecter et d’utiliser ces renseignements à des fins raisonnables. La Cour affirme en fait que la législation ne vise pas à concilier des droits concurrents, mais bien un besoin et un droit4.
- Même si une exemption à l’obligation générale d’obtenir le consentement s’applique, la collecte, l’utilisation et la divulgation de renseignements personnels par une organisation doivent toujours être faites à des fins qu’une personne raisonnable jugerait appropriées dans les circonstances.
- Cette exigence générale de raisonnabilité est considérée par les organismes canadiens de réglementation de la protection de la vie privée comme un critère essentiel aux termes des lois applicables et comme une barrière juridique qui protège les particuliers contre les pratiques inappropriées des entreprises, en séparant les mesures que peuvent légalement prendre les organisations de celles qui entrent en « zone interdite ».
Contexte
Clearview donnait accès à sa base de données biométriques à des tiers (forces de l’ordre, organismes gouvernementaux, entités du secteur privé) à des fins de reconnaissance faciale. La société a développé son outil en « moissonnant », sans obtenir de consentement, des milliards d’images faciales – provenant notamment du Canada – à partir de diverses sources en ligne, dont des réseaux sociaux.
En février 2021, à la suite d’une enquête conjointe, le Bureau du commissaire, en collaboration avec les commissaires à la protection de la vie privée du gouvernement fédéral, de l’Alberta et du Québec, a publié un rapport concluant que Clearview avait enfreint les lois canadiennes sur la protection de la vie privée et lui recommandant de cesser d’offrir ses services de reconnaissance faciale à ses clients au Canada, d’arrêter de collecter, d’utiliser et de divulguer les renseignements personnels de particuliers y résidant, et de supprimer ceux qu’elle a recueillis au pays (le « rapport »)5. Le rapport précisait aussi que l’exemption à l’obligation d’obtenir le consentement d’un particulier pour la collecte de ses renseignements personnels si ceux-ci sont publics ne s’appliquait pas aux activités de Clearview.
Lorsque Clearview a refusé de se conformer aux recommandations du rapport, le Bureau du commissaire a rendu une ordonnance afin de faire respecter celles visant les particuliers résidant en Colombie-Britannique.
Clearview a demandé un examen judiciaire de la décision du Bureau du commissaire et des ordonnances similaires rendues par ceux de l’Alberta et du Québec6. Voir les articles de BLG The extraterritorial reach of B.C.’s privacy laws: Court upholds privacy commissioner’s order against foreign AI company et Alberta judgment opens the door to the legitimization of data scraping and AI model training pour plus de détails sur les décisions issues d’examens judiciaires rendues par la Cour suprême de la Colombie-Britannique et la Cour du Banc du Roi de l’Alberta.
Décision de la Cour d’appel
Clearview a avancé que la PIPA ne pouvait pas s’appliquer à elle en vertu du droit constitutionnel et qu’elle n’avait pas besoin d’obtenir le consentement des particuliers de qui elle avait collecté les images faciales à partir de sources en ligne. Elle a également fait valoir que l’ordonnance était inutile, inapplicable et/ou trop générale.
La Cour a conclu au contraire que la PIPA est constitutionnellement applicable à Clearview, du fait qu’il existe un lien substantiel entre l’entreprise et la Colombie-Britannique. Même si Clearview avait cessé ses activités dans la province en juillet 2020, elle a continué d’y acquérir des images faciales après cette date.
Il a en outre été souligné que, pour déterminer s’il existe un lien substantiel, les facteurs tels que l’adresse des fournisseurs de contenu, des serveurs et des utilisateurs finaux, qui étaient auparavant importants, le sont moins aujourd’hui en raison de l’évolution d’Internet. La Cour a préféré procéder à une analyse contextuelle de la relation entre la Colombie-Britannique, l’objet de la PIPA et Clearview, et a déterminé que la relation entre la province et l’entreprise était substantielle, et non accessoire7. Le fondement factuel principal de cette conclusion était que les services de Clearview dépendaient de sa capacité à collecter des images faciales de particuliers de partout dans le monde afin de constituer sa base de données, et que, comme elle ne pouvait exclure la Colombie-Britannique de son moissonnage, son accès aux données de la province (et de tous les autres territoires) était essentiel à son fonctionnement8. La Cour a par ailleurs commenté le statut quasi constitutionnel du droit à la vie privée en affirmant que Clearview confond le droit à la vie privée et la PIPA lorsqu’elle affirme que l’importance d’une loi provinciale ne justifie pas d’étendre sa portée au-delà des frontières de ladite province. Le droit à la vie privée ne se limite pas à la PIPA; celle-ci n’est qu’un des nombreux mécanismes législatifs et de common law permettant de protéger la vie privée. L’importance qu’accorde le public à la protection de ce droit fondamental est un critère à ne pas négliger lorsque vient le temps de déterminer le caractère suffisant d’un lien9.
La Cour a aussi ajouté que la position de Clearview selon laquelle la PIPA est constitutionnellement inapplicable dans son cas signifie que cette société, ainsi que toute autre entreprise qui collecte des renseignements personnels sur Internet à partir d’un moteur de recherche international, serait à l’abri des lois sur la protection de la vie privée en vigueur dans les pays d’où proviennent les données, ce qui compromettrait considérablement la capacité de territoires comme la Colombie-Britannique à protéger ses renseignements personnels provenant d’Internet. Elle a donc considéré que la relation entre Clearview et l’objet de la PIPA constituait un lien suffisant10.
De plus, la Cour a estimé que le Bureau du commissaire n’avait pas interprété ni appliqué de manière déraisonnable la PIPA en concluant que i) l’exemption à l’obligation d’obtenir un consentement avant de faire l’usage de données accessibles au public ne s’appliquait pas aux activités de Clearview et que ii) Clearview n’avait pas de motif raisonnable pour collecter, utiliser et divulguer des renseignements personnels. Elle a reconnu que, même si la décision du Bureau du commissaire ne tenait pas compte de l’argument de Clearview selon lequel la PIPA portait atteinte à sa liberté d’expression en vertu de la Charte canadienne des droits et libertés (qui a été déterminant dans la décision issue d’un examen judiciaire de la Cour du Banc du Roi de l’Alberta11), cela ne la rendait pas déraisonnable.
Enfin, la Cour a jugé que l’ordonnance corrective du Bureau du commissaire était raisonnable et exécutoire. L’appel de Clearview a été rejeté.
Conclusion
La décision de la Cour d’appel de la Colombie-Britannique dans cette affaire confirme clairement et avec force l’étendue de la portée de la PIPA de la Colombie-Britannique. Les organisations œuvrant dans des environnements numériques et axés sur les données doivent prendre bonne note : même si elles n’ont pas pignon sur rue en Colombie-Britannique, elles sont quand même visées par les lois provinciales sur la protection de la vie privée s’il existe un lien substantiel entre la province et elles.
Celles dont les modèles d’affaires reposent sur la collecte à grande échelle de renseignements personnels provenant de sources en ligne, notamment par du moissonnage automatisé ou de l’agrégation de données faites par l’IA, font l’objet d’une surveillance réglementaire accrue. Les motifs de la Cour soulignent que i) les exceptions relatives au consentement seront interprétées de manière restrictive, que ii) l’exemption relative aux renseignements accessibles au public ne donne pas parallèlement le droit de collecter des données personnelles à grande échelle, et que iii) l’exigence générale de raisonnabilité fonctionne comme une barrière juridique qui classe certaines pratiques relatives aux données en « zone interdite », même si des arguments procéduraux concernant le consentement sont mis de l’avant.
Cette décision renforce également le statut quasi constitutionnel du droit à la vie privée au Canada et témoigne de la retenue judiciaire à l’égard des interprétations contextuelles et téléologiques que les organismes de réglementation de la protection de la vie privée font de leurs propres lois. Pour les multinationales, elle confirme que les stratégies mondiales en matière de données doivent être évaluées au regard des cadres locaux de protection de la vie privée et que le fait de miser sur la nature sans frontières d’Internet ne permettra pas de contourner les efforts d’application de la loi des territoires d’où proviennent lesdites données.
Compte tenu de la jurisprudence en pleine évolution, les organisations devraient revoir de manière proactive leurs pratiques d’approvisionnement en données, leurs méthodes pour entraîner leur IA, leurs cadres entourant le consentement et leurs stratégies de conformité transfrontalière afin de s’assurer qu’elles sont conformes aux lois canadiennes sur la protection de la vie privée. Les décisions Clearview représentent collectivement une déclaration forte des tribunaux canadiens : les nouvelles technologies et les modèles d’affaires internationaux doivent respecter des limites juridiques clairement définies, conçues pour protéger le droit fondamental à la vie privée.
Pour savoir comment notre équipe peut vous aider, n’hésitez pas à communiquer avec les personnes-ressources dont le nom figure ci-après.
