Auteurs(trice)
Associé, Litiges, Montréal
Associé, Litiges, Toronto
Associé, Litiges, Calgary
Associée, Litiges, Montréal
Associé, Litiges, Toronto
Associé, Litiges et Insolvabilité et restructuration, Montréal
Table des matières
Revue de la jurisprudence sur la protection de la vie privée
McMaster University (Re), 2024 CanLII 17583 (ON IPC)
Lire les détails de l’affaire (disponible en anglais seulement)
Faits
L’affaire concerne l’utilisation par l’Université McMaster du logiciel Respondus Monitor, un logiciel de surveillance des examens en ligne propulsé par l’intelligence artificielle (IA), et du logiciel Respondus LockDown Browser, un logiciel qui limite ce à quoi les étudiants peuvent accéder sur leur ordinateur pendant un examen. L’Université McMaster a adopté cette technologie pendant la pandémie de COVID-19 afin de préserver l’intégrité académique dans un environnement de cours à distance.
Le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) a enquêté sur le respect par l’Université de la Loi sur l’accès à l’information et la protection de la vie privée (la Loi), en particulier en ce qui concerne la collecte, l’utilisation et la communication des renseignements personnels des étudiants par le logiciel Respondus Monitor.
Décision
Le CIPVP a constaté que le logiciel Respondus LockDown Browser recueillait peu de renseignements personnels et qu’il ne collectait et n’utilisait que ce dont il avait besoin pour fonctionner. En revanche, il a constaté que le logiciel Respondus Monitor recueillait des renseignements personnels plus sensibles, notamment des données biométriques, et utilisait l’IA, ce qui a accru les inquiétudes.
Bien que la collecte ait été autorisée en vertu du paragraphe 38(2) de la Loi, le CIPVP a constaté que l’Université n’avait pas fourni un avis adéquat pour sa collecte de renseignements personnels, comme l’exige le paragraphe 39(2) de la Loi, et a également constaté que l’utilisation des renseignements personnels des étudiants par l’entremise du logiciel Respondus Monitor n’était pas conforme au paragraphe 41(1).
En outre, le CIPVP a conclu que l’entente contractuelle entre l’Université et Respondus était contraire au paragraphe 41(1) de la Loi, car elle ne protégeait pas de manière adéquate tous les renseignements personnels recueillis et parce qu’elle permettait à Respondus d’utiliser les renseignements personnels des étudiants sans leur consentement, afin d’améliorer son système.
Le CIPVP a formulé plusieurs recommandations pour que l’Université soit dorénavant en conformité avec la Loi. Il lui a recommandé d’adopter des garde-fous supplémentaires dans le cadre de son utilisation du logiciel Respondus Monitor et d’intégrer des mesures de protection plus vigoureuses dans le cadre de son utilisation continue du logiciel ainsi que dans toute entente qu’elle pourrait conclure à l’avenir avec Respondus.
Point principal à retenir
Les institutions qui utilisent des logiciels tels que le logiciel Respondus Monitor doivent veiller à ce que les individus touchés soient dûment informés de la collecte de leurs renseignements. Elles doivent également veiller à ce que les ententes qu’elles concluent avec des tiers fournisseurs de services protègent de manière adéquate les renseignements personnels collectés et interdisent à ces tiers d’utiliser à quelque fin que ce soit les renseignements personnels collectés sans le consentement des individus concernés.