Projet de loi C-27 : une loi attendue en matière de cybersécurité et vie privée au Canada

La protection de la vie privée, la cybersécurité ainsi que l’encadrement de l’intelligence artificielle sont des questions revêtant une importance grandissante pour les citoyens. C’est ainsi que les 14 et 16 juin 2022, le gouvernement fédéral a déposé les projets de loi C-26 et C-27.

Dans notre dernier article, nous avons présenté un tour d’horizon des nouvelles obligations propres au projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois. Pour y faire suite, nous analysons ci-après le projet de loi C-27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois (Loi de 2022 sur la mise en œuvre de la Charte du numérique) (ci-après le « Projet de loi »)

Ce nouveau Projet de loi peut sembler familier pour certains puisqu’il introduit, à l’instar de son prédécesseur le projet de loi C-11 mort au feuilleton en 2019 en raison des élections fédérales, deux projets de loi très attendus : la Loi sur la protection de la vie privée des consommateurs (ci-après la « LPVPC ») et la Loi sur le Tribunal de la protection des renseignements personnels et des données. Une troisième loi est également introduite par le Projet de loi C-27 : la Loi sur l’intelligence artificielle et les données.

Loi sur la protection de la vie privée des consommateurs : une loi qui a du mordant

La LPVPC abroge, modifie et remplace la première partie de la Loi sur la protection des renseignements personnels et les documents électroniques (Loi sur les documents électroniques) actuellement en vigueur.

Le nouveau pouvoir d’enquête du commissaire

Dans la LPVPC, le commissaire se voit investi de nouveaux pouvoirs. En plus de pouvoir examiner les plaintes, conclure un accord de conformité avec les organisations en contravention de la LPVPC et procéder à la vérification de la conformité des organisations, le commissaire a désormais un pouvoir d’enquête.

Il pourra ainsi examiner les plaintes et le défaut de conformité à un accord conclu entre le commissaire et une organisation. À l’issue de son enquête, le commissaire rendra une décision et pourra également émettre une ordonnance de conformité pour s’assurer que l’organisation s’y conforme.

Une amende salée

Le commissaire peut recommander au Tribunal de la protection des renseignements personnels et des données (ci-après le « Tribunal ») qu’une pénalité soit imposée à l’organisation qui s’est avérée contrevenir à la LPVPC à l’issue d’une investigation. La nature et la portée de la contravention à la loi sont notamment prises en compte pour déterminer le montant de la pénalité, mais celle-ci sera d’au plus 10 M$ ou, si ce montant est plus élevé, 3 % des recettes globales brutes de l’organisation au cours de son exercice précédent.

L’organisation qui contrevient sciemment à différents articles de la loi s’expose également à une poursuite pénale et encourt, sur déclaration de culpabilité, des amendes salées.

Le droit privé d’action

Un recours en dommages-intérêts pour la perte ou le préjudice qu’a subi un individu à la suite d’une contravention de la loi par une organisation est également possible en vertu de la LPVPC. À noter que ce droit d’action se prescrit uniquement par deux ans.

Le consentement à la collecte des renseignements personnels

Recueillir, utiliser ou communiquer des renseignements personnels requiert l’obtention du consentement préalable et valide de l’individu. Pour ce faire, l’organisation devra fournir à l’individu plusieurs informations telles que les fins, la manière et les conséquences raisonnablement prévisibles de la collecte, de l’utilisation ou de la communication des renseignements personnels.

La divulgation des transferts transfrontaliers de données

La LPVPC, qui s’applique à la collecte, l’utilisation et la communication des renseignements personnels à l’échelle interprovinciale ou internationale, exige à l’organisation de rendre accessible le fait qu’elle effectue ou non les transferts de renseignements personnels.

Renseignements personnels des mineurs, système décisionnel automatisé et renseignements anonymisés :

D’autres changements importants entreraient également en vigueur avec cette nouvelle loi, notamment :

• Les renseignements personnels des mineurs seraient dorénavant considérés comme étant de nature sensible;
• L’organisation qui utilise un système décisionnel automatisé pourrait se voir demander une explication si la décision, recommandation ou prédiction formulée au sujet d’un individu peut avoir une incidence importante pour lui;
• Les renseignements personnels anonymisés seraient distingués des renseignements personnels dépersonnalisés. La loi ne s’appliquerait pas aux renseignements personnels anonymisés qui sont modifiés définitivement et de manière irréversible et par lesquels les individus ne peuvent être identifiés directement ou indirectement.

Le Tribunal de la protection des renseignements personnels et des données voit le jour

La Loi sur le Tribunal de la protection des renseignements personnels et des données établit le Tribunal de la protection des renseignements personnels et des données. Ce tout nouveau Tribunal qui a toutes les attributions d’une cour supérieure d’archives peut rendre une décision en se basant sur les recommandations de pénalité du commissaire et entendre l’appel du plaignant ou de l’organisation touchée par une décision ou ordonnance du commissaire.

Les décisions de ce Tribunal sont rendues par écrit et sont publiques. Elles sont également définitives et exécutoires en pouvant être assimilées à des ordonnances de la Cour fédérale ou de toute cour supérieure.

Circonscrire l’intelligence artificielle au Canada 

L’objet de la Loi sur l’intelligence artificielle et les données (ci-après la « LIAD ») est d’une part, de réglementer les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d’intelligence artificielle, et de l’autre, d’interdire certaines conduites relativement à ces systèmes lorsqu’ils peuvent causer un préjudice sérieux aux individus.

La LIAD s’applique aux activités réglementées exercées dans le cadre des échanges ou du commerce internationaux ou interprovinciaux. Les activités réglementées sont :

• le traitement ou le fait de rendre disponibles des données liées à l’activité humaine afin de concevoir, de développer ou d’utiliser un système d’intelligence artificielle;
• la conception, le développement ou le fait de rendre disponible un système d’intelligence artificielle ou la gestion de son exploitation.

Selon la LIAD, le système d’intelligence artificielle est défini comme un « système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions ». Ce sont les personnes qui conçoivent, développent, rendent disponible ou gèrent l’exploitation notamment des systèmes à incidence élevée, dans le cadre des échanges ou du commerce internationaux ou interprovinciaux qui sont responsables de ces systèmes et de leur conformité à la LIAD.

Pour être conformes à la LIAD, plusieurs exigences doivent être rencontrées, notamment en matière de données anonymisées, des mesures à prendre relativement aux risques et à la tenue des documents. La loi sera complétée par un règlement qui n’a pas été encore proposé afin d’établir les critères de conformité aux obligations.

La non-conformité avec les exigences établies par la LIAD peut donner lieu à des sanctions administratives pécuniaires qui seront établies dans le règlement. Nous savons pour l’instant que la contravention aux obligations de la LIAD peut également mener à des poursuites pénales impliquant d’importants enjeux financiers. Par exemple, si une personne qui n’est pas un individu est poursuivie par mise en accusation, l’amende peut s’élever jusqu’à 10 M$ ou, s’il est supérieur, jusqu’à un montant égal à 3 % des recettes globales brutes de la personne au cours de son exercice précédant celui pendant lequel elle a été condamnée.

À l’heure actuelle, les règlements pouvant toucher ces trois lois n’ont pas été édictés, mais l’équipe de BCF reste à l’affût des développements touchant ce Projet de loi. Nous vous tiendrons au courant des éventuelles modifications, précisions ou règlements apportés par le législateur, le cas échéant, afin de bien préparer les entreprises, institutions et organismes concernés.

Pour toute question relative aux impacts que le Projet de loi pourrait avoir sur votre entreprise, n’hésitez pas à communiquer avec notre équipe qui se fera un plaisir de vous conseiller.