Alycia Riley
Avocate
Article
13
En déposant le projet de loi (« PL ») C-11 en novembre 2020, le gouvernement canadien visait à considérablement remanier la législation fédérale en matière de protection des renseignements personnels. Ce projet de loi proposait d’abroger des dispositions relatives à ces renseignements dans la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), soit la loi fédérale actuellement en vigueur dans le secteur privé, et de les remplacer par un nouveau cadre juridique.
En fin de compte, PL C-11 n’a pas été adopté, notamment en raison du déclenchement des élections fédérales anticipées en 2021.
En revanche, dans la foulée des élections de 2021 et d’une certaine période de suspense, le gouvernement fédéral a ressuscité PL C-11 en déposant le projet de loi C-27 (« PL C-27) à la Chambre des communes le 16 juin 2022. Intitulé Loi de 2022 sur la mise en œuvre de la Charte du numérique, PL C‑27 conserve les éléments essentiels du PL C-11, y compris les propositions suivantes :
Malgré ces similitudes, il existe des différences notables entre PL C-11 et PL C-27. Un nouvel aspect clé du PL C-27 est l’étendue de la réglementation de l’intelligence artificielle (« IA »). Alors que PL C-11 proposait de traiter certaines questions liées à l’utilisation de l’IA au moyen de dispositions visant la prise de décision automatisée, PL C-27 élargirait considérablement ce cadre par sa proposition d'édicter la Loi sur l’intelligence artificielle et les données (« LIAD ») en vue de réglementer les systèmes d’IA.
PL C-27 s’inscrit dans le cadre d’un mouvement à l’échelle mondiale visant à renforcer la réglementation en matière de protection de la vie privée. Cette tendance, qui a commencé avec l’entrée en vigueur du Règlement général sur la protection des données (« RGPD ») de l’Union européenne le 25 mai 2018, s’est également manifestée par l’adoption d’une nouvelle législation visant la protection des renseignements personnels au Québec, soit le projet de loi (PL) 64. Pour de plus amples renseignements au sujet de PL 64, veuillez consulter nos précédents articles publiés le 27 avril 2022 et le 19 juin 2020.
Le présent article présente les distinctions clés entre PL C-27 et PL C-11. Pour un examen approfondi des modifications initialement proposées dans le cadre de PL C-11, veuillez consulter notre précédent article sur le sujet.
La LPVPC conserve les pouvoirs élargis du Commissaire à la protection de la vie privée du Canada, de même que l’imposition de pénalités sévères aux organisations en cas de contravention, notamment :
PL C-27 propose les modifications clés suivantes :
Parmi les nouveautés abordées dans le cadre de PL C-27, mentionnons la proposition d’édicter la Loi sur l’intelligence artificielle et les données (« LIAD »), soit la première loi fédérale canadienne à régir la création et l’utilisation des systèmes d’IA. Celle-ci permettrait d’imposer des sanctions en cas de non-conformité. La LIAD a pour objet de :
La LIAD définit un « système d’intelligence artificielle » comme un système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, de l’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions.
La réglementation de l’IA en vertu de la LIAD vise les organisations qui exercent une « activité réglementée », c’est-à-dire (a) le traitement ou le fait de rendre disponibles des données liées à l’activité humaine afin de concevoir, de développer ou d’utiliser un système d’intelligence artificielle, ou (b) la conception, le développement ou le fait de rendre disponible un système d’intelligence artificielle ou la gestion de son exploitation.
Les organisations qui exercent une activité réglementée et qui traitent ou rendent disponibles des données anonymisées doivent établir des mesures concernant la manière d’anonymiser des données, et l’utilisation ou la gestion des données anonymisées.
La LIAD impose des exigences réglementaires applicables aux systèmes d’IA en général de même qu’aux systèmes d’IA désignés comme étant des « systèmes à incidence élevée ». La définition actuelle de « systèmes à incidence élevée » est vague et sera précisée davantage par des critères établis par règlement. Au moment de la publication du présent article, de tels règlements n’avaient pas encore été rédigés.
Toute personne responsable au sein d’une organisation d’un système d’IA devra procéder à une évaluation afin de déterminer s’il s’agit d’un système à incidence élevée. S’il est déterminé qu’un système d’IA correspond à la définition, le responsable doit faire ce qui suit :
En outre, la LIAD confère le pouvoir de procéder à des vérifications et de rendre des ordonnances au ministre. De plus, aux termes de la LIAD, le ministre est autorisé à désigner un Commissaire à l’intelligence artificielle et aux données, lequel est chargé de l’appuyer dans l’exécution et le contrôle de l’application de la LIAD.
En plus d’imposer des sanctions administratives, la LIAD introduirait également des sanctions pécuniaires onéreuses et des peines d’emprisonnement en cas de non-conformité, dans certaines circonstances. En règle générale, une organisation qui enfreint la LIAD encourra, sur déclaration de culpabilité, une amende maximale de 10 millions de dollars ou de 3 % des recettes globales brutes, selon le plus élevé des deux montants. En outre, la LIAD prévoit des amendes encore plus élevées pour une certaine catégorie d’activités interdites, lorsque l’infraction implique :
Ce genre d’infraction grave entraînerait, sur déclaration de culpabilité, une amende maximale de 25 millions de dollars ou de 5 % des recettes globales brutes, selon le plus élevé des deux montants.
Pour le moment, le projet de loi C-27 en est à l’étape de la deuxième lecture seulement. À mesure qu’il sera étudié au Parlement, il y a fort à parier qu’il fera l’objet de débats ultérieurs et d’éventuelles modifications. Le simple fait que l’on réintroduise un projet de loi visant à réformer la législation fédérale en matière de protection des renseignements personnels en dit long sur la volonté du gouvernement fédéral canadien de modifier radicalement son cadre législatif en la matière. Rappelons qu’avec le Projet de loi 64, le Québec est le chef de file dans la réforme des lois sur la protection des renseignements personnels.
S’il est adopté, PL C-27 entrera en vigueur à une date fixée par décret du gouverneur en conseil, bien que chacune des parties de ce projet de loi contienne également des dispositions spécifiques en matière d'entrée en vigueur.
[1] À des fins de mise en contexte, notons que les autres parties de la LPRPDE traitent principalement de documents électroniques et de modifications corrélatives.
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.