Réforme des lois fédérales sur la protection de la vie privée : avant et après l’interruption des travaux

Michael Walsh

Associate

Antoine Guilmain

Associé

Co-chef, Groupe national Cybersécurité et protection des données

Le gouvernement fédéral ayant signifié son intention de réintroduire une réforme sur la protection de la vie privée, il est pertinent de revoir où en était le projet de loi C-27 avant sa mise à l’arrêt plus tôt cette année pour obtenir un aperçu de ce qui s’en vient.

Avant l’interruption

La prorogation du Parlement annoncée le 6 janvier 2025 a sonné la fin des travaux pour tous les projets de loi au feuilleton. L’étude article par article du projet de loi C-27 amorcée par le Comité permanent de l’industrie et de la technologie (INDU) a ainsi pris fin.

Le projet de loi C-27 visait à mettre en œuvre une ambitieuse réforme du régime canadien de gouvernance numérique en regroupant trois initiatives législatives :

Loi sur la protection de la vie privée des consommateurs (LPVPC) : refonte destinée à remplacer la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPD) : loi proposant la création d’un tribunal indépendant chargé d’entendre des appels et d’imposer des sanctions administratives pécuniaires en application de la LPVPC.
Loi sur l’intelligence artificielle et les données (LIAD) : première tentative du Canada de légiférer pour encadrer les systèmes d’intelligence artificielle à incidence élevée et à usage général.

Cette approche intégrée démontre une bonne compréhension du recoupement entre protection des renseignements personnels et intelligence artificielle, mais elle a aussi amené son lot d’obstacles procéduraux et politiques qui ont compliqué l’obtention d’un consensus et ralenti l’élan législatif.

Avis du comité

L’étude article par article du projet de loi C-27 a débuté en avril 2024. Elle a révélé des priorités partagées par les différents partis, mais aussi des lignes de fracture :

Renforcement des mesures de protection : les partis de l’opposition voulaient modifier le préambule de la LPVPC pour qu’il affirme explicitement le caractère fondamental du droit à la vie privée.
Définitions et portée plus précises : des modifications proposaient des définitions précises pour les termes « renseignements personnels », « mineur », « anonymiser », « profilage », « renseignements de nature sensible » et « incidence importante », pour offrir plus de clarté dans ce régime législatif complexe.
Application et institutions : le Tribunal de la protection des renseignements personnels et des données s’est avéré une proposition clivante. Les partis de l’opposition craignaient qu’il ralentisse la mise en application et mine l’autorité du Commissariat à la protection de la vie privée du Canada, une position qui a suscité de vifs débats. L’impasse témoigne de désaccords fondamentaux quant à la façon d’atteindre un équilibre entre la mise en application et l’efficacité procédurale.
Possibilité de scinder le projet de loi : l’objectif de régler les questions de protection de renseignements personnels et d’intelligence artificielle dans un seul projet de loi est ambitieux. Certains ont suggéré de séparer les deux sujets, pour que la réforme en matière de vie privée progresse indépendamment de la réglementation sur l’IA. Aucun consensus n’avait été atteint au moment de la prorogation.

Les travaux du comité démontrent toute l’attention qu’a reçue le projet de loi C-27 et la nécessité de clarifier certains points importants.

Ce que cela signifie pour la suite

La mort du projet de loi C-27 a laissé plusieurs questions sans réponse, mais le travail accompli au Parlement facilitera certainement les travaux pour la prochaine mouture :

La réforme sur la protection de la vie privée, toujours une priorité : le renforcement des droits individuels et des mécanismes d’application, de même que la présence de définitions précises pour les concepts clés demeureront fort probablement des priorités.
Réglementation distincte pour l’IA : on a senti que le fait de regrouper la réglementation de l’IA et la réforme sur la protection de la vie privée dans le projet de loi C-27 entravait le progrès. La question de l’IA sera maintenant étudiée séparément, pour permettre des discussions plus ciblées et des cadres mieux adaptés à chacun des deux domaines.
Débat sur la structure institutionnelle : l’éventuel rôle du Tribunal pourrait demeurer un enjeu. Les prochaines propositions tenteront certainement de viser l’équilibre entre l’efficacité administrative et les mécanismes d’application.
Consultation des parties prenantes : vu le caractère litigieux et complexe du projet de loi C-27 et son long périple dans le processus législatif, une consultation générale et transparente avec les parties prenantes sera essentielle pour en arriver à un consensus durable.

Pour en savoir plus

Le paysage législatif évolue constamment, et nous surveillons la situation de près. Pour savoir quelle sera l’incidence des changements sur votre organisation, n’hésitez pas à communiquer avec notre équipe spécialisée en cybersécurité et protection des données.

Pour voir en détail le chemin parcouru par le projet de loi C-27 au Parlement, consultez notre article Le projet de loi C-27 : Chronologie des événements.

CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.