Projet de loi C-27 : Le Canada remanie la législation fédérale sur la protection des renseignements personnels et propose une nouvelle loi sur l'IA

En déposant le projet de loi (« PL ») C-11 en novembre 2020, le gouvernement canadien visait  à considérablement remanier la législation fédérale en matière de protection des renseignements personnels. Ce projet de loi proposait d’abroger des dispositions relatives à ces renseignements dans la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), soit la loi fédérale actuellement en vigueur dans le secteur privé, et de les remplacer par un nouveau cadre juridique.

En fin de compte, PL C-11 n’a pas été adopté, notamment en raison du déclenchement des élections fédérales anticipées en 2021.

En revanche, dans la foulée des élections de 2021 et d’une certaine période de suspense, le gouvernement fédéral a ressuscité PL C-11 en déposant le projet de loi C-27 (« PL C-27) à la Chambre des communes le 16 juin 2022. Intitulé Loi de 2022 sur la mise en œuvre de la Charte du numérique, PL C‑27 conserve les éléments essentiels du PL C-11, y compris les propositions suivantes :

1. Édicter la Loi sur la protection de la vie privée des consommateurs (« LPVPC »), laquelle remplacerait la Partie 1 de la LPRPDE intitulée « Protection des renseignements personnels dans le secteur privé[1], » et
2. Édicter la Loi sur le Tribunal de la protection des renseignements personnels et des données (« LTPRPD »), qui constitue un tribunal administratif pour entendre les appels interjetés à l’encontre de certaines décisions rendues par le Commissaire à la protection de la vie privée du Canada au titre de la LPVPC et pour imposer des pénalités relatives à la contravention à certaines dispositions de cette loi, ou inversement, faire droit à l’appel et substituer sa propre conclusion, ordonnance ou décision à celle du Commissaire.

Malgré ces similitudes, il existe des différences notables entre PL C-11 et PL C-27. Un nouvel aspect clé du PL C-27 est l’étendue de la réglementation de l’intelligence artificielle (« IA »). Alors que PL C-11 proposait de traiter certaines questions liées à l’utilisation de l’IA au moyen de dispositions visant la prise de décision automatisée, PL C-27 élargirait considérablement ce cadre par sa proposition d'édicter la Loi sur l’intelligence artificielle et les données (« LIAD ») en vue de réglementer les systèmes d’IA.

PL C-27 s’inscrit dans le cadre d’un mouvement à l’échelle mondiale visant à renforcer la réglementation en matière de protection de la vie privée. Cette tendance, qui a commencé avec l’entrée en vigueur du Règlement général sur la protection des données (« RGPD ») de l’Union européenne le 25 mai 2018, s’est également manifestée par l’adoption d’une nouvelle législation visant la protection des renseignements personnels au Québec, soit le projet de loi (PL) 64. Pour de plus amples renseignements au sujet de PL 64, veuillez consulter nos précédents articles publiés le 27 avril 2022 et le 19 juin 2020.

Le présent article présente les distinctions clés entre PL C-27 et PL C-11. Pour un examen approfondi des modifications initialement proposées dans le cadre de PL C-11, veuillez consulter notre précédent article sur le sujet.

La Loi sur la protection de la vie privée des consommateurs

La LPVPC conserve les pouvoirs élargis du Commissaire à la protection de la vie privée du Canada, de même que l’imposition de pénalités sévères aux organisations en cas de contravention, notamment :

• des sanctions administratives pécuniaires d’un maximum de 3 % des recettes globales brutes ou de 10 millions de dollars, selon le montant le plus élevé;
• l’augmentation du montant des amendes pour certaines contraventions graves de la loi : un maximum de 5 % des recettes globales brutes ou de 25 millions de dollars, selon le montant le plus élevé;
• l’attribution au Commissaire à la protection de la vie privée du Canada du pouvoir de procéder à des vérifications et de rendre des ordonnances; et
• un droit privé d’action en dommages-intérêts pouvant être invoqué contre une organisation pour les pertes découlant d’une contravention à la LPVPC.

PL C-27 propose les modifications clés suivantes :

• les renseignements personnels d’un mineur sont expressément considérés comme étant de nature sensible, ce qui pourrait signifier l’imposition d’exigences plus strictes en ce qui concerne les fins d’utilisation acceptables de ces renseignements, la nature du consentement requis (explicite plutôt qu’implicite), la durée de la période de conservation desdits renseignements, les mesures de sécurité prises à leur égard, les avis en cas d’atteinte aux mesures de sécurité et la dépersonnalisation des renseignements;
• en ce qui a trait à la nécessité pour une organisation d'obtenir le consentement d’un individu, il existe une exemption visant les « activités d’affaires ». Une exception additionnelle lui est ajoutée : une organisation peut recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement en vue d’une activité dans laquelle elle a un intérêt légitime qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu, sous réserve de certaines conditions;
• le terme « anonymiser » est défini, et il est précisé que les renseignements anonymisés ne sont pas assujettis à la LPVPC;
• le projet de loi précise que les renseignements dépersonnalisés sont des renseignements personnels, sous réserve de quelques exceptions, mais énonce clairement les cas dans lesquels des renseignements dépersonnalisés peuvent être utilisés pour identifier un individu;
• les organisations doivent tenir compte du degré de sensibilité des renseignements personnels lorsqu’elles déterminent la durée des périodes de conservation de ces renseignements, et elles doivent rendre facilement accessible l’information concernant lesdites périodes de conservation;
• les mesures de sécurité doivent comprendre des mesures raisonnables d’authentification de l’identité de l’individu auquel les renseignements personnels se rapportent;
• à la demande d’un individu, les organisations doivent procéder au retrait des renseignements personnels le concernant (ce qui peut impliquer de procéder à l’anonymisation des données), mais uniquement dans certaines circonstances et lorsque la demande de retrait n’est pas autrement visée par la liste d’exceptions à cet égard, laquelle a été allongée; et
• comme c’était le cas précédemment dans PL C-11, toute organisation qui utilise un système décisionnel automatisé doit fournir une explication de l’usage qu’elle en fait pour faire des prédictions, formuler des recommandations ou prendre des décisions relativement à un individu, mais uniquement dans les cas où il pourrait y avoir une « incidence importante » pour ce dernier. Le cas échéant, l’explication doit préciser le type de renseignements personnels utilisé, la provenance de ces renseignements ainsi que les motifs ou les principaux facteurs ayant mené auxdites prédictions, recommandations ou décisions.

La Loi sur l’intelligence artificielle et les données

Parmi les nouveautés abordées dans le cadre de PL C-27, mentionnons la proposition d’édicter la Loi sur l’intelligence artificielle et les données (« LIAD »), soit la première loi fédérale canadienne à régir la création et l’utilisation des systèmes d’IA. Celle-ci permettrait d’imposer des sanctions en cas de non-conformité. La LIAD a pour objet de :

1. réglementer les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d’IA par l’établissement d’exigences communes à l’échelle du Canada pour la conception, le développement et l’utilisation de ces systèmes;
2. interdire certaines conduites relativement aux systèmes d’IA qui peuvent causer un préjudice sérieux aux individus ou à leurs intérêts. La LIAD définit la notion de « préjudice » comme suit : (a) préjudice physique ou psychologique subi par un individu, (b) dommage à ses biens ou (c) perte économique subie par un individu.

La LIAD définit un « système d’intelligence artificielle » comme un système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, de l’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions.

La réglementation de l’IA en vertu de la LIAD vise les organisations qui exercent une « activité réglementée », c’est-à-dire (a) le traitement ou le fait de rendre disponibles des données liées à l’activité humaine afin de concevoir, de développer ou d’utiliser un système d’intelligence artificielle, ou (b) la conception, le développement ou le fait de rendre disponible un système d’intelligence artificielle ou la gestion de son exploitation.

Les organisations qui exercent une activité réglementée et qui traitent ou rendent disponibles des données anonymisées doivent établir des mesures concernant la manière d’anonymiser des données, et l’utilisation ou la gestion des données anonymisées.

La LIAD impose des exigences réglementaires applicables aux systèmes d’IA en général de même qu’aux systèmes d’IA désignés comme étant des « systèmes à incidence élevée ». La définition actuelle de « systèmes à incidence élevée » est vague et sera précisée davantage par des critères établis par règlement. Au moment de la publication du présent article, de tels règlements n’avaient pas encore été rédigés.

Toute personne responsable au sein d’une organisation d’un système d’IA devra procéder à une évaluation afin de déterminer s’il s’agit d’un système à incidence élevée. S’il est déterminé qu’un système d’IA correspond à la définition, le responsable doit faire ce qui suit :

• établir des mesures visant à cerner, évaluer et atténuer les risques de préjudice ou de résultats biaisés pouvant découler de l’utilisation du système d’intelligence artificielle;
• établir des mesures visant à contrôler le respect des mesures d’atténuation et à en évaluer  l’efficacité;
• publier, sur un site Web public, une description en langage clair du système, en y incluant du contenu prescrit aux termes de la loi; et
• aviser le ministre de l’Industrie (ou un autre ministre désigné) si l’utilisation du système entraîne, ou entraînera vraisemblablement, un préjudice important.

En outre, la LIAD confère le pouvoir de procéder à des vérifications et de rendre des ordonnances au ministre. De plus, aux termes de la LIAD, le ministre est autorisé à désigner un Commissaire à l’intelligence artificielle et aux données, lequel est chargé de l’appuyer dans l’exécution et le contrôle de l’application de la LIAD.

En plus d’imposer des sanctions administratives, la LIAD introduirait également des sanctions pécuniaires onéreuses et des peines d’emprisonnement en cas de non-conformité, dans certaines circonstances. En règle générale, une organisation qui enfreint la LIAD encourra, sur déclaration de culpabilité, une amende maximale de 10 millions de dollars ou de 3 % des recettes globales brutes, selon le plus élevé des deux montants. En outre, la LIAD prévoit des amendes encore plus élevées pour une certaine catégorie d’activités interdites, lorsque l’infraction implique :

• le traitement ou l’utilisation de renseignements personnels obtenus illégalement dans un système d’IA;
• l’utilisation d’un système d’IA entraînant un préjudice – physique ou psychologique – sérieux à un individu, ou un dommage considérable à ses biens; ou
• l’utilisation d’un système d’IA en vue de frauder le public ou causant des perte économiques considérables.

Ce genre d’infraction grave entraînerait, sur déclaration de culpabilité, une amende maximale de 25 millions de dollars ou de 5 % des recettes globales brutes, selon le plus élevé des deux montants.

Les prochaines étapes

Pour le moment, le projet de loi C-27 en est à l’étape de la deuxième lecture seulement. À mesure qu’il sera étudié au Parlement, il y a fort à parier qu’il fera l’objet de débats ultérieurs et d’éventuelles modifications. Le simple fait que l’on réintroduise un projet de loi visant à réformer la législation fédérale en matière de protection des renseignements personnels en dit long sur la volonté du gouvernement fédéral canadien de modifier radicalement son cadre législatif en la matière. Rappelons qu’avec le Projet de loi 64, le Québec est le chef de file dans la réforme des lois sur la protection des renseignements personnels.

S’il est adopté, PL C-27 entrera en vigueur à une date fixée par décret du gouverneur en conseil, bien que chacune des parties de ce projet de loi contienne également des dispositions spécifiques en matière d'entrée en vigueur.