Lois sur la protection de la vie privée au Canada : de nouvelles règles pour une nouvelle ère

Parmi les trois lois proposées par le PL C-27, la LPVPC est celle qui changera sans doute le plus radicalement les exigences réglementaires imposées aux organisations du secteur privé.

Qui est touché par cette loi?

À l'instar de la LPRPDE, la LPVPC s'appliquerait aux organisations du secteur privé du Canada qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d'activités commerciales, et qui transfèrent des renseignements au-delà des frontières provinciales et nationales.

Les exigences de la LPVPC s'appliqueraient également aux activités d'entreprises sous réglementation fédérale, et notamment aux renseignements personnels de leurs employés.

Par ailleurs, les particuliers devraient également prendre connaissance des nouveaux droits qui leur sont accordés par la LPVPC, notamment en ce qui concerne la portabilité des données et le retrait de leurs renseignements personnels.

Quelle est l'incidence de cette loi?

Voici certains des plus importants changements apportés au cadre fédéral de protection de la vie privée au Canada auxquels on peut s'attendre en vertu de la LPVPC :

• Programmes de gestion de la protection de la vie privée
  
  Aux termes de la LPVPC, les organisations seraient tenues de mettre en œuvre et de tenir à jour un programme de gestion de la protection de la vie privée. Un tel programme doit énoncer les politiques, pratiques et procédures qu'emploient les organisations en vue de satisfaire à leurs obligations de conformité en matière de protection de la vie privée.
  
  Les organisations qui adoptent une approche stratégique en ce qui a trait au programme de gestion de la protection de la vie privée seront mieux outillées pour anticiper les risques et minimiser leur responsabilité potentielle.
   
• Exigences en matière de « finalité »
  
  À l'instar de la LPRPDE, la LPVPC exigerait que les organisations recueillent, utilisent et communiquent des renseignements personnels uniquement à des fins acceptables. Toutefois contrairement à la LPRPDE, elle imposerait un ensemble de critères à utiliser afin de déterminer si une finalité est acceptable.
  
  Il sera donc important que les organisations tiennent bien compte de ces critères afin de déterminer ce qui est « acceptable » dans leur contexte spécifique.
   
• Exigences et exceptions relatives au consentement
  
  Poursuivant sur la même lancée que la LPRPDE, la LPVPC impose une série de nouvelles exigences en matière de consentement, prévoyant également des exceptions quant aux exigences de consentement pour des activités commerciales précises.
  
  Rappelons que les organisations doivent en tout temps tenir compte des exigences relatives à l'obtention d'un consentement valide. Elles doivent également déterminer dans quelles circonstances il conviendra d'avoir recours aux nouvelles exceptions.
   
• Protection de la vie privée des enfants
  
  Tandis que cette notion est sous-entendue dans le libellé de la LPRPDE, la LPVPC mentionnerait explicitement que les renseignements personnels des mineurs sont considérés comme étant de nature sensible. Elle imposerait notamment des considérations et exigences additionnelles pour le traitement de tels renseignements, ainsi que des obligations spécifiques de retrait de ces renseignements aux organisations qui les traitent.
   
• Droits individuels en matière de protection de la vie privée
  
  La LPVPC procurerait aux individus un contrôle accru quant à leurs renseignements personnels. En vertu de la LPRPDE, les individus ont le droit d'accéder à leurs renseignements personnels détenus par des organisations et de les rectifier; ils ont aussi le droit de retirer leur consentement à tout moment. La LPVPC étendrait la portée de ces droits et en procurerait de nouveaux quant à la possibilité de demander le retrait de renseignements personnels et le transfert de ceux-ci entre organisations.
  
  Cette loi prévoit en outre une cause d'action privée contre les organisations contrevenantes. Nous conseillons donc aux organisations de se préparer à l'entrée en vigueur de ces changements et de déterminer comment elles permettront aux individus d'exercer leurs droits.
   
• Dépersonnalisation/anonymisation
  
  En plus de procurer aux individus le droit de faire supprimer leurs renseignements personnels, la LPVPC leur permettrait aussi de les faire « anonymiser », terme soigneusement défini dans cette loi. Notons que les exigences de la LPVPC ne s'appliquent pas aux renseignements anonymisés. Les organisations feront bien d'évaluer leur stratégie d'anonymisation en fonction de la définition fournie dans la LPVPC. Elles doivent également prendre en compte les implications de la LPVPC en ce qui concerne l'utilisation de données anonymisées.
   
• Infliction de pénalités plus sévères

La LPVPC confère des pouvoirs élargis au Commissaire à la protection de la vie privée du Canada et prévoit l'infliction de pénalités plus sévères en cas de contravention à la loi, dont :

• des sanctions administratives pécuniaires d'un maximum de trois pour cent des recettes globales brutes ou de 10 millions de dollars, selon le montant le plus élevé;
• l'augmentation du montant des amendes pour certaines contraventions graves de la loi : un maximum de cinq pour cent des recettes globales brutes ou 25 millions de dollars, selon le montant le plus élevé;
• l'attribution au Commissaire à la protection de la vie privée du Canada du pouvoir de procéder à des vérifications et de rendre des ordonnances
• un droit privé d'action en dommages-intérêts pouvant être invoqué contre une organisation pour les pertes découlant d'une contravention à la LPVPC.

La LTPRPD établirait un nouveau Tribunal de la protection des renseignements personnels et des données chargé d'entendre les appels interjetés à l'encontre de décisions rendues par le Commissaire à la protection de la vie privée. Le Tribunal disposerait de divers pouvoirs d'exécution, dont celui de rendre des ordonnances et celui d'infliger des pénalités.

Qui est touché par cette loi?

Le Tribunal offre une voie claire aux organisations qui souhaitent contester les violations présumées de la LPVPC. Toutefois, le droit d'interjeter appel devant le tribunal ne serait pas réservé qu'aux organisations.

En effet, un individu qui a déposé une plainte à l'encontre d'une organisation auprès du Commissaire à la protection de la vie privée a également le droit de recours devant le Tribunal. Dans de telles circonstances, le Tribunal aurait le pouvoir de substituer sa propre décision à celle du commissaire.

Quelle est l'incidence de cette loi?

Le Tribunal aurait le pouvoir d'infliger des pénalités sur recommandation du Commissaire à la protection de la vie privée du Canada. Lorsque le Tribunal détermine lui-même qu'une pénalité est justifiée, il est également habilité à annuler une décision antérieure du Commissaire à la protection de la vie privée du Canada selon laquelle aucune pénalité n'avait été infligée.

La LIAD serait la toute première loi à réglementer l'élaboration et le déploiement de systèmes d'intelligence artificielle (IA) dans le secteur privé au Canada.

L'objectif de la LIAD est double :

1. Réglementer les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d'IA par l'établissement d'exigences communes à l'échelle du Canada pour la conception, le développement et l'utilisation de ces systèmes;
2. Interdire certaines conduites relativement aux systèmes d'IA qui peuvent causer un préjudice sérieux aux individus ou à leurs intérêts.

Qui est touché par cette loi?

En général, la LIAD s'appliquera aux personnes exerçant une « activité réglementée ». Une « personne » désigne notamment les fiducies, les coentreprises, les sociétés de personnes, les associations non dotées de la personnalité morale et toute autre entité juridique. Par « activité réglementée » exercée dans le cadre du commerce ou des échanges internationaux ou interprovinciaux, on entend :

• le traitement ou le fait de rendre disponibles des données liées à l'activité humaine afin de concevoir, de développer ou d'utiliser un système d'IA;
• la conception, le développement ou le fait de rendre disponible un système d'IA ou la gestion de son exploitation.

Les exigences de conformité spécifiques de la LIAD s'appliquent à cinq catégories de personnes suivantes (une personne peut avoir des responsabilités dans plus d'une catégorie) :

1. Personne exerçant des activités réglementées;
2. Personne responsable d'un système d'IA;
3. Personne responsable d'un système d'IA à incidence élevée;
4. Personne qui rend disponible un système à incidence élevée;
5. Personne qui gère l'exploitation d'un système à incidence élevée.

La LIAD telle qu'elle est rédigée ne fournit aucune définition de « système à incidence élevée ». Bien que ce terme et beaucoup d'autres concepts clés devront être définis dans la réglementation à venir, le gouvernement du Canada a recensé, dans un document complémentaire, les exemples de systèmes suivants qui présentent un intérêt du point de vue de leur incidence potentielle :

• Les systèmes de présélection qui ont une incidence sur l'accès aux services ou à l'emploi;
• Les systèmes biométriques utilisés pour l'identification et l'inférence;
• Les systèmes capables d'influencer le comportement humain à grande échelle, tels que les systèmes de recommandation de contenu en ligne alimentés par l'IA;
• Les systèmes critiques pour la santé et la sécurité, comme les systèmes de conduite autonome et les systèmes prenant des décisions de triage dans le secteur de la santé.

Quelle est l'incidence de cette loi?

La LIAD établit diverses exigences applicables à une variété de personnes responsables de systèmes d'IA à différents stades de leur cycle de vie :

• Anonymisation des données

Parmi les activités réglementées aux termes de la LIAD figurent le traitement ou le fait de rendre disponibles des données liées à l'activité humaine; la conception et le développement d'un système d'IA ou le fait de le rendre disponible; ou encore la gestion de l'exploitation d'un tel système.

Les personnes qui exercent ces activités réglementées seraient tenues d'établir des mesures concernant la manière d'anonymiser les données ainsi que l'utilisation et la gestion des données anonymisées. Elles devraient aussi conserver des documents énonçant les mesures qu'elles ont adoptées.

• Préjudices ou résultats biaisés entraînés par un système d'IA à incidence élevée

Les personnes responsables de la conception, du développement ou du fait de rendre disponible un système d'IA seraient tenues de procéder à une évaluation de leur incidence afin de déterminer si le système en question présente une incidence élevée.

Lorsqu'un système est jugé à incidence élevée, les personnes qui en sont responsables seraient tenues d'établir des mesures visant à recenser, évaluer et atténuer les risques de préjudice ou de résultats biaisés, et de contrôler le respect de ces mesures.

• Publication de la description

Les personnes qui rendent disponible un système à incidence élevée seront tenues de publier une description du système en langage clair sur un site Web accessible au public. Cette description doit comprendre une explication de l'utilisation visée du système; le contenu qu'il est censé générer, les prédictions ou recommandations qu'il est censé faire ou les décisions qu'il est censé prendre; ainsi que les mesures établies visant à atténuer les risques de préjudice ou de résultats biaisés que pourrait entraîner son utilisation.

Les personnes qui gèrent l'exploitation de systèmes à incidence élevée ont des obligations semblables. Toutefois, la description qu'elles doivent fournir doit simplement inclure une explication de l'utilisation faite du système et du contenu qu'il génère, des prédictions ou recommandations qu'il fait ou des décisions qu'il prend.

• Sanctions pécuniaires

Les infractions à la LIAD peuvent généralement donner lieu à des sanctions administratives pécuniaires (SAP) d'un maximum de trois pour cent des recettes globales brutes ou de 10 millions de dollars en cas de non-conformité.

La perpétration d'infractions prévue aux articles 38 ou 39 de la LIAD peut entraîner des SAP d'un maximum de cinq pour cent des recettes globales brutes ou de 25 millions de dollars, et même l'emprisonnement d'un individu.