par
Soleïca Monnier
Articles du même auteur
et
Ariane Ohl Berthiaume
Articles du même auteur
09 Jan 2023

La deuxième lecture du projet de loi C-27 est en cours : état des lieux

Par Soleïca Monnier, avocate, Fasken et Ariane Ohl Berthiaume, avocate, Mondata

Le 16 juin 2022, le projet de loi C-27 ou la Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois ou, de son titre abrégé, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, a été déposé à la Chambre des communes et sa première lecture a été faite. Le 4 novembre 2022, la deuxième lecture a débuté. Nous profitons du début de cette deuxième lecture pour vous présenter un état des lieux de ce projet de loi fédéral en matière de protection des renseignements personnels très attendu, qui remplace le projet de loi C-11 qui avait été déposé en novembre 2020, mais qui n’avait pas été adopté.

Survol

Le projet de loi C-27 se veut une réforme des lois fédérales en matière de protection des renseignements personnels sur le secteur privé, notamment dans le but d’adapter le cadre juridique actuel à l’évolution rapide des technologies. Il est divisé en trois nouvelles lois :

  1. La Loi sur la protection de la vie privée des consommateurs qui remplacerait la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques[1] (la LPRPDE).
  2. La Loi sur le Tribunal de la protection des renseignements personnels et des données qui créerait, comme son nom l’indique, le Tribunal de la protection des renseignements personnels et des données.
  3. La Loi sur l’intelligence artificielle et les données qui se trouverait à être la première loi au Canada à encadrer l’intelligence artificielle.

Loi sur la protection de la vie privée des consommateurs

Cette loi fédérale applicable au secteur privé aurait pour objectif de faciliter et de promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales.

Voici un sommaire non exhaustif de ce que prévoit le projet de loi dans sa forme actuelle :

  • De nouvelles obligations pour les organisations, incluant l’élaboration d’un programme de gestion et de protection des renseignements personnels,  et l’obligation de s’assurer que les fournisseurs de services offrent une protection des renseignements personnels minimalement équivalente à la leur.
  • La reconnaissance du caractère sensible des renseignements personnels d’une personne mineure.
  • De nouvelles obligations de transparence, entre autres liées aux systèmes de prise de décision automatisée.
  • L’attribution de nouveaux pouvoirs au Commissaire à la protection de la vie privée, soit un pouvoir d’investigation et un pouvoir d’ordonnance. Il pourra également faire des recommandations au Tribunal de la protection des renseignements personnels et des données pour l’imposition de pénalités.
  • En cas de contravention à la loi, des sanctions administratives pécuniaires pouvant représenter 10 millions de dollars ou 3 % des recettes globales brutes de l’organisation, si ce montant est plus élevé.
  • Des amendes pouvant représenter 25 millions de dollars ou 5 % des recettes globales brutes de l’organisation, si ce montant est plus élevé, dans le cas d’un manquement grave à la loi représentant une infraction pénale.
  • Un droit privé d’action en dommages-intérêts envers les organisations pour les individus touchés par une contravention à la loi, dans certaines circonstances.

Loi sur le Tribunal de la protection des renseignements personnels et des données

Le Tribunal de la protection des renseignements personnels et des données constituera un nouveau tribunal administratif. Ce dernier sera notamment compétent pour :

  • L’imposition des pénalités prévues à la Loi sur la protection de la vie privée des consommateurs;
  • Entendre les décisions du Commissaire à la protection de la vie privée portées en appel devant lui.

Loi sur l’intelligence artificielle et les données

La Loi concernant les systèmes d’intelligence artificielle et les données utilisées dans ces systèmes, de son titre abrégé la Loi sur l’intelligence artificielle et les données (LIAD), définit le système d’intelligence artificielle comme tout

[s]ystème technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions.

La LIAD vise notamment à interdire certaines conduites relativement aux systèmes d’intelligence artificielle qui peuvent causer un préjudice sérieux aux individus ou un préjudice à leurs intérêts, étant entendu que le préjudice peut être physique ou psychologique, qu’il peut constituer un dommage aux biens d’un individu ou une perte économique subie par cet individu.

De plus, il existe certaines obligations pour l’utilisation de systèmes d’intelligence artificielle. Par exemple, une personne responsable d’un tel système doit informer le ministre de l’Industrie de l’utilisation du système, publier une politique de confidentialité en langage clair et simple sur le site internet et tenir des registres documentant les risques encourus par l’utilisation du système.

Les sanctions associées à une violation de la LIAD sont pour l’instant très similaires à celles contenues dans la Loi sur la protection de la vie privée des consommateurs, pouvant aller jusqu’à de 25 millions de dollars canadiens, ou 5 % des recettes globales brutes de l’organisation au cours de son exercice précédent dans le cas d’une sanction pénale.

Conclusion

Bien que des changements seront certainement apportés au texte actuel du projet de loi, notamment dans la cadre de la production de mémoires de divers intéressé(s), nous saluons cette initiative tant attendue pour moderniser le cadre juridique fédéral en protection des renseignements personnels.


[1] LC 2000, c.5.

Commentaires (0)

L’équipe du Blogue vous encourage à partager avec nous et nos lecteurs vos commentaires et impressions afin d’alimenter les discussions sur le Blogue. Par ailleurs, prenez note du fait qu’aucun commentaire ne sera publié avant d’avoir été approuvé par un modérateur et que l’équipe du Blogue se réserve l’entière discrétion de ne pas publier tout commentaire jugé inapproprié.

Laisser un commentaire

À lire aussi...