Perspectives juridiques Osler 2023

La vague de réformes législatives en matière de protection des renseignements personnels et des données se poursuivra en 2024

11 Déc 2023 12 MIN DE LECTURE

Il est évident que la protection des renseignements personnels et l’intelligence artificielle (IA) demeureront des sujets d’importance capitale dans le domaine très dynamique de la protection de la vie privée au Canada en 2024. Au cours de 2023, un nouveau projet de loi fédéral sur la protection des renseignements personnels dans le secteur privé et un projet de cadre de réglementation de l’IA ont poursuivi leur progression dans le processus parlementaire. Il semble de plus en plus probable que ces nouvelles dispositions législatives et réglementaires seront édictées en 2024 ou au début de 2025.

Les entreprises faisant affaire au Québec devront poursuivre leurs efforts pour se conformer à de multiples exigences nouvelles et prescriptives en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (la LPRP québécoise), qui a été considérablement réformée avec l’adoption du projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels [PDF] (la Loi 25). La majorité des modifications prévues à la Loi 25 sont entrées en vigueur en septembre 2023. Elles portent notamment sur un régime d’application de la loi qui expose les entreprises à des sanctions pécuniaires potentiellement lourdes en cas de contravention.

Il est plus important que jamais pour les entreprises faisant affaire au Québec et partout au Canada d’avoir une compréhension approfondie de leurs pratiques en matière de renseignements personnels et de données et des obligations qui leur incombent en vertu de ces lois mises à jour et de celles à l’étude. Ces cadres législatifs modifiés et ceux à venir obligent les entreprises de partout au Canada à engager des coûts importants sur le plan de la conformité pour atténuer les risques de sanctions sévères. Les entreprises devront cerner et gérer l’éventail croissant des risques liés à la protection de la vie privée, aux lois, à l’éthique et à la réputation qui sont attachés à la collecte, à l’utilisation et à la communication de renseignements personnels et à l’utilisation de systèmes d’IA.

La réforme législative du Québec en matière de protection des renseignements personnels est maintenant en vigueur

La vaste majorité des modifications prévues à la Loi 25 et apportées à la LPRP québécoise sont entrées en vigueur en septembre 2023.

Ces modifications portent notamment sur un régime d’application de la loi considérablement renforcé par des sanctions pécuniaires potentiellement lourdes. L’organisation qui ne se conforme pas à la LPRP québécoise s’expose à une amende pouvant atteindre 25 millions de dollars canadiens ou un montant correspondant à 4 % de son chiffre d’affaires mondial au cours de son exercice précédent si ce dernier montant est plus élevé. Elle s’expose également à une sanction administrative pécuniaire pouvant atteindre 10 millions de dollars canadiens ou un montant correspondant à 2 % de son chiffre d’affaires mondial au cours de son exercice précédent si ce dernier montant est plus élevé.

La LPRP québécoise prévoit que les entreprises faisant affaire au Québec doivent se conformer à un éventail de nouvelles et onéreuses exigences qui sont maintenant en vigueur. Ces modifications s’ajoutent au régime de notification des atteintes à la sécurité et aux règles relatives à la biométrie qui ont été introduites par la Loi 25 et qui sont entrées en vigueur en 2022, comme nous en avons discuté dans notre Rétrospective de l’année juridique 2022.

Les principales obligations qui sont entrées en vigueur en septembre 2023 comprennent l’obligation pour les organisations de créer un ensemble de politiques internes pour gérer le cycle de vie des renseignements personnels dont elles ont la garde et le contrôle. Les organisations doivent également effectuer des évaluations des facteurs relatifs à la vie privée à l’égard de tout projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services comportant le traitement de renseignements personnels.

La LPRP québécoise contient maintenant des exigences prescriptives encadrant le consentement à la collecte, à l’utilisation et à la communication de renseignements personnels. À la fin d’octobre 2023, l’organisme de réglementation de la protection des renseignements personnels du Québec, la Commission d’accès à l’information (CAI), a publié des lignes directrices établissant ses critères de validité du consentement. Les organisations devront examiner attentivement ces lignes directrices et la légitimité de leurs pratiques de collecte, d’utilisation et de communication de renseignements personnels. Elles devront mettre à jour leurs avis de consentement et établir ou améliorer leurs pratiques de gestion du consentement pour s’assurer qu’elles traitent légitimement les renseignements personnels.

Suivant les nouvelles exigences de la Loi 25 concernant la « confidentialité par défaut », qui s’inspirent de l’approche de la « protection de la vie privée dès la conception » prévue dans le Règlement général sur la protection des données (RGPD) de l’Union européenne, les organisations doivent mettre en œuvre le « plus haut niveau » de confidentialité par défaut en ce qui concerne les produits ou services destinés au public. Ces exigences soulèvent des questions pratiques quant à la façon dont les organisations devraient se conformer.

La LPRP québécoise contient également une exigence unique en ce qui a trait au profilage. Plus précisément, les organisations qui recueillent des renseignements personnels auprès d’individus au moyen d’une technologie qui permet de les identifier et de les localiser ou d’en effectuer le profilage doivent d’abord les informer du recours à cette technologie et des moyens à leur disposition pour activer ces fonctions.

Pour se conformer aux restrictions de localisation des données de la Loi 25, les organisations doivent dresser la liste de l’ensemble des communications et transferts transfrontaliers pour répondre aux exigences relatives aux transferts de renseignements personnels à l’extérieur du Québec. Avant de communiquer un renseignement personnel à l’extérieur du Québec, les organisations sont maintenant tenues de procéder à une évaluation des facteurs relatifs à la vie privée qui démontre que le renseignement personnel bénéficiera d’une « protection adéquate » dans les autres ressorts territoriaux. Il est interdit aux organisations de transférer ou de communiquer un renseignement personnel à l’extérieur du Québec si ce renseignement ne bénéficie pas d’une « protection adéquate ». L’existence de cette protection doit être déterminée à la lumière des « principes de protection des renseignements personnels généralement reconnus ».

Compte tenu de ces nouvelles obligations, les organisations faisant affaire au Québec devront se soucier du respect des obligations de conformité afin d’atténuer les risques de sanctions potentiellement lourdes.

La vaste réforme législative sur la protection de la vie privée et le projet de règlement sur l’IA progressent

Le projet de loi déposé au milieu de 2022 par le gouvernement fédéral aura une incidence importante sur la réglementation relative aux renseignements personnels et créera un cadre législatif pour la réglementation et l’utilisation des systèmes d’IA. Ces réformes continuent de progresser dans le processus parlementaire. Il semble de plus en plus probable que ces nouvelles lois, qui auront des répercussions importantes sur les entreprises au Canada, seront promulguées dans un proche avenir.

Le projet de loi C-27 établit la Loi de 2022 sur la mise en œuvre de la Charte du numérique, qui crée un nouveau cadre législatif régissant les pratiques relatives aux renseignements personnels dans le secteur privé. Le projet de loi est actuellement à l’étude devant le Comité permanent de l’industrie et de la technologie et pourrait être adopté en 2024 ou au début de 2025. S’il est adopté, le projet de loi C-27 établira trois nouvelles lois.

La première est la Loi sur la protection de la vie privée des consommateurs (LPVPC). Elle abrogerait et remplacerait le cadre de protection des renseignements personnels dans le secteur privé prévu par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

La deuxième est la Loi sur le Tribunal de la protection des renseignements personnels et des données, qui constituerait un tribunal administratif chargé d’examiner certaines décisions rendues par le Commissaire à la protection de la vie privée du Canada et d’infliger des pénalités en cas de contravention à la LPVPC.

La troisième est la Loi sur l’intelligence artificielle et les données (LIAD), qui créerait une approche fondée sur les risques pour réglementer les échanges et le commerce en matière de systèmes d’IA.

La LPVPC introduit un nouveau régime de protection de la vie privée

La LPVPC introduirait un nouveau régime de protection de la vie privée, qui remplacerait celui prévu par la LPRPDE. Cette loi prévoit une série de nouvelles exigences régissant la protection des renseignements personnels et propose un régime d’application de la loi considérablement rehaussé.

L’organisation qui ne se conforme pas à la LPVPC s’exposerait à une amende maximale de 25 millions de dollars canadiens ou, s’il est supérieur, d’un montant égal à 5 % des recettes globales brutes de l’organisation au cours de son exercice précédent. Elle s’exposerait également à une sanction administrative pécuniaire maximale de 10 millions de dollars canadiens ou, s’il est supérieur, d’un montant égal à 3 % des recettes globales brutes de l’organisation au cours de son exercice précédent.

Parmi les autres principales caractéristiques de la LPVPC proposée, mentionnons l’obligation pour les organisations de mettre en œuvre un programme de gestion de la protection des renseignements personnels qui comprend les politiques, les pratiques et les procédures qu’elles ont mises en place pour se conformer à la loi.

La LPVPC renforce le consentement, surtout le consentement exprès, comme principal pouvoir des organisations de traiter des renseignements personnels. Toutefois, la LPVPC clarifie et crée également de nouvelles exceptions qui autorisent la collecte, l’utilisation ou la communication de renseignements personnels sans ce consentement. Ces exceptions s’appliquent à certaines activités d’affaires standards déterminées ou lorsque l’organisation a un intérêt légitime, sous réserve de certaines conditions.

La LPVPC comprend de nombreuses dispositions relatives au traitement licite des données « anonymisées » et « dépersonnalisées ». Les dispositions proposées précisent que les renseignements anonymisés dépassent la portée de la LPVPC. Le projet de loi crée également un statut spécial pour les renseignements personnels des mineurs.

Dans certaines circonstances, notamment lorsqu’il pourrait y avoir une « incidence importante » sur les individus, la LPVPC exigerait que les entreprises expliquent comment un système décisionnel automatisé en est arrivé à une prédiction, une recommandation ou une décision. En outre, à la demande d’une personne, l’entreprise serait tenue de fournir une explication sur le type et la source des renseignements personnels utilisés pour faire la prédiction, la recommandation ou prendre la décision.

De plus, les individus pourraient demander aux organisations de retirer leurs renseignements personnels. Dans certaines circonstances, les organisations seraient tenues de se conformer à ces demandes.

Enfin, la LPVPC comprend des dispositions qui accordent aux individus des droits de mobilité des données qui leur permettent de transférer leurs renseignements personnels d’une organisation à une autre.

La LIAD régit la création et l’utilisation de l’IA

Le projet de loi C-27 édicterait également la LIAD, la première loi régissant la création et l’utilisation de systèmes d’intelligence artificielle au Canada. Si elle est adoptée, la LIAD créera un important régime de sanctions, y compris des amendes maximales d’un montant égal à 3 % des recettes globales ou de 10 millions de dollars canadiens en cas de contravention et des amendes maximales d’un montant égal à 5 % des recettes globales ou de 25 millions de dollars canadiens en cas d’infraction grave, ou l’emprisonnement, dans le cas d’un individu.

Les éléments clés du cadre de réglementation proposé pour les systèmes d’IA comprennent des évaluations obligatoires visant à déterminer si un système d’IA est un « système à incidence élevée », terme qui devra être défini dans le règlement. Les organisations seraient tenues de publier une description et une explication de chaque système à incidence élevée et d’atténuer les risques de préjudice ou de résultats biaisés découlant de l’utilisation d’un tel système.

La LIAD crée des exigences d’autodéclaration pour les organisations. En outre, elle confère au ministre le pouvoir d’ordonner la production de documents, d’effectuer une vérification, de publier des avertissements et d’ordonner la cessation de l’utilisation ou de la distribution d’un système à incidence élevée. La LIAD envisage également la nomination d’un commissaire à l’intelligence artificielle et aux données pour aider à l’administration et à l’application de la loi.

En octobre 2023, Innovation, Sciences et Développement économique Canada (ISDE) a publié le Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés. Ce code est censé fournir un « encadrement » jusqu’à l’entrée en vigueur de la LIAD. Le code de pratiques proposé décrit les engagements organisationnels à l’égard des divers éléments de base du développement, de l’utilisation et de l’exploitation de systèmes d’IA générative. Ces éléments sont la sécurité, la justice et l’équité, la transparence, la surveillance humaine, la validité et la fiabilité, et la responsabilisation.

Bien que le code de pratiques soit volontaire par nature, nous prévoyons que son utilisation se répandra dans de multiples secteurs d’activité au Canada aux fins du développement et de la gestion des systèmes d’IA. Vous trouverez des renseignements complémentaires sur la façon dont les organisations peuvent atténuer les risques liés à l’IA et composer avec un cadre réglementaire de plus en plus complexe dans ce domaine dans notre article intitulé « Gouvernance de l’intelligence artificielle : composer avec ce que l’avenir nous réserve ».

S’il est adopté, le projet de loi C-27 imposera des obligations considérables aux organisations faisant affaire au Canada. Même si les réformes législatives proposées sont toujours sujettes à modification, nous encourageons les entreprises à commencer à se préparer à se conformer à ces exigences qui entreront probablement en vigueur au cours des prochaines années.