Le gouvernement libéral a présenté sa deuxième tentative de réforme des lois sur la protection de la vie privée au pays couvrant le secteur des entreprises. Le ministre de l’Innovation, François-Philippe Champagne, a présenté ce matin le projet de loi C-27 à la Chambre des communes.
Les détails de la législation n’étaient pas immédiatement disponibles, il n’est donc pas clair en quoi elle différera de la législation proposée par le gouvernement en 2020, mais elle se compose de trois volets :
- La Loi sur la protection de la vie privée des consommateurs (LPVPC), du même nom que la législation précédente.
- Le Tribunal des renseignements personnels et de la protection des données, qui aurait le dernier mot sur les amendes proposées par le commissaire fédéral à la protection de la vie privée pour les violations à la LPVPC.
- La nouvelle loi sur l’intelligence artificielle et les données obligeant les entreprises qui déploient des technologies d’IA à « impact élevé » à les utiliser de manière responsable. Un commissaire aux données de l’IA appliquera les réglementations à définir.
Dans un communiqué de presse, le ministre Champagne a déclaré que la LPVPC proposée garantira que la vie privée des Canadiens sera protégée et que les entreprises innovantes pourront bénéficier de règles claires à mesure que la technologie continuera d’évoluer. Ce qui comprend :
- Accroître le contrôle et la transparence lorsque les renseignements personnels des Canadiens sont traités par des organisations.
- Donner aux Canadiens la liberté de déplacer leurs renseignements d’une organisation à une autre de façon sécuritaire.
- Veiller à ce que les Canadiens puissent demander que leurs renseignements soient éliminés lorsqu’ils ne sont plus nécessaires.
- Établir des protections plus solides pour les mineurs, notamment en limitant le droit des organisations de collecter ou d’utiliser des informations sur les mineurs et en imposant aux organisations une norme plus élevée lors du traitement des informations sur les mineurs.
- Doter le commissaire à la protection de la vie privée du Canada de vastes pouvoirs d’ordonnance, y compris la capacité d’ordonner à une entreprise de cesser de recueillir des données ou d’utiliser des renseignements personnels.
- Établir des amendes importantes pour les organisations non conformes, avec des amendes pouvant atteindre 5 % du chiffre d’affaires mondial ou 25 millions de dollars, selon le montant le plus élevé, pour les infractions les plus graves.
Le projet de loi sur l’intelligence artificielle et les données introduira de nouvelles règles pour renforcer la confiance des Canadiens dans le développement et le déploiement de systèmes d’IA, notamment :
- Protéger les Canadiens en veillant à ce que des systèmes d’IA à fort impact soient développés et déployés de manière à identifier, évaluer et atténuer les risques de préjudice et de partialité.
- La création d’un commissaire à l’IA et aux données pour aider le ministre de l’Innovation, des Sciences et de l’Industrie à s’acquitter de ses responsabilités ministérielles en vertu de la Loi, notamment en surveillant la conformité des entreprises, en ordonnant des audits par des tiers et en partageant des informations avec d’autres organismes de réglementation et d’exécution, le cas échéant.
- Décrire des interdictions et des sanctions pénales claires concernant l’utilisation de données obtenues illégalement pour le développement de l’IA ou lorsque le déploiement imprudent de l’IA cause un préjudice grave et lorsqu’il existe une intention frauduleuse de causer une perte économique substantielle par son déploiement.
MISE À JOUR : Le projet de loi complet est disponible ici.
MISE À JOUR : À l’occasion d’un breffage technique, un responsable a déclaré qu’il y avait cinq changements principaux dans la nouvelle version de la LPVPC par rapport à la précédente :
- L’inclusion de règles plus claires concernant les exceptions au consentement significatif que les entreprises doivent obtenir pour collecter des données personnelles.
- L’inclusion de définitions des données personnelles anonymisées et anonymes et la clarification de la manière dont les entreprises doivent traiter ces données.
- L’inclusion de responsabilités accrues pour les entreprises qui collectent des données sur les enfants. Les entreprises seraient limitées dans leur capacité à collecter ou à utiliser des informations sur les mineurs. La loi imposerait également aux organisations une norme plus élevée lors du traitement des informations des mineurs que du traitement des données des adultes.
- Les mineurs – ou leurs parents ou tuteurs – auraient le droit de comprendre comment leurs données personnelles sont utilisées et le droit d’exiger qu’une entreprise supprime ces données.
- L’élargissement du pouvoir discrétionnaire du commissaire à la protection de la vie privée de lancer des enquêtes sur d’éventuelles violations de la LPVPC.
Les organisations devront toujours utiliser un langage simple pour expliquer aux utilisateurs quelles données personnelles sont collectées et comment elles seront utilisées.
En réponse à une plainte, les modifications précisent également que certains membres du Tribunal des renseignements personnels et de la protection des données doivent avoir une expérience en matière de droit de la vie privée.
Lire aussi :
Le rôle essentiel d’un responsable de la protection de la vie privée
Philippe Dufresne nommé commissaire à la protection de la vie privée du Canada
Le commissaire à la protection de la vie privée sortant critique les entreprises et Ottawa
Traduction et adaptation française par Renaud Larue-Langlois
