Le 26 septembre 2023, le Comité permanent de l’industrie et de la technologie de la Chambre des communes (le Comité permanent) a entrepris un examen approfondi du projet de loi C-27, la Loi de mise en œuvre de la Charte numérique. S’il est adopté, ce projet de loi abrogerait la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques et adopterait trois lois distinctes visant à remanier les lois sur la protection de la vie privée et à régir le domaine en plein essor de l’intelligence artificielle au Canada. Ces trois lois comprennent la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données, annonçant collectivement un paysage juridique modernisé.
Dans le contexte de l’évaluation en cours du statut d’adéquation du Canada par la Commission européenne1, le début de l’étude du projet de loi C-27 prend une importance accrue. L’article 45 du Règlement général sur la protection des données de l’Union européenne confère à la Commission européenne le pouvoir de procéder à des examens périodiques, généralement tous les quatre ans, afin d’évaluer l’adéquation des mesures de protection des données en de non-Union européenne. pays. 2 À la lumière de ce qui précède, l’adoption du projet de loi C-27 revêt une importance cruciale, soulignant le besoin urgent d’adopter rapidement des lois à jour sur la protection de la vie privée.
L’honorable François-Philippe Champagne, parrain du projet de loi et ministre de l’Innovation, des Sciences et de l’Industrie, a comparu à titre de premier témoin devant le Comité permanent, proposant une série de modifications proposées au projet de loi C-27. Bien que le libellé précis de ces modifications n’ait pas été divulgué au cours de la session, le ministre Champagne a poursuivi sa comparution avec un letter adressée au comité dans la semaine suivante, exposant plus en détail les amendements proposés. Malgré la clarté accrue de la lettre subséquente, le libellé législatif exhaustif décrivant la mise en œuvre de ces modifications ne sera dévoilé qu’au cours de l’examen article par article du projet de loi, en soulignant l’importance de l’aspect procédural.
La lettre du ministre présente des modifications proposées à la Loi sur la protection des renseignements personnels des consommateurs et à la Loi sur l’intelligence artificielle et les données pour que le Comité permanent les examine dans le cadre de son étude du projet de loi C-27. Voici quelques-unes des modifications proposées les plus importantes :
Le ministre propose une modification au préambule et à l’objet de la Loi sur la protection des renseignements personnels des consommateurs (LRPC) afin que la LPPC qualifie expressément le droit à la vie privée de droit fondamental pour tous les Canadiens. La LPPC accordera également une attention particulière à la protection des renseignements personnels des enfants et veillera à ce que les organisations accordent suffisamment d’attention aux intérêts des mineurs lorsqu’elles déterminent si leurs renseignements personnels sont recueillis, utilisés ou communiqués de façon appropriée.
La lettre du ministre souligne également que la LPPC prévoyait déjà une solide protection pour les mineurs et que les modifications proposées renforcent davantage ces protections. Si les renseignements personnels appartenant à un mineur sont « sensibles », les organisations devront généralement : (1) consentir expressment à la collecte, à l’utilisation ou à la communication de ces renseignements; (2) d’examiner attentivement la raison pour laquelle ils recueillent de tels renseignements; (3) employer des mesures de protection plus rigoureuses pour protéger les renseignements; et (4) mettre en œuvre des périodes de conservation plus courtes pour ces informations.
Une autre modification proposée à la LPPC vise à modifier les accords de conformité. Ces ententes prévoient une entente entre le Commissariat à la protection de la vie privée du Canada (CPVP) et toute organisation jugée non conforme à la LRPC. La modification vise à inclure les considérations financières dans une entente de conformité, de sorte que le CPVP puisse imposer une pénalité financière aux organisations non conformes. Les ententes de conformité seraient définitives, conclues sans avoir besoin d’un tribunal ou d’une cour, et ne feraient pas l’objet d’appels.
Le libellé précédent de la Loi sur l’intelligence artificielle et les données (ACRA) comprenait les systèmes d’intelligence artificielle (IA) « à fort impact ». Les modifications proposées clarifient utilement le sens des systèmes à « impact élevé » comme étant « ceux dont au moins une utilisation prévue peut raisonnablement être conclue comme faisant partie d’une liste de catégories à établir dans une annexe de la Loi ». Les modifications proposées énoncent également une liste des classes initiales, notamment :
Les modifications indiquent que la liste des catégories pourrait évoluer et suggèrent une autre modification accordant au gouverneur en conseil le pouvoir de modifier la liste à l’avenir.
Les modifications proposées visent également à harmoniser la définition de l’IA de l’ACRA avec celle de l’Organisation de coopération et de développement économiques, dans laquelle l’IA serait définie comme un « système technologique qui, à l’aide d’un modèle, fait des inférences afin de générer des résultats, y compris des prédictions, des recommandations ou des décisions ».
En cherchant à s’aligner sur les meilleures pratiques internationales, telles que la Loi sur l’intelligence artificielle de l’Union européenne, la lettre indique que le gouvernement proposerait des modifications relatives aux responsabilités des personnes développant un modèle d’apprentissage automatique pour une utilisation à fort impact, des personnes mettant en service un système à fort impact et des personnes gérant les opérations d’un système à fort impact.
Enfin, les modifications proposent que tous les acteurs menant des activités réglementées soient tenus de préparer un cadre de responsabilisation comprenant : (1) une structure hiérarchique; 2° les politiques et procédures relatives aux risques; (3) les politiques et les procédures lors de la consultation d’une personne faisant l’objet d’un incident grave; 4° les politiques et procédures relatives aux données utilisées par le système; 5° la formation que les individus doivent suivre; et (6) toute autre exigence réglementaire future.
D’autres modifications importantes proposées à l’ACRA comprennent des obligations plus claires envers chaque acteur tout au long de la chaîne de valeur de l’IA ainsi que la mise en œuvre d’obligations futures pour les systèmes d’IA à usage général tels que ChatGPT. La lettre indique que, bien que ces systèmes puissent être réglementés en tant que systèmes à fort impact, les commentaires des intervenants proposent que ces systèmes soient distincts en eux-mêmes et qu’ils devraient avoir des règlements uniques. Enfin, les amendements visent à clarifier le rôle du commissaire à l’IA et aux données, un rôle qui serait créé en vertu du projet de loi C-27 s’il recevait la sanction royale.
La lettre du ministre pourrait prédire l’avenir de la réglementation des renseignements personnels et de l’intelligence artificielle au Canada. Par conséquent, les organisations devraient tenir compte de leurs propres pratiques pour s’assurer qu’elles sont prêtes pour la mise en œuvre de la LPPC et de l’ACDI si le projet de loi C-27 reçoit la sanction royale. Le groupe Bennett Jones Privacy & Data Protection group est disponible pour discuter de la façon dont votre organisation peut gérer de manière responsable et efficace l’utilisation de l’information et de l’intelligence artificielle dans ses opérations.
1 Commissariat à la protection de la vie privée du Canada, « Opc updates guidance regarding sensitive information » (13 août 2021), en ligne : <www.priv.gc.ca/en/opc-news/news-and-announcements/2021/an_210813/>.
2 RGPD, Règlement (UE) 2016/679, 2016 JO (L 119) 1 (UE), à la p. 45.