Les réformes de la protection de la vie privée sont maintenant de retour, ainsi que la nouvelle réglementation de l’IALe 16 juin 2022, la Loi de 2022 sur la mise en œuvre de la Charte du numérique (DCIA) a été présentée en tant que projet de loi C-27. La DCIA adoptera la Loi sur la protection de la vie privée des consommateurs (LRPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données (LDPI), la Loi sur l’intelligence artificielle et les données (LEID), et apportera des modifications à d’autres lois connexes. La LRPC remplacera effectivement le régime législatif fédéral actuel régissant la collecte, l’utilisation et la communication de renseignements personnels par les organisations du secteur privé en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La PIDPTA établira le nouveau Tribunal des renseignements personnels et de la protection des données. Il aura compétence à l’égard de tous les appels relatifs à diverses conclusions, ordonnances ou décisions rendues en vertu de la LECL et à l’égard de l’imposition de certaines pénalités en vertu de cette loi. L’ACRA, pour sa part, cherchera à réglementer le commerce international et interprovincial des systèmes d’intelligence artificielle en établissant des exigences communes pour la conception, le développement et l’utilisation de ces systèmes; et en interdisant certains comportements à l’égard de ces systèmes. APPVP et PIDPTAMalgré les Application : La LRPC continuera de s’appliquer à l’égard des renseignements personnels qui :
Il y a des provinces qui ont des lois sur la protection des renseignements personnels ou la santé dans le secteur privé qui ont été jugées essentiellement similaires à la LPRPDE et, par conséquent, la LPRPDE ne s’applique pas à l’égard de ces activités liées à la protection de la vie privée ou aux renseignements sur la santé dans ces provinces. Compte tenu des changements apportés à la LPPC, la question se poursuit : est-ce que des ordonnances de similarité aussi importantes continueront de s’appliquer à l’égard de ces lois provinciales? Par conséquent, si les ordonnances de similarité substantielle existantes ne continuent pas de s’appliquer, les organisations de la Colombie-Britannique, de l’Alberta et du Québec pour obtenir des renseignements personnels, ainsi que de l’Ontario, du Nouveau-Brunswick, de Terre-Neuve-et-Labrador et de la Nouvelle-Écosse pour obtenir des renseignements sur la santé, pourraient devoir se conformer aux lois provinciales et fédérales à l’égard de ces activités. But approprié : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable jugerait appropriées dans les circonstances. Dans l’ébauche, la LPPC comprend également des facteurs précis dont une organisation doit tenir compte pour déterminer si de telles fins sont appropriées, y compris, par exemple, la sensibilité des renseignements personnels et si les fins représentent des besoins opérationnels légitimes de l’organisation. Responsabilisation : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation est responsable des renseignements personnels sous son contrôle. Dans l’ébauche, l’ACCP comprend également des directives précises sur le moment où une organisation « contrôle » les renseignements personnels, c’est-à-dire le contrôle lorsqu’une organisation décide de recueillir des renseignements personnels et détermine les fins de leur collecte, de leur utilisation ou de leur communication, peu importe si les renseignements sont recueillis, utilisés ou communiqués par l’organisation elle-même ou par un fournisseur de services au nom de l’organisation. Obligation de mettre en œuvre le Programme de gestion de la protection de la vie privée : En ce qui concerne l’obligation d’avoir des politiques et des pratiques pour donner effet à la LPRPDE, les organisations seront désormais tenues de mettre en œuvre et de maintenir un « programme de gestion de la protection de la vie privée » qui comprend les politiques, les pratiques et les procédures de l’organisation mises en place pour s’acquitter de ses obligations en vertu de la LRPC. Fins de la collecte des dossiers : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation doit déterminer, au moment de la collecte ou avant, chacune des fins auxquelles les renseignements personnels doivent être recueillis, utilisés ou communiqués. En vertu de la LRPC, il doit également consigner ces fins. Consigner une nouvelle fin : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation ne doit pas utiliser ou communiquer des renseignements personnels à de nouvelles fins à moins d’obtenir un consentement valide avant toute utilisation ou communication à cette nouvelle fin. En vertu de la LRPC, il doit également consigner ces fins. Consentement : Conformément aux 10 principes de la LPRPDE relatifs à l’équité en matière de renseignements, le consentement de la personne (explicite, réputé ou implicite) doit être obtenu au moment de la collecte ou avant. Dans l’ébauche, l’ACCP comprend également des directives précises sur les exigences de validité du consentement. Plus précisément, une organisation doit fournir les renseignements suivants dans un langage simple qu’on pourrait raisonnablement s’attendre à ce qu’une personne à qui les activités de l’organisation s’adressent comprenne raisonnablement :
Exception pour les activités commerciales : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, il existe des exceptions en vertu de l’ébauche de la LPPC qui permettent la collecte, l’utilisation ou la communication de renseignements personnels à l’insu de la personne concernée ou sans son consentement. Dans l’ébauche, la CCPA inclut également une exception pour les « activités commerciales », lorsqu’une personne raisonnable s’attendrait à une telle collecte ou utilisation de renseignements personnels pour cette activité, qui est définie comme comprenant :
De plus, une organisation peut recueillir ou utiliser les renseignements personnels d’une personne à son insu ou sans son consentement si la collecte ou l’utilisation est faite aux fins d’une activité dans laquelle l’organisation a un intérêt légitime qui l’emporte sur tout effet négatif potentiel sur la personne découlant de cette collecte ou de cette utilisation et :
Pour ce faire, l’organisation doit :
Droit à l’élimination : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, les renseignements personnels qui ne sont plus nécessaires pour atteindre les fins déterminées devraient être détruits, effacés ou rendus anonymes. Dans l’ébauche, l’ACCP prévoit également que les organisations doivent, sous réserve de certaines restrictions, disposer également des renseignements personnels à la demande de la personne si :
Il convient toutefois de noter qu’une organisation peut, dans certaines circonstances, refuser une demande d’élimination de renseignements personnels si :
Mesures de protection : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation doit protéger les renseignements personnels au moyen de mesures de sécurité physiques, organisationnelles et technologiques qui sont proportionnelles à la sensibilité des renseignements. Dans l’ébauche, l’ACCP prévoit également qu’en plus de tenir compte de la sensibilité des renseignements personnels, une organisation doit également tenir compte de la quantité, de la distribution, du format et de la méthode de stockage des renseignements dans l’établissement de ses mesures de sécurité. Il convient de noter que les mesures de sécurité doivent maintenant comprendre des mesures raisonnables pour authentifier l’identité de la personne concernée par les renseignements personnels. Transferts aux fournisseurs de services : Dans l’ébauche, l’ACCP précise qu’une organisation peut transférer des renseignements personnels à un fournisseur de services à l’insu de la personne ou sans son consentement, à condition que l’organisation s’assure, par contrat ou autrement, que le fournisseur de services offre un niveau de protection des renseignements personnels équivalent à celui qu’il est tenu de fournir en vertu de la LECL. Obligations des fournisseurs de services : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, si une organisation transfère des renseignements personnels à un fournisseur de services, l’organisation doit s’assurer, par contrat ou autrement, que le fournisseur de services offre essentiellement la même protection pour les renseignements personnels que celle qu’elle est tenue de fournir en vertu de la LRPC. Dans l’ébauche, l’ACCP précise également que : (i) les fournisseurs de services sont directement responsables, en vertu de la LPVPC, de protéger les renseignements personnels au moyen de mesures de protection physiques, organisationnelles et technologiques; et (ii) si un fournisseur de services détermine qu’il y a eu atteinte aux mesures de sécurité qui concerne des renseignements personnels, il doit en aviser l’organisation qui contrôle les renseignements personnels dès que possible. Opérations commerciales éventuelles : Conformément à l’exemption relative aux opérations commerciales prévue par la LPRPDE, la LRPC comprend une exemption pour certaines opérations commerciales. Contrairement à la LPRPDE, la LACL prévoit également qu’en l’absence d’un consentement valide, une organisation ne peut fournir des renseignements dépersonnalisés qu’à une contrepartie potentielle dans le cadre d’une transaction commerciale éventuelle, à moins que cela ne nuise aux objectifs de réalisation de l’opération et que l’organisation n’ait tenu compte du risque de préjudice pour la personne qui pourrait résulter de l’utilisation ou de la divulgation des renseignements. Il s’agit d’un changement important par rapport à la législation existante qui permet la communication de renseignements personnels à un acheteur éventuel à l’insu des personnes ou sans leur consentement. Système décisionnel automatisé : Nouveau dans le régime fédéral de protection des renseignements personnels dans le secteur privé, l’ébauche de la LRPC prévoit que si l’organisation a utilisé un système décisionnel automatisé pour faire une prédiction, une recommandation ou une décision au sujet de la personne qui pourrait avoir une incidence importante sur elle, l’organisation doit, à la demande de la personne, lui fournir une explication de la prédiction, une recommandation ou une décision qui indique le type de renseignements personnels qui ont été utilisés pour faire la prédiction, la recommandation ou la décision, la source de l’information et les motifs ou les principaux facteurs qui ont mené à la prédiction, à la recommandation ou à la décision. Renseignements dépersonnalisés et anonymisés : Nouveau dans le régime fédéral de protection des renseignements personnels du secteur privé, l’ébauche de la LPPC traite de la collecte, de l’utilisation et de la communication de « renseignements dépersonnalisés » dans certaines circonstances :
Il convient toutefois de noter qu’aux fins de divers articles de l’ébauche de la LPPC, les renseignements personnels qui ont été dépersonnalés sont considérés comme des renseignements personnels. La « dé-identification » est définie comme le processus qui consiste à s’assurer que les renseignements n’identifient pas une personne ou ne pourraient pas être utilisés dans des circonstances raisonnablement prévisibles, seules ou en combinaison avec d’autres renseignements, pour identifier une personne. La rédaction actuelle de la Loi n’est pas claire quant à la mesure dans laquelle on s’y fiera pour réglementer l’utilisation et la divulgation des renseignements dépersonnalisants. L’ébauche de la LACL indique également clairement qu’elle ne s’applique pas à l’égard des renseignements personnels qui ont été anonymisés (c.-à-d. les renseignements personnels qui ont été modifiés de façon irréversible et permanente, conformément aux pratiques exemplaires généralement reconnues, afin de s’assurer qu’aucune personne ne peut être identifiée à partir des renseignements, que ce soit directement ou indirectement, par quelque moyen que ce soit). Accès par le commissaire à la protection de la vie privée : En élargissant les pouvoirs du commissaire à la protection de la vie privée en vertu de la LPRPDE, en vertu de l’ébauche de la LPPC, à la demande du commissaire à la protection de la vie privée, une organisation doit lui donner accès aux politiques, aux pratiques et aux procédures qui sont incluses dans le programme de gestion de la protection de la vie privée de l’organisation. Bien que l’ébauche de la LPPC prévoie que le commissaire à la protection de la vie privée ne peut pas utiliser les renseignements obtenus au moyen de ce droit d’accès comme base pour déposer une plainte ou faire une vérification, il est difficile de voir comment le commissaire à la protection de la vie privée peut séparer ce qu’il apprend de cet accès de ce qu’il considère comme des « motifs raisonnables » de déposer une plainte ou une vérification. Pouvoirs du commissaire : Bien que la commissaire à la protection de la vie privée n’ait que des pouvoirs d’application limités en vertu de la LPRPDE, en vertu de l’ébauche de la LECL, ce ne sera plus le cas :
Le Tribunal : Le nouveau Tribunal de la protection des renseignements personnels et des données sera établi en vertu de l’ébauche de la LDDPPI. Le Tribunal aura compétence à l’égard de tous les appels relatifs à diverses conclusions, ordonnances ou décisions rendues en vertu de la LACL et à l’égard de l’imposition de certaines pénalités en vertu de cette loi. Toute décision du Tribunal peut, aux fins de son exécution, faire l’objet d’une ordonnance de la Cour fédérale ou de toute cour supérieure et est exécutoire de la même manière qu’une ordonnance de la cour. Pénalités en cas de non-conformité : Bien que les dispositions relatives aux pénalités soient limitées en vertu de la LPRPDE, en vertu de l’ébauche de la LRPC, la commissaire à la protection de la vie privée peut recommander au Tribunal qu’une pénalité en cas de contravention aux diverses obligations de la LACL soit imposée à l’organisation. La pénalité maximale est la plus élevée de 10 millions de dollars ou 3 % du revenu global brut.
Pénalités pour contravention consciente : Bien que les dispositions relatives aux pénalités soient limitées en vertu de la LPRPDE, en vertu de l’ébauche de la LPPC, toute organisation qui contrevient sciemment à l’une des obligations suivantes est coupable d’un acte criminel et est passible d’une amende ne dépassant pas le plus élevé des montants suivants :
Droit privé d’action : S’appuyant sur le droit privé d’action en vertu de la LPRPDE, l’ébauche de la LACL établit également une cause d’action pour la perte ou le préjudice découlant de la violation par une organisation de ses obligations en vertu de la loi. La LRPC prolonge le délai de prescription à deux ans après la période de prescription à la fois où la personne (qui est touchée par un acte ou une omission d’une organisation qui constitue une contravention à la LECL) prend connaissance de ce qui suit :
Le droit privé d’action peut s’étendre aux fournisseurs de services dans la mesure où il est conclu qu’ils n’ont pas respecté leurs obligations en vertu de la LPVPC. ACRAVisant à réglementer le commerce international et interprovincial dans le système d’intelligence artificielle, le projet d’ACRA introduit diverses obligations pour les organisations utilisant l’intelligence artificielle. Voici un résumé de certaines des obligations importantes de ce projet de loi. Établissement de mesures : L’ébauche de l’ACRA exige que toute personne qui exerce une « activité réglementée » et qui traite ou met à disposition des données anonymisées dans le cadre de cette activité établisse des mesures à l’égard de ce qui suit :
Dans ce contexte, une « activité réglementée » s’entend de l’une ou l’autre des activités suivantes exercées dans le cadre d’échanges et de commerces internationaux ou interprovinciaux :
Systèmes à impact élevé : Une personne responsable d’un système d’intelligence artificielle doit évaluer s’il s’agit d’un « système à impact élevé » (c.-à-d. un système d’intelligence artificielle qui répond aux critères applicables énoncés dans le règlement) et, le cas échéant :
Publication de la description : Les organisations qui rendent disponible pour utilisation un système à fort impact doivent publier sur un site Web accessible au public une description en langage clair du système qui comprend une explication de ce qui suit :
D’autre part, les organisations qui gèrent le fonctionnement d’un système à fort impact doivent sur un site Web accessible au public une description en langage clair du système qui comprend une explication de ce qui suit :
Tenue de documents : L’ébauche de l’ACRA établit diverses obligations en matière de tenue de documents à l’égard des organisations qui exercent des activités réglementées. Pénalités en cas de non-conformité : Une contravention à la LEA PEUT entraîner des conséquences importantes : une amende d’au plus 10 000 000 $ et 3 % des revenus globaux bruts. Commissaire à l’intelligence artificielle et aux données : Un haut fonctionnaire peut être nommé commissaire à l’intelligence artificielle et aux données, dont le rôle sera d’aider le ministre dans l’administration et l’application de l’ACRA.
S’ils sont adoptés tels qu’ils sont actuellement rédigés, nous prévoyons que la LPPC et l’ACDI auront une incidence importante sur l’étendue de l’examen réglementaire des organisations en ce qui a trait à leurs pratiques en matière de protection de la vie privée et à l’utilisation de l’intelligence artificielle. Par conséquent, les organisations devront probablement entreprendre un examen exhaustif de la façon dont elles mènent leurs activités et gèrent leurs pratiques, politiques et procédures en matière de protection de la vie privée dans l’ensemble du Canada, ainsi que les systèmes d’IA. Le groupe Bennett Jones Privacy & Data Protection group est disponible pour discuter de la façon dont les changements peuvent affecter les obligations d’une organisation en matière de confidentialité. Auteur(e)s
Traduction alimentée par l’IA. Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques. Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com. |