La protection de la vie privée de retour au feuilleton fédéral avec la Loi de 2022 sur la mise en œuvre de la charte numérique

La protection de la vie privée de retour au feuilleton fédéral avec la Loi de 2022 sur la mise en œuvre de la charte numérique

Pour la deuxième fois, le Canada fait un premier pas vers un renforcement de sa législation en matière de protection de la vie privée et des données, suivant ainsi les tendances mondiales.

Le 16 juin, le gouvernement fédéral a déposé le projet de loi C-27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois[1], connu sous le titre abrégé Loi de 2022 sur la mise en œuvre de la Charte du numérique (le « projet de loi C-27 »). S’il est adopté, il modifiera considérablement le régime de protection de la vie privée et des données au Canada.

Le projet de loi C-27 prévoit notamment le retrait des dispositions sur la gestion des renseignements personnels de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c. 5 (la « LPRPDE »), ainsi que l’adoption de la Loi sur la protection de la vie privée des consommateurs (la « LPVPC »), de la Loi sur l’intelligence artificielle et les données (la « LIAD ») et de la Loi sur le Tribunal de la protection des renseignements personnels et des données (la « LTPRPD »), cette dernière créant le Tribunal de la protection des renseignements personnels et des données (le « Tribunal »).

La LPVPC et la LTPRPD reprennent nombre des éléments qui avaient été proposés en novembre 2020 dans le projet de loi C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois (le « projet de loi C-11 »), mort au feuilleton en raison des élections fédérales de 2021. Le nouveau projet de loi C-27 comporte aussi des ajouts, dont la LIAD.

Une impression de déjà vu

La LPVPC proposée dans le projet de loi C-27 porte le même titre que celle proposée dans le projet de loi C-11 et contient des dispositions très similaires (consultez notre bulletin sur le projet de loi C-11 pour en savoir plus). Voici quelques-uns des éléments qui viennent étendre les exigences de la LPRPDE actuelle :

• Chaque organisation devra adopter un programme de gestion de la protection des renseignements personnels encadrant la protection de ces renseignements, le traitement des plaintes et des demandes de renseignements, la formation du personnel et la rédaction de documents expliquant ses politiques et procédures[2].
• Le critère des « fins acceptables», depuis longtemps utilisé par les organismes de réglementation, les arbitres en droit du travail et d’autres décideurs pour déterminer si une personne raisonnable jugerait acceptable dans les circonstances la raison de la collecte, de l’utilisation ou de la communication (collectivement, le « traitement ») de renseignements personnels, est codifié[3]. Les facteurs suivants devront être pris en compte : la nature sensible des renseignements, les besoins commerciaux légitimes de l’organisation, le degré d’efficacité du traitement pour répondre à ces besoins, l’existence ou non de moyens moins attentatoires pour la vie privée (coûts et avantages comparables) et la proportionnalité entre l’atteinte à la vie privée et les avantages[4].
• De nouvelles conditions pour la validité du consentement sont ajoutées, dont l’obligation de fournir certains renseignements en « langage clair » avant d’obtenir le consentement d’un individu ou au moment de le solliciter[5]. De même, comme l’indiquent les « Lignes directrices pour l’obtention d’un consentement valable » du Commissariat à la protection de la vie privée du Canada[6], il faudra fournir des détails sur les fins du traitement des renseignements personnels, sur le traitement lui-même, sur les types de renseignements visés, sur les tiers à qui ils pourraient être communiqués et sur les conséquences raisonnablement prévisibles.
• De nouvelles exceptions à l’exigence de consentement sont ajoutées pour certaines fins socialement bénéfiques (si les renseignements sont dépersonnalisés)[7], et dans les cas où les renseignements sont recueillis ou utilisés pour certaines activités d’affaires (celles qui sont nécessaires pour fournir un produit ou un service à l’individu ou pour assurer la sécurité des systèmes informatiques, d’un produit ou d’un service)[8]. Dans ce deuxième cas, la collecte ou l’utilisation doit correspondre aux attentes raisonnables de l’individu et elles ne peuvent avoir pour but d’influencer son comportement ou ses décisions.
• Les obligations des fournisseurs de services sont clairement limitées: ils doivent seulement respecter des exigences de protection et informer le responsable du traitement des données des atteintes aux mesures de protection, sauf s’ils traitent des renseignements personnels à leurs propres fins (et non à celles pour lesquelles l’organisation leur a communiqué les renseignements)[9]. Comme la LPRPDE actuelle, la LPVPC prévoit que les organisations doivent prendre des mesures, contractuelles ou autres, pour s’assurer que leurs fournisseurs de services protègent les renseignements personnels qu’ils traitent[10].
• Les exigences quant à la transparence, y compris, sans limitation, pour les transferts transfrontaliers de renseignements personnels et les systèmes de décisions automatisées, sont renforcées[11].
• Les individus concernés ont plus de droits, dont celui de demander le retrait de leurs données (sous réserve de limites et d’exceptions)[12], et des droits relatifs à la mobilité des données (lorsque les organisations sont assujetties à un cadre de mobilité de données)[13].
• Les mécanismes d’application sont fortement renforcés : sanctions administratives pécuniaires (« SAP») pouvant atteindre 10 000 000 $ ou, si ce montant est plus élevé, 3 % des recettes globales brutes de l’organisation au cours de son exercice précédent[14] (25 000 000 $ ou 5 % pour certaines infractions[15]) et droit privé d’action pour les individus touchés par une contravention à la LPVPC commise par une organisation[16].

Malgré les pressions qu’il exerce en ce sens depuis que la LPVPC a été proposée pour la première fois en 2020, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») n’obtient pas le pouvoir d’imposer des SAP ou des amendes en cas d’infraction. Il pourra toutefois rendre des ordonnances de conformité, faire des vérifications sur les procédures de gestion des renseignements personnels des organisations et recommander au Tribunal d’imposer des SAP à des organisations qui enfreignent certaines dispositions de la LPVPC. Le Tribunal pourra ensuite, s’il le juge approprié, imposer une pénalité à l’organisation, mais après avoir donné l’occasion à l’organisation et au CPVP de présenter des observations. Selon la LTPRPD, le Tribunal aura aussi compétence pour entendre des appels concernant des conclusions, des ordonnances ou des décisions issues de la LPVPC[17].

Des nouveautés qui méritent d’être soulignées

Le projet de loi C-27 ressemble fort au projet de loi C-11 à bien des égards, mais il introduit en plus la LIAD et des exigences et restrictions supplémentaires dans la LPVPC.

La Loi sur l’intelligence artificielle et les données

L’adoption proposée de la LIAD est un ajout important du projet de loi C-27. Cette loi a pour objet de réglementer les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d’intelligence artificielle[18] (« systèmes d’IA ») par l’établissement d’exigences communes à l’échelle du Canada, et d’interdire certaines conduites relativement à ces systèmes qui peuvent causer un préjudice sérieux aux individus ou à leurs intérêts.

Plus particulièrement, la LIAD impose des exigences et des restrictions relativement aux activités réglementées suivantes lorsqu’elles sont exercées dans le cadre d’échanges ou de commerce internationaux ou interprovinciaux :

• le traitement ou le fait de rendre disponibles des données liées à l’activité humaine afin de concevoir, de développer ou d’utiliser un système d’IA;
• la conception, le développement ou le fait de rendre disponible un système d’IA ou la gestion de son exploitation.

La personne qui, dans l’exercice d’une activité réglementée, traite (ou rend disponible) des données anonymisées doit établir des mesures définissant la méthode d’anonymisation et encadrant leur utilisation ou leur gestion[19]. De plus, la LIAD prévoit des obligations de tenue de documents pour les personnes qui exercent des activités réglementées, qui sont tenues d’évaluer si leur système d’IA est un « système à incidence élevée » (dont les critères seront prescrits par règlement). Les personnes qui rendent disponibles des « systèmes à incidence élevée » (ou en gèrent l’exploitation) auront des obligations additionnelles, notamment :

• établir des mesures visant à cerner, évaluer et atténuer les risques de préjudice[20] ou de résultats biaisés que pourrait entraîner l’utilisation du système;
• établir des mesures visant à contrôler le respect des mesures d’atténuation et à évaluer leur efficacité;
• publier, sur un site Web accessible au public, une description, en langage clair, du système qui prévoit notamment les éléments suivants : son utilisation prévue; le contenu qu’il génère, les prédictions ou recommandations qu’il fait ou les décisions qu’il prend; les mesures d’atténuation établies (selon les exigences ci-dessus); tout autre renseignement prévu par règlement.

Pour l’application de la LIAD, « résultat biaisé » désigne du contenu généré, une prédiction ou une recommandation faite ou une décision prise par un système d’IA qui défavorise (directement ou indirectement), sans justification, un individu sur le fondement d’un ou de plusieurs motifs de distinction illicite prévus à l’article 3 de la Loi canadienne sur les droits de la personne[21]. Sont exclus de cette définition le contenu, la prédiction, la recommandation et la décision qui sont destinés à supprimer, diminuer ou prévenir les désavantages que subit un groupe d’individus pour des motifs fondés, directement ou indirectement, sur un motif de distinction illicite et qui ont pour effet de le faire.

De plus, le responsable d’un système à incidence élevée doit aviser le ministre[22] si l’utilisation du système entraîne (ou entraînera vraisemblablement) un préjudice important. Le ministre aura des pouvoirs considérables, dont celui d’obliger toute personne responsable d’un système à incidence élevée d’en cesser l’utilisation ou la mise à disposition s’il a des motifs raisonnables de croire qu’elle entraîne un risque grave de préjudice imminent.

Par ailleurs, commettra une infraction à la LIAD la personne[23] :

• qui possède ou utilise des renseignements personnels dans le but de concevoir, de développer, d’utiliser ou de rendre disponible un système d’IA tout en sachant ou en croyant qu’ils ont été obtenus ou qu’ils proviennent, directement ou indirectement, de la perpétration, au Canada, d’une infraction sous le régime d’une loi fédérale ou provinciale (ou d’un acte ou d’une omission survenu à l’extérieur du Canada qui, au Canada, aurait constitué une telle infraction);
• qui, sans excuse légitime et sachant que l’utilisation d’un système d’IA pourrait vraisemblablement causer un préjudice — physique ou psychologique — sérieux à un individu, ou un dommage considérable à ses biens, ou ne se souciant pas de savoir si tel sera le cas, rend disponible le système dont l’utilisation cause un tel préjudice ou dommage;
• qui rend disponible un système d’IA avec l’intention de frauder le public et de causer une perte économique considérable à un individu, si son utilisation cause cette perte économique.

À l’instar de la LPVPC, la LIAD prévoit d’importants mécanismes d’application, dont des SAP en cas de contravention[24] et des pénalités pouvant atteindre 25 000 000 $ ou, si ce montant est plus élevé, 5 % des recettes globales brutes de l’organisation au cours de son exercice précédent pour les infractions mentionnées ci-dessus[25].

Ajouts à la LPVPC

• Plus de précision quant aux renseignements personnels anonymisés et dépersonnalisés

Le projet de loi C-27 distingue très clairement les renseignements « dépersonnalisés » et les renseignements « anonymisés ». Les « renseignements dépersonnalisés » permettent de réduire, sans l’éliminer, le risque qu’un individu puisse être identifié directement. Les « renseignements anonymisés » sont ceux qui ont été modifiés définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit.

Le projet de loi C-27 prévoit que la LPVPC ne s’appliquera pas aux renseignements personnels qui ont été anonymisés[26], et que l’anonymisation équivaut au retrait de renseignements au sens de la LPVPC[27]. Ce n’est pas le cas des renseignements dépersonnalisés, qui sont considérés comme des renseignements personnels pour l’application de la plupart des dispositions de la LPVPC[28]. Toutefois, l’utilisation de renseignements personnels dans le but de les dépersonnaliser peut se faire à l’insu des individus concernés et sans leur consentement.

• Nouvelles exceptions à l’exigence de consentement, notamment pour des « intérêts légitimes »

La LPVPC propose de nouvelles exceptions à l’exigence générale obligeant l’obtention d’un consentement avant le traitement de renseignements personnels. Comme c’est le cas dans le Règlement général sur la protection des données, qui s’applique au traitement de données personnelles dans l’Espace économique européen (l’« EEE »), aux termes de la LPVPC proposée, une organisation pourra recueillir et utiliser des renseignements personnels à l’insu de l’individu et sans son consentement en vue d’une activité dans laquelle elle a un « intérêt légitime » qui l’emporte sur tout effet négatif que cela pourrait avoir sur l’individu. Toutefois, des limites et des conditions s’appliquent, dont les suivantes[29] :

• une personne raisonnable s’attendrait à la collecte ou à l’utilisation en vue des activités de l’organisation;
• les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu;
• avant la collecte ou l’utilisation, l’organisation a décelé les effets négatifs potentiels et pris des mesures raisonnables pour réduire la probabilité qu’ils se produisent (ou les atténuer ou les éliminer).

Cette nouvelle exception pourra être utile aux organisations, mais l’interdiction de citer des « intérêts légitimes » pour influencer des comportements ou des décisions représente une contrainte importante. Il semblerait que cette exception ne puisse pas être invoquée pour des activités de marketing (y compris la publicité ciblée).

• Même arsenal, plus grande portée?

Comme nous l’avons mentionné, le projet de loi C-27 prévoit dans la LPVPC d’importantes SAP et amendes, assorties des mêmes limites que celles qui avaient été proposées dans le projet de loi C-11. Toutefois, selon le projet de loi C-27, des SAP pourront être imposées pour un plus grand nombre de contraventions à la LPVPC, dont le non-respect des obligations relatives au programme de gestion de la protection des renseignements personnels énoncées au paragraphe 9(1), de l’obligation de s’assurer qu’un fournisseur de services protège les renseignements personnels prévue au paragraphe 11(1), de l’obligation de préciser les fins du traitement de renseignements personnels que commande les paragraphes 12(3)-(4), de l’obligation de répondre de façon appropriée à un retrait de consentement, et de l’obligation d’obtenir un consentement valide conformément à la LPVPC.

Conclusion 

 Les organisations accueilleront avec enthousiasme certains des aspects du projet de loi C-27, comme les précisions sur les obligations des fournisseurs de services et celles des organisations qui « contrôlent » des renseignements personnels, et les nouvelles exceptions à une exigence de consentement parfois onéreuse et irréaliste. Toutefois, à bien des égards, la LPVPC sera plus stricte et plus prohibitive que la LPRPDE. Si le projet de loi est adopté, les organisations devront revoir et mettre à jour leurs programmes de conformité en matière de protection de la vie privée et des données.

Le projet de loi C-27 n’a été déposé que très récemment, et il pourrait subir des modifications en cours de route, mais il y a un élan important en faveur d’une réforme législative (entre autres pour que le régime canadien conserve son caractère « adéquat » pour les transferts de données personnelles en provenance de l’EEE). Vu les sanctions importantes qui sont proposées, les organisations qui pourraient être assujetties à la LPVPC ou à la LIAD devraient commencer à se préparer pour éviter de commettre des infractions à l’entrée en vigueur éventuelle des nouvelles dispositions. En attendant, le groupe Protection de la vie privée et des données de McMillan suivra le cheminement du projet de loi et vous en informera.

McMillan Vantage, le cabinet-conseil en affaires publiques de McMillan S.E.N.C.R.L., s.r.l., peut également aider les organisations qui souhaitent recommander au gouvernement fédéral des changements à apporter au projet de loi, ou faciliter la communication au sein des organisations des dispositions du texte en question.

[1] Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois, projet de loi C-27, 1^re sess., 44^e légis., 2022.

[2] LPVPC proposée, art. 9(1).
[3] LPVPC proposée, art. 12(1).
[4] LPVPC proposée, art. 12(2).
[5] LPVPC proposée, art. 15(3)-(4).
[6] Commissariat à la protection de la vie privée du Canada, « Lignes directrices pour l’obtention d’un consentement valable » (mai 2018; révisé le 13 août 2021), en ligne : Commissariat à la protection de la vie privée du Canada.
[7] LPVPC proposée, art. 39.
[8] LPVPC proposée, art. 18.
[9] LPVPC proposée, art. 11(2).
[10] LPVPC proposée, art. 11.
[11] LPVPC proposée, art. 62.
[12] LPVPC proposée, art. 55.
[13] LPVPC proposée, art. 72.
[14] LPVPC proposée, art. 95(4).
[15] LPVPC proposée, art. 128.
[16] LPVPC proposée, art. 107.
[17] LTPRPD proposée, art. 5.
[18] Défini ainsi dans la loi : « Système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions. »
[19] LIAD proposée, art. 6.
[20] Défini comme étant le préjudice physique ou psychologique subi par un individu, le dommage à ses biens ou la perte économique subie par celui-ci.
[21] La race, l’origine nationale ou ethnique, la couleur, la religion, l’âge, le sexe (y compris la grossesse ou l’accouchement), l’orientation sexuelle, l’identité ou l’expression de genre, l’état matrimonial, la situation de famille, les caractéristiques génétiques (y compris le refus, à la suite d’une demande, de subir un test génétique, de communiquer les résultats d’un tel test ou d’autoriser la communication de ces résultats), la déficience ou l’état de personne graciée.
[22] « Le membre du Conseil privé de la Reine pour le Canada désigné en vertu de l’article 31 ou, à défaut de désignation, le ministre de l’Industrie. »
[23] LIAD proposée, art. 38-39.
[24] LIAD proposée, art. 30.
[25] LIAD proposée, art. 40.
[26] LPVPC proposée, art. 6(5).
[27] LPVPC proposée, art. 2(1), « retrait ».
[28] LPVPC proposée, art. 2(3).
[29] LPVPC proposée, art. 18.

par Lyndsay Wasser, Kristen Pennington, Robbie Grant, Kristen Shaw

Mise en garde 

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2022