Rédigé par Yeva Borodiy
Le projet de loi déposé en 2022, mais pas encore adopté, a pour but de mettre en vigueur de nouvelles lois portant notamment sur la protection de la vie privée des consommateurs au moyen de la Loi sur la protection de la vie privée des consommateurs (LPVPC), et sur l’intelligence artificielle à travers la Loi sur l’intelligence artificielle et les données (LIAD).
Considérations relatives à la protection de la vie privée
Changements apportés par la LPVPC qui affecteront les entreprises
Présentement, les entreprises sont tenues de se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Par la LPVPC, le gouvernement fédéral vise à remplacer les normes applicables de la LPRPDE relatives à la protection de la vie privée, et donc, à modifier les normes sur la collecte, l’utilisation ainsi que la communication des renseignements personnels dans un but commercial.
Concrètement, les entreprises devraient s’attendre à des changements notables en matière de pénalités, d’obtention du consentement de l’utilisateur pour la collecte et l’utilisation de ses renseignements personnels, et de droits et protections additionnels des consommateurs.
La LPVPC compte imposer des sanctions plus sévères que la LPRPDE dans le cas d’un manquement, les sanctions pécuniaires administratives pouvant aller jusqu’à 10 millions de dollars ou 3% des recettes globales, et les amendes allant jusqu’à 25 millions de dollars ou 5% des recettes globales. De plus, le projet de loi C-27 prévoit la création d’un nouveau tribunal administratif qui appliquera ces sanctions.
En ce qui concerne le consentement, la loi donne des précisions quant aux renseignements nécessaires à l’obtention d’un consentement valide de la part du consommateur, en ajoutant l’exigence que les renseignements donnés soient exposés dans un langage simple et facile à comprendre.
Quant aux droits et aux protections, la LPVPC vise à protéger davantage la vie privée des mineurs, reconnaissant que tous ses renseignements sont de nature sensible, et à offrir aux consommateurs le droit de demander le transfert et le retrait de leurs renseignements personnels. Elle mettra également en place le droit des individus de poursuivre une organisation pour non-conformité et renforcera les pouvoirs de surveillance de la conformité du commissaire à la protection de la vie privée.
La LPRPDE au Québec
Les provinces ayant leur propre loi sur la protection des renseignements personnels, tel le Québec, sont généralement exemptées de la LPRPDE en ce qui concerne l’usage ou la cueillette des renseignements personnels à l’intérieur de ces provinces. Ainsi, au Québec, c’est la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) qui s’applique.
Toutefois, la loi fédérale s’applique tout de même pour les transferts de renseignements personnels hors de la province, ainsi qu’aux entreprises fédérales, telles que les banques, les sociétés de télécommunications et les compagnies de transport.
Décision de la Cour suprême pouvant avoir une incidence sur le projet de loi C-27 en matière de renseignements personnels
Dans le jugement Bykovets, la Cour suprême du Canada a décidé que les adresses IP font désormais partie de l’information pour laquelle il y a une attente de respect de la vie privée en vertu de la Charte canadienne des droits et libertés, étant donné que, combinées à d’autres informations, elles ont le pouvoir de dévoiler l’identité d’un individu.
Cette décision signifie que les autorités chargées d’appliquer la loi, telles la police, doivent avoir un mandat pour obtenir cette information de la part des tierces parties. Ainsi, les entreprises devraient être vigilantes dans leur partage de l’information, même dépersonnalisée, car d’autres informations de ce genre, en plus de l’adresse IP, pourraient finir par être concernées.
Cette nouvelle vision des adresses IP pourrait également influencer la manière dont sera traitée l’information dépersonnalisée par les futures lois concernant la protection de la vie privée.
Considérations relatives à l’intelligence artificielle
La LIAD
La Loi sur l’intelligence artificielle et les données (LIAD) aura pour but d’encadrer la conception, le développement et le déploiement responsable des produits et services comportant des systèmes d’IA par des entités qui les mettent sur le marché canadien ou permettent aux Canadiens de les utiliser.
Cette loi traite de systèmes d’IA les définissant comme : « Système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions ».
Elle traite également de systèmes à incidence élevée, qu’elle vise à définir plus de manière précise subséquemment dans un règlement. Concernant ces systèmes, la LIAD obligera les fournisseurs de ces systèmes à évaluer leur risque possible de préjudice et de biais et à informer les utilisateurs des usages et des limites de ces systèmes, tout en minimisant les risques de façon continue.
Avertissement
Cet article n’est pas rédigé par un juriste. L’information qui est présentée dans cet article sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme telle.
L’information contenue dans cet article est « telles quelles » sans aucune garantie d’exhaustivité, d’exactitude, d’utilité ou d’actualité et sans aucune garantie de quelque nature que ce soit, expressément ou implicite. Si vous avez des questions légales à propos du télétravail, consultez un avocat.
Sources
https://mcmillan.ca/fr/perspectives/publications/fintech-revue-juridique-de-lannee-2023/
