Bulletin

Deuxième tentative du gouvernement du Canada en vue de réformer en profondeur la législation fédérale en matière de protection des renseignements personnels

Temps de lecture 35 minutes
S'inscrire
Partager

Aperçu

Bulletin vie privée

Le 16 juin 2022, le gouvernement du Canada a soumis une nouvelle version de ses mesures visant à réformer la législation canadienne en matière de protection des renseignements personnels en déposant le projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique [1] (la « Loi de 2022 »). Même si le projet de loi C-11 [2] de 2020 visait à mettre en œuvre une réforme complète de la législation fédérale en matière de protection des renseignements personnels dans le secteur privé, beaucoup l’ont critiquée pour sa trop grande timidité. L’ancien commissaire à la protection de la vie privée du Canada et le gouvernement de l’Ontario ont été particulièrement critiques à l’égard du projet de loi C-11, Daniel Therrien, l’ancien commissaire fédéral, le qualifiant de « recul par rapport à notre loi actuelle ». Rétablir la confiance dans l’économie numérique nécessite des changements importants disait-il. Or, malgré cette désapprobation, le projet de loi C-27 reprend essentiellement le projet de loi C-11, à l’exception du nouveau cadre sur l’intelligence artificielle, et il fera probablement l’objet des mêmes reproches de la part de ceux qui ont critiqué son prédécesseur (voir une comparaison entre le projet de loi C-27 et le projet de loi C-11 ici).

Comme son prédécesseur, le projet de loi propose :

  • d’édicter la Loi sur la protection de la vie privée des consommateurs (la « LPVPC ») afin de remplacer la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), qui traite de la protection des renseignements personnels dans le secteur privé;
  • d’édicter la Loi sur le Tribunal de la protection des renseignements personnels et des données (la « Loi sur le Tribunal ») constituant le Tribunal de la protection des renseignements personnels et des données (le « Tribunal »), lequel serait chargé de se prononcer sur les recommandations et les appels des décisions du commissaire à la protection
    de la vie privée du Canada (le « commissaire »).

De plus, le projet de loi propose :

  • d’édicter la Loi sur l’intelligence artificielle et les données (la « LIAD ») pour réglementer les « systèmes d’intelligence artificielle » et le traitement des données liées aux systèmes d’intelligence artificielle.

Fait important à signaler, le préambule du projet de loi C-27 affirme que la «protection du droit à la vie privée des individus en ce qui a trait à leurs renseignements personnels est essentielle à leur autonomie et à leur dignité et à la pleine jouissance des droits et libertés fondamentaux
au Canada ».

  • À l’instar du projet de réforme précédent, la nouvelle LPVPC conserve l’approche fondée sur des principes de la LPRPDE, mais énonce et consacre directement ces principes dans la loi au lieu de les énumérer dans une annexe comme c’était le cas de la LPRPDE.

En outre, par rapport à la version précédente (projet de loi C-11), cette nouvelle mouture de 2022 de la LPVPC :

  • considère les renseignements personnels des mineurs comme étant de nature sensible et leur accorde des mesures de protection supplémentaires;
  • assortit le consentement d’une exception fondée sur l’« intérêt légitime » et apporte des modifications à l’exception relative aux « activités d’affaires » déjà prévue par le projet de loi C-11;
  • précise que les renseignements personnels doivent être recueillis, utilisés et communiqués d’une « manière » et à des fins acceptables dans les circonstances, peu importe si le consentement est requis en vertu de la LPVPC;
  • définit le terme « anonymiser » et précise que la LPVPC s’applique aux renseignements dépersonnalisés, qui sont considérés comme des renseignements personnels (sauf exception), en ajoutant qu’elle ne s’applique cependant pas aux renseignements personnels qui ont été anonymisés;
  • prévoit que, pour établir la durée de la période de conservation, on doit tenir compte de la mesure dans laquelle les renseignements personnels sont de nature sensible, et précise qu’on entend notamment par « mesures de sécurité » toute mesure raisonnable d’authentification;
  • limite l’obligation de fournir des explications sur la prise de décision automatisée « qui pourraient avoir une incidence importante sur les individus concernés »;
  • élargit les cas où des renseignements dépersonnalisés peuvent être personnalisés de nouveau;
  • modifie le droit de retrait pour qu’il s’applique aux renseignements personnels qui « relèvent » de l’organisation plutôt qu’aux renseignements personnels que l’organisation « a recueillis auprès de particuliers »;
  • élargit les circonstances dans lesquelles le commissaire peut recommander qu’une pénalité soit infligée.

Dans le projet de loi C-27, la LPVPC conserve les outils de réglementation nécessaires pour assurer le respect de la loi et permet la prise de mesures disciplinaires beaucoup plus sévères en cas de non-conformité que celles qui étaient proposées dans le projet de loi C-11 de 2020. Ainsi, le projet de loi C-27 prévoit :

  • de nouveaux pouvoirs pour le commissaire, y compris celui de procéder à des vérifications et de rendre des ordonnances;
  • la possibilité pour le commissaire de recommander, et pour le Tribunal d’infliger une pénalité de 10 millions de dollars ou de 3 % des recettes globales brutes de l’organisation, si ce montant est plus élevé;
  • une liste d’infractions considérablement élargie et la possibilité d’infliger une amende maximale de vingt-cinq millions de dollars ou, s’il est supérieur, d’un montant égal à 5 % des recettes globales brutes de l’organisation;
  • un droit privé d’action permettant le recours aux tribunaux dans certaines circonstances.

La principale différence entre le projet de loi C-27 et la mouture précédente de 2020 réside dans l’édiction de la nouvelle Loi sur l’intelligence artificielle et les données (LIAD), qui réglemente la conception, le développement et l’utilisation des systèmes d’intelligence artificielle (IA). La LIAD énonce des exigences positives pour les systèmes d’IA ainsi que des pénalités et des interdictions pénales pour certains comportements illicites ou frauduleux en ce qui concerne ces systèmes.

À l’instar de la Loi sur l’intelligence artificielle (Artificial Intelligence Act) proposée par l’Union européenne, la LIAD est fondée sur les risques et vise à atténuer les risques de préjudice et de partialité dans l’utilisation des systèmes d’IA à « forte incidence ». La LIAD n’est cependant pas aussi normative que la législation proposée par l’Union européenne. Cette dernière définit une méthodologie plus détaillée pour classer les systèmes d’IA à risque élevé et interdit expressément un plus vaste éventail de pratiques d’IA nuisibles, comme certaines utilisations des systèmes d’identification biométrique par les forces de l’ordre. Néanmoins, les deux projets de loi visent à réglementer l’IA de façon à favoriser la protection à l’égard des préjudices individuels sans trop restreindre toutefois le développement technologique.

Le projet de loi C-27 s’inscrit dans une tendance au renforcement des règles de protection des renseignements personnels dans le monde entier, l’exemple le plus connu étant l’adoption du Règlement général sur la protection des données de l’Union européenne (Règlement (UE) 2016/679) (le « RGPD »). Ces derniers temps, cette tendance s’est aussi dessinée au Canada, comme en témoigne la réforme de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (cliquez ici pour en savoir plus sur ces changements). Cela dit, rien ne garantit que le projet de loi C-27 sera adopté dans sa forme actuelle, et il est fort probable que des amendements seront présentés au moment de son étude par le comité compétent de la Chambre des communes. Ce projet de loi propose un cadre entièrement nouveau en matière d’intelligence artificielle et est donc susceptible de faire l’objet des mêmes critiques que le projet de loi C-11.

Tout comme le projet de loi C-11 avant lui, le projet de loi C-27 attirera certainement l’attention des organisations canadiennes et étrangères qui recueillent des renseignements sur les Canadiens et qui sont assujetties au droit canadien en matière de protection des renseignements personnels. Elle intéressera aussi celles qui exploitent des systèmes d’intelligence artificielle ou des données sur les procédés utilisés dans ces systèmes. Les répercussions de la pandémie de COVID-19, les coûts supplémentaires associés à la mise de conformité et les risques de responsabilité importants que le projet de loi représente sont autant de raisons de suivre son évolution au Parlement, de proposer des améliorations et de se préparer aux conséquences imprévues de ces réformes. Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken vous tiendra au courant.

Voici un sommaire des éléments essentiels de la LIAD. Nous avons également mis à jour notre résumé de la LPVPC et du rôle du Tribunal en fonction des révisions apportées au projet de loi C-27.

Loi sur la protection de la vie privée des consommateurs (LPVPC révisée)

Consentement

Tout comme la LPRPDE, la LPVPC est fondée sur le consentement, mais elle élargit la portée des exigences relatives à l’obtention du consentement et des exceptions applicables au consentement.

Aux termes de la LPVPC, pour obtenir un consentement valable, les organisations doivent d’abord informer la personne concernée, en langage clair, du type, des fins et des conséquences de renseignements personnels qu’elles entendent recueillir, utiliser et communiquer [3]. Le projet de loi C-27 précise ainsi l’exigence de langage clair : les organisations doivent fournir l’information dans un langage raisonnablement compréhensible pour l’individu visé [4]. Les organisations doivent également identifier les tiers à qui les renseignements personnels seront communiqués.

Les exceptions élargies au consentement sont notamment les suivantes :

  • La collecte ou l’utilisation de renseignements personnels pour certaines activités d’affaires, y compris celles nécessaires à la fourniture des produits ou des services à une personne, à la sécurité du système d’information ou du réseau de l’organisation, à la sécurité d’un produit ou d’un service fourni par l’organisation ou toute autre activité réglementaire, pourvu qu’une personne raisonnable s’attendrait à la collecte ou à l’utilisation en vue d’une telle activité et que les renseignements personnels ne soient pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu.
  • La collecte et l’utilisation de renseignements personnels dans un intérêt légitime « qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu », pourvu qu’une personne raisonnable s’attendrait à la collecte ou à l’utilisation en vue d’une telle activité et que les renseignements personnels ne soient pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu. Le recours à l’exception de l’intérêt légitime est soumis à des conditions, notamment que l’organisation définisse les effets négatifs potentiels sur la personne et prenne des moyens raisonnables pour réduire ou atténuer ces effets. L’organisation doit également consigner son évaluation de la manière dont elle remplit ces conditions [5].
  • Les fins d’intérêt public énoncées dans la LPVPC.
  • Le transfert de renseignements personnels à des fournisseurs de services.
  • La dépersonnalisation des renseignements personnels.

Enfin, la LPVPC exige le consentement exprès pour certaines activités, notamment pour les activités d’affaires énumérées ci-dessus et celles liées à des intérêts légitimes dans la mesure où ces activités ne peuvent bénéficier des exceptions au consentement (p. ex., elles visent à influencer le comportement ou la personne raisonnable ne s’attendrait pas à la collecte ou à l’utilisation de tels renseignements).

Politiques et pratiques

La LPVPC exige des organisations, dans le cadre de leur gouvernance, de tenir compte de la mesure dans laquelle les renseignements personnels sont de nature sensible pour établir la durée de la période de conservation [6]. Les mesures de sécurité matérielles, organisationnelles et techniques comprennent notamment des mesures raisonnables d’authentification de l’identité de l’individu [7]. La loi exige que l’organisation énonce en langage clair ses politiques et pratiques en matière de protection des renseignements personnels et qu’elle rende accessibles les renseignements suivants :

  • la description du type de renseignements personnels qui relèvent d’elle;
  • l’usage qui est fait des renseignements personnels et de la façon dont l’organisation applique les exceptions à l’obligation d’obtenir le consentement d’un individu, notamment lorsqu’elle invoque un « intérêt légitime »;
  • l’usage qu’elle fait des systèmes décisionnels automatisés pour prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés;
  • le fait qu’elle effectue ou non des transferts ou des communications de renseignements personnels interprovinciaux ou internationaux pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée;
  • les périodes de conservation établies pour les renseignements personnels de nature sensible;
  • la manière de présenter une demande de retrait ou d’accès aux renseignements personnels;
  • les coordonnées de l’individu à qui les plaintes peuvent être acheminées [8].

Transferts de renseignements personnels et fournisseurs de services

L’organisation qui transfère des renseignements personnels à un fournisseur de services veille, contractuellement ou autrement, à ce que celui-ci offre à leur égard une protection équivalente à celle qu’elle est tenue d’offrir sous le régime de la LPVPC. Les fournisseurs de services doivent protéger ces données et informer l’organisation de qui relèvent les renseignements personnels de toute atteinte aux mesures de sécurité. Autrement, à condition qu’un fournisseur de services n’utilise les renseignements personnels transférés qu’aux fins pour lesquelles ils ont été transférés, les fournisseurs de services sont exemptés des obligations de la LPVPC en ce qui concerne les renseignements personnels transférés.

Les politiques facilement accessibles d’une organisation doivent comprendre une description des transferts interprovinciaux et internationaux de renseignements personnels et des répercussions de ces transferts sur la vie privée.

Renforcement des droits individuels : retrait des renseignements personnels et mobilité

La LPVPC intègre directement dans le texte de la loi, sous la rubrique « Fins acceptables », le deuxième principe que l’on retrouvait dans la LPRPDE (Détermination des fins de la collecte des renseignements). Le projet de loi C-27 renforce ce principe en précisant qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels que de la manière et à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances, que le consentement soit requis ou non [9].

En outre, la LPVPC prévoit que l’organisation qui reçoit d’un individu une demande écrite de retrait des renseignements personnels qui le concernent et qui relèvent d’elle, procède dès que possible à leur retrait si, selon le cas :

  • les renseignements ont été recueillis, utilisés ou communiqués en contravention de la loi;
  • la personne a retiré son consentement à la collecte, à l’utilisation ou à la communication de ses renseignements;
  • les renseignements ne sont plus nécessaires pour fournir un produit ou un service demandé par la personne [10].

Par rapport à celle du projet de loi C-11, la LPVPC du projet de loi C-27 prévoit une liste élargie d’exceptions permettant à une organisation de refuser un retrait [11]. L’organisation qui procède au retrait des renseignements personnels d’un individu informe, dès que possible, tout fournisseur de services à qui elle a transféré les renseignements et veille à ce que celui-ci procède à leur retrait [12].

La LPVPC permet également à une personne de demander à une organisation de transmettre ses renseignements personnels à une autre organisation désignée lorsque les deux organisations sont soumises à un cadre de mobilité des données [13], semblable au droit à la portabilité des données de l’Union européenne.

Mineurs

La LPVPC considère les renseignements personnels des mineurs comme étant de nature sensible et leur accorde des mesures de protection supplémentaires. De plus, la nouvelle LPVPC permet maintenant aux parents d’agir au nom de leurs enfants pour protéger leurs droits.

Systèmes de décision automatisés

Indépendamment de la LIAD, la LPVPC traite également des répercussions de l’utilisation des systèmes de décision automatisés qui remplacent le jugement d’un décideur humain quant au droit à la vie privée et la protection des renseignements personnels. Par rapport au projet de loi C-11, la portée des dispositions relatives aux systèmes de décision automatisés se limite aux systèmes susceptibles d’avoir une incidence importante sur les individus, un changement que les organisations accueilleront sans doute favorablement. Les organismes qui utilisent des systèmes de décision automatisés pour prendre une décision susceptible d’avoir un impact important sur un individu doivent, à la demande de la personne, expliquer :

  • le type de renseignements personnels utilisés pour faire la prédiction, formuler la recommandation ou prendre la décision;
  • la provenance de ces renseignements;
  • les motifs ou les principaux facteurs ayant mené à la prédiction, à la recommandation ou à la décision [14].

Dépersonnalisation et anonymisation

À l’instar de la nouvelle Loi sur la protection des renseignements personnels dans le secteur privé du Québec, la LPVPC établit une distinction entre les renseignements personnels anonymisés et les renseignements personnels dépersonnalisés. Elle définit le terme « anonymiser » comme le fait de modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit [15]. La LPVPC ne s’applique pas aux renseignements anonymisés [16].

La LPVPC définit le terme « dépersonnaliser » comme le fait de modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement. Elle précise que les renseignements dépersonnalisés sont des renseignements personnels, sauf dans certains cas, notamment en ce qui concerne la recherche, les transactions commerciales et certains droits des personnes.

Le projet de loi C-27 élargit les situations où les organisations peuvent utiliser des renseignements personnels qui ont été dépersonnalisés [17], notamment en accordant au commissaire le pouvoir d’autoriser l’utilisation de renseignements personnels qui ont été dépersonnalisés lorsqu’il l’estime manifestement dans l’intérêt de l’individu [18].

Les nouveaux pouvoirs du commissaire et le Tribunal de la protection des renseignements personnels et des données

Ce projet de loi s’écarte considérablement du modèle canadien actuel de contrôle d’application de la loi et présenterait des risques beaucoup plus grands sur le plan juridique et sur celui de la réputation pour les organisations qui ne respectent pas la législation fédérale en matière de protection des renseignements personnels. Dans sa version actuelle, la LPRPDE ne permet pas au commissaire de rendre des ordonnances ou de recommander l’infliction de pénalités. La LPVPC prévoit les deux, et les organisations assujetties à la législation canadienne en matière de protection des renseignements personnels seront passibles d’une série de sanctions, y compris d’importantes sanctions pécuniaires en plus de s’exposer à une condamnation à des dépens ou à des dommages-intérêts. La LPVPC confère par ailleurs aux citoyens un droit d’action privé.  La Loi sur le Tribunal établit le Tribunal de la protection des renseignements personnels et des données et lui accorde la compétence sur les pénalités qui peuvent être infligées en vertu de la LPVPC. Le Tribunal doit communiquer une décision écrite et motivée à toutes les parties à l’instance et rendre celle-ci accessible au public. Le projet de loi C-27 apporte relativement peu de changements à la Loi sur le Tribunal, mais ces changements concernent l’essentiel des pouvoirs du Tribunal, puisque ce dernier y est investi des pouvoirs d’une cour supérieure d’archives plutôt que ceux d’un commissaire en vertu de la Loi sur les enquêtes.

De plus, la LPVPC élargit le pouvoir du commissaire de mener des enquêtes et d’infliger des pénalités par la formulation de recommandations au Tribunal [19].

Lorsque le commissaire juge approprié de rendre une ordonnance au lieu de recommander une sanction, il peut le faire directement. Il peut ordonner à une organisation :

  • de prendre toute mesure afin de se conformer à la LPVPC;
  • de cesser toute action qui contrevient à la LPVPC;
  • de respecter un accord de conformité qu’elle a conclu;
  • de rendre publique toute action prise ou envisagée pour corriger les politiques, les pratiques ou les procédures qu’elle a mises en place afin de respecter les obligations qui lui incombent sous le régime de la prendre des mesures pour se conformer à la LPVPC [20].

Pénalités et amendes

La LPVPC prévoit des pénalités et des amendes élargies en cas de non-respect de certaines de ses dispositions. Si, après enquête, le commissaire estime [21] qu’une organisation a contrevenu à certaines dispositions de la LPVPC (dont la portée est élargie en vertu du projet de loi C-27), notamment celles qui ont trait au maintien d’un programme de gestion de la protection des renseignements personnels, aux transferts de renseignements personnels à des fournisseurs de services, au consentement, à la limitation de la collecte, de l’utilisation et de la communication des renseignements personnels, à la conservation et au retrait des renseignements personnels et aux mesures de sécurité, il peut recommander au Tribunal d’infliger une pénalité.

Voici un résumé des montants possibles des pénalités et des amendes :

  Situation Montant
Pénalité Sur recommandation du commissaire, le Tribunal peut infliger une pénalité. 10 millions de dollars ou 3% des recettes globales brutes de l’organisation, selon le plus élevé des deux montants.
Amendes

Lorsqu’une organisation contrevient sciemment aux dispositions relatives :

 

  • au signalement des violations des mesures de sécurité;
  • à la tenue d’un registre des violations des mesures de sécurité;
  • à la conservation de renseignements faisant l’objet d’une demande d’accès;
  • à l’utilisation de renseignements dépersonnalisés pour identifier une personne;
  • à la protection des dénonciateurs;
  • à l’obstruction à une enquête ou à une investigation du commissaire.

Elle est passible d’une amende, sur acte d’accusation : 25 millions de dollars ou à 5% de ses recettes globales brutes de l’année précédente, selon le montant le plus élevé.

 

Sur poursuite sommaire : 20 millions de dollars ou 4% de ses recettes globales brutes de l’année précédente, selon le montant le plus élevé. 

Droit d’action privé

La LPVPC instaure un droit d’action privé qui permet de poursuivre une organisation en vue d’obtenir des dommages-intérêts pour perte ou préjudice lorsque le commissaire (si la conclusion n’est plus susceptible d’appel devant le Tribunal) ou le Tribunal conclut que l’organisation a contrevenu à ses dispositions. Ce droit d’action privé permettrait aux particuliers de demander une compensation financière à la Cour fédérale ou à une cour supérieure provinciale pour diverses violations de la LPVPC [22].

Loi sur l’intelligence artificielle et les données (LIAD)

La LIAD définit le « système d’intelligence artificielle » comme un système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions. La LIAD prévoit la prise de règlements d’application qui établiront des critères pour définir les systèmes d’intelligence artificielle (« IA ») « à incidence élevée ».

La LIAD réglemente les activités suivantes :
a) le traitement ou la mise à disposition pour utilisation de toute donnée relative aux activités humaines dans le but de concevoir, de développer ou d’utiliser un système d’IA;
b) la conception, le développement ou la mise à disposition d’un système d’IA ou la gestion de ses opérations.

Exigences relatives aux systèmes d’IA

La LIAD impose les exigences suivantes aux personnes qui gèrent ou sont responsables des systèmes d’IA à incidence élevée ou qui s’engagent dans les activités réglementées énumérées ci-dessus :

  • Données anonymisées – La personne qui met à disposition des données anonymisées pour être utilisées dans des systèmes d’IA doit établir des mesures concernant la manière dont les données sont anonymisées et l’utilisation ou la gestion de ces données.
  • Évaluations – La personne responsable d’un système d’IA doit évaluer s’il s’agit d’un système à incidence élevée (conformément aux règlements d’application à venir).
  • Mesures d’atténuation des risques – La personne responsable d’un système d’IA à incidence élevée doit établir des mesures pour cerner, évaluer et atténuer les risques de préjudice ou de résultats biaisés susceptibles de résulter de l’utilisation du système et contrôler le respect de ces mesures pour évaluer leur efficacité.
  • Tenue de registres – La personne responsable d’un système d’IA doit tenir des documents énonçant les mesures d’atténuation des risques et les motifs qui justifient l’évaluation qu’elle a faite de l’incidence élevée. Le ministre de l’Innovation, des Sciences et de l’Industrie dispose de vastes pouvoirs pour obliger la communication de ces registres.
  • Déclaration publique sur l’IA – La personne responsable de la gestion ou de la mise à disposition d’un système d’IA à incidence élevée doit publier sur un site Web accessible au public une description en langage clair du système qui explique : a) l’utilisation visée; b) le contenu qu’il est censé générer, les prédictions ou recommandations qu’il est censé faire ou les décisions qu’il est censé prendre; c) les mesures d’atténuation des risques et d) tout autre renseignement prévu par règlement.
  • Obligations de déclaration – La personne responsable d’un système d’IA à incidence élevée doit informer le ministre si l’utilisation du système entraîne ou est susceptible d’entraîner un préjudice important (c’est-à-dire un préjudice physique ou psychologique, des dommages aux biens ou une perte économique) [23].

Le ministre dispose de vastes pouvoirs qui lui permettent de procéder à des vérifications et de rendre des ordonnances en ce qui concerne ces exigences. La personne qui contrevient à l’une de ces exigences encourt, dans le cas d’une personne qui n’est pas un individu, une amende maximale de dix millions de dollars ou d’un montant égal à 5 % des recettes globales brutes, selon le plus élevé des deux montants, ou, dans le cas d’un individu, une amende dont le montant est fixé par le tribunal.

Sanctions pécuniaires et interdictions pénales

La LIAD établit un régime de sanctions administratives pécuniaires en cas de violation de la loi, dont les détails seront précisés dans des règlements d’application à venir.

Elle criminalise également certaines activités interdites :

  • Utilisation illégale de renseignements personnels dans les systèmes d’IA – Les renseignements personnels utilisés dans le cadre des systèmes d’IA doivent être créés ou obtenus légalement, y compris en conformité avec les dispositions de la LPVPC. La LIAD prévoit que commet une infraction la personne qui, afin de concevoir, de développer, d’utiliser ou de rendre disponible un système d’intelligence artificielle, possède ou utilise des renseignements personnels sachant ou croyant qu’ils ont été obtenus ou qu’ils proviennent, directement ou indirectement soit de la perpétration, au Canada, d’une infraction sous le régime d’une loi fédérale ou provinciale, soit d’un acte ou d’une omission survenu à l’extérieur du Canada qui, au Canada, aurait constitué une telle infraction.
  • Systèmes d’IA responsables de dommages ou de pertes économiques – La LIAD prévoit que commet une infraction la personne qui, sachant que l’utilisation d’un système d’intelligence artificielle pourrait vraisemblablement causer un préjudice – physique ou psychologique – sérieux à un individu, ou un dommage considérable à ses biens rend disponible le système dont l’utilisation cause un tel préjudice ou dommage ou qui, avec l’intention de frauder le public et de causer une perte économique considérable à un individu, rend disponible un système d’intelligence artificielle dont l’utilisation cause cette perte économique.

La personne qui commet l’une ou l’autre de ces infractions encourt, dans le cas d’une personne qui n’est pas un individu, une amende maximale de vingt-cinq millions de dollars ou, s’il est supérieur, d’un montant égal à 5 % des recettes globales brutes ou, dans le cas d’un individu, une amende dont le montant est fixé par le tribunal ou d’une peine d’emprisonnement maximale de cinq ans moins un jour.

Exécution de la LIAD confiée au nouveau commissaire à l’intelligence artificielle et aux données

Le ministre peut désigner un cadre supérieur du ministère dont il a la charge à titre de commissaire à l’intelligence artificielle et aux données,  lequel est chargé de l’appuyer dans l’exécution et le contrôle d’application de la LIAD et il peut lui déléguer les attributions qui lui sont conférées, y compris les suivantes : 

  • sensibiliser le public à la LIAD et assurer l’éducation quant à celle-ci;
  • faire des recommandations sur l’établissement de mesures pour faciliter le respect de la LIAD et faire préparer des rapports à ce sujet;
  • établir des lignes directrices concernant le respect de la LIAD;
  • mettre sur pied un comité consultatif chargé de fournir des conseils et du soutien sur toute question liée aux exigences de la LIAD et publier ces conseils en ligne.


[1] Projet de loi C-27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois, 1re session, 44e législature, 71 Elizabeth II, 2022 (première lecture).

[2] Projet de loi C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois, 2e session, 43e législature, 69 Elizabeth II, 2020 (première lecture).

[3] LPVPC, par. 15 (3).

[4] LPVPC, par. 15 (4).

[5] LPVPC, par. 18 (2)(3).

[6] LPVPC, par. 53 (2).

[7] LPVPC, par. 57 (3).

[8] LPVPC, par. 62 (2).

[9] LPVPC, par. 12 (1).

[10] LPVPC, par. 55 (1).

[11] LPVPC, par. 55 (2).

[12] LPVPC, par. 55 (4).

[13] LPVPC, art. 72.

[14] LPVPC, par. 63 (4).

[15] LPVPC, par. 2 (1).

[16] LPVPC, par. 6 (5).

[17] LPVPC, art. 75.

[18] LPVPC, art. 116.

[19] LPVPC, art. 94.

[20] LPVPC, art. 93.

[21] LPVPC, art. 89 ou 90.

[22] LPVPC, par. 107 (1).

[23] LPVPC, art. 6 à 12.

Contactez les auteurs

Pour plus d'informations ou pour discuter d'un sujet, veuillez nous contacter.

Contactez les auteurs

Auteurs

  • Christopher Ferguson, Associé, Toronto, ON, +1 416 865 4425, cferguson@fasken.com
  • Heather Whiteside, Avocate, Toronto, ON, +1 416 865 5476, hwhiteside@fasken.com
  • Iara Griffith, Avocate, Montréal, QC, +1 514 397 7596, igriffith@fasken.com
  • Soleïca Monnier, Avocate, Montréal, QC, +1 514 397 5281, smonnier@fasken.com
Christopher Ferguson, Associé | Technologies, médias et télécommunications, Protection des renseignements confidentiels, vie privée et cybersécurité Christopher Ferguson Associé Toronto, ON +1 416 865 4425
Heather Whiteside Toronto Lawyer Heather Whiteside Avocate Toronto, ON +1 416 865 5476
Iara Griffith, Avocate | Protection des renseignements confidentiels, vie privée et cybersécurité Iara Griffith Avocate Montréal, QC +1 514 397 7596
Soleïca Monnier, Avocate | Protection des renseignements confidentiels, vie privée et cybersécurité Soleïca Monnier Avocate Montréal, QC +1 514 397 5281

Solutions connexes

Domaines de pratique

Marchés

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire