23 juin 2022•Calcul en cours...

Le gouvernement fédéral dépose de nouvelles lois en matière de protection des renseignements personnels, de cybersécurité et d’intelligence artificielle

Auteurs

La semaine dernière, le gouvernement fédéral a déposé deux projets de loi concernant d’importantes réformes en matière de protection des renseignements personnels, de cybersécurité et de gouvernance des données. Le premier projet de loi, C-26, met en place la Loi sur la protection des cybersystèmes essentiels (LPCE) qui vise à protéger les cybersystèmes essentiels dans les secteurs des télécommunications, de la finance, de l’énergie et de l’infrastructure et accorde de nouveaux pouvoirs importants aux organismes de réglementation fédéraux qui les supervisent, y compris celui de rendre des ordonnances et de recueillir de l’information.

Quant au projet de loi C-27, il a pour but d’introduire la Loi sur la protection de la vie privée des consommateurs (LPVPC), une loi proposée précédemment et mise à jour depuis la dernière session parlementaire, ainsi que la Loi sur l’intelligence artificielle et les données (LIAD) laquelle concerne l’utilisation des systèmes d’intelligence artificielle (IA) et des systèmes décisionnels automatisés.

Ce que vous devez savoir

Nouvelles obligations pour certains secteurs. Selon la version de la LPCE proposée dans le projet de loi C-26, les organisations qui exploitent des « systèmes critiques » ou fournissent des « services critiques » désignés dans les secteurs de la finance, des télécommunications, de l’énergie et de l’infrastructure devront établir et mettre en œuvre un programme de cybersécurité, atténuer les risques associés aux chaînes d’approvisionnement et aux tiers et signaler sans délai les incidents de cybersécurité. Les organismes de réglementation dans ces secteurs seront également dotés d’importants nouveaux pouvoirs et pourront notamment :
- demander de l’information ou examiner un lieu afin de vérifier la conformité ou de prévenir la non-conformité;
- ordonner aux exploitants désignés de mener des vérifications internes et d’en communiquer les résultats;
- imposer des pénalités pouvant aller jusqu’à 15 millions de dollars pour la non-conformité avec les ordonnances et les règlements.
Pouvoirs de mise en application. Le projet de loi C-26 modifie également la Loi sur les télécommunications en accordant au ministre de l’Industrie le pouvoir d’interdire à un fournisseur de services de télécommunication d’utiliser des produits ou des services fournis par une personne précise ou de fournir des produits ou des services à une personne précise.
Réformes du cadre de protection des renseignements personnels. Le projet de loi C-27 propose une version de la LPVPC qui conserve la plupart des réformes proposées dans la version initiale, mais introduit également quelques mises à jour importantes (voir le tableau ci-après).
Gouvernance de l’IA. La LIAD régit l’utilisation des systèmes d’IA et prévoit des exigences importantes pour les entreprises qui utilisent la catégorie de « systèmes d’intelligence artificielle à incidence élevée » (terme dont la définition reste encore à être établie), ainsi que des amendes pouvant aller jusqu’à 10 millions de dollars et 3 % des recettes globales brutes en cas de non-conformité.

Réformes en matière de cybersécurité prévues par le projet de loi C-26

Portée de la LPCE

La LPCE proposée impose des obligations à certaines catégories d’organisations qui fournissent des services ou exploitent des systèmes qui sont « critiques » pour la sécurité nationale ou la sécurité publique. Les services et les systèmes qui sont actuellement désignés comme critiques sont les services de télécommunication, les systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux, les systèmes d’énergie nucléaire, les systèmes bancaires, les systèmes de compensations et de règlements et les systèmes de transport relevant de la compétence législative du Parlement.

La plupart des obligations prévues par la LPCE s’appliquent aux « exploitants désignés » de ces secteurs qui contrôlent ou exploitent un « cybersystème essentiel » ou en sont propriétaires. Même si la version actuelle du projet de loi ne précise pas les catégories d’exploitants désignés, elle définit un « cybersystème essentiel » comme étant « tout cybersystème dont la compromission, en ce qui touche la confidentialité, l’intégrité ou la disponibilité, pourrait menacer la continuité ou la sécurité d’un service critique ou d’un système critique ».

Obligations prévues par la LPCE

En vertu de la LPCE, un exploitant désigné devra :

établir un programme de cybersécurité relativement à ses cybersystèmes essentiels peu après qu’il devient un exploitant désigné
inclure dans son programme de cybersécurité des mesures raisonnables en vue de : protéger ses cybersystèmes essentiels contre toute compromission; (ii) détecter les cybermenaces et les incidents de cybersécurité, et (iii) réduire au minimum les conséquences des incidents de cybersécurité qui se produisent;
repérer les risques associés à la chaîne d’approvisionnement et aux tiers et prendre des mesures raisonnables pour les atténuer;
examiner régulièrement son programme de cybersécurité et y apporter des améliorations;
déclarer sans délai tout incident de cybersécurité concernant l’un de ses cybersystèmes essentiels au Centre de la sécurité des télécommunications, puis en aviser sans délai l’organisme réglementaire compétent; et
tenir des documents attestant sa conformité avec les obligations prévues par la LPCE.

Application de la LPCE

Le projet de loi C-26 accorde aux organismes de réglementation désignés des pouvoirs étendus pour faire appliquer les exigences de la LPCE. À l’heure actuelle, les autorités réglementaires désignées comprennent le Bureau du surintendant des institutions financières (BSIF), le ministre de l’Industrie, la Banque du Canada, la Commission canadienne de sûreté nucléaire, la Régie de l’énergie du Canada et le ministre des Transports. Ces organismes ont notamment les pouvoirs suivants :

demander de l’information ou examiner un lieu afin de vérifier la conformité ou de prévenir la non-conformité;
ordonner aux exploitants désignés de mener des vérifications internes et d’en communiquer les résultats;
rendre des ordonnances de conformité et conclure des accords de conformité; et
imposer des pénalités pouvant aller jusqu’à 15 millions de dollars pour la non-conformité avec les ordonnances et les règlements.

Modifications à la Loi sur les télécommunications

Le projet de loi C-26 modifie également la Loi sur les télécommunications en accordant au ministre de l’Industrie le pouvoir d’interdire à un fournisseur de services de télécommunication d’utiliser des produits ou des services fournis par une personne précise ou de fournir des produits ou des services à une personne précise. Tout comme en vertu de la LPCE, les pénalités en cas de non-conformité peuvent atteindre 15 millions de dollars.

À retenir

Même si le projet de loi C-26 vient tout juste d’être déposé, les entreprises qui sont régies par la Loi sur les télécommunications et qui seront probablement assujetties à la LPCE devraient être proactifs sur trois plans en particulier.

D’abord, elles devraient réfléchir sur la façon dont elles protégeront les renseignements assujettis au secret professionnel de l’avocat, au privilège relatif au litige et à tout autre privilège juridique. Protéger ces renseignements en cas d’incident de cybersécurité peut présenter des défis, compte tenu des vastes pouvoirs de mise en application (notamment les pouvoirs de fouille et de saisie) accordés aux organismes de réglementation, des obligations de tenue de dossiers imposées aux exploitants désignés afin de prouver la conformité et de l’exigence d’aviser sans délai le Centre de la sécurité des télécommunications et l’organisme de réglementation compétent en cas d’incident de cybersécurité.

Ensuite, les entreprises devraient prévoir l’examen et la mise à jour de leurs plans d’intervention en cas d’incident et de leurs politiques en matière de cybersécurité, conformément aux réformes proposées dans le projet de loi C-26. Leurs examens actuels et à venir devraient être axés sur les risques associés à la chaîne d’approvisionnement ou aux tiers, y compris les risques posés par les fournisseurs de services essentiels (particulièrement les fournisseurs de services informatiques), les autres fournisseurs clés et les fabricants d’appareils ou de produits. Une fois qu’elles auront obtenu davantage d’information, les entreprises devraient aussi examiner dans quelle mesure leurs « cybersystèmes essentiels » peuvent être séparés des autres systèmes et déterminer si cela peut contribuer à simplifier la conformité.

En troisième lieu, les entreprises assujetties aux réformes du projet de loi C-26 devraient réfléchir à la façon dont ces nouvelles exigences pourraient ou devraient être reflétées dans le cadre de la conclusion d’ententes de service avec des tiers. De même, les fournisseurs de services devraient s’attendre à l’exigence de normes de cybersécurité plus élevées par leurs clients réglementés, particulièrement si les services qu’ils fournissent sont liés aux cybersystèmes essentiels.

Projet de loi C-27 : Modernisation du cadre de protection des renseignements personnels

Le projet de loi C-27 vise à abroger la partie de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui traite de la protection des renseignements personnels et à créer trois nouvelles lois : la Loi sur la protection de la vie privée des consommateurs (LPVPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPD) et la Loi sur l’intelligence artificielle et les données (LIAD).

La LPVPC et la LTPRPD sont généralement très similaires à la législation qui avait été proposée lors de la session parlementaire précédente (alors connue comme le projet de loi C-11), dont nous avions analysé les principales réformes proposées dans notre article Privacy modernization with a northern touch: the proposed Digital Charter Implementation Act (en anglais seulement).

Ci-dessous, nous présentons les principales dispositions de la LPVPC et de la LTPRPD qui ont été reprises du projet de loi C-11, ainsi que les nouvelles dispositions du projet de loi C-27 :

Réformes reprises du projet de loi C-11	Nouvelles réformes dans le projet de loi C-27
Consentement	Utilisation d’un langage clair
La LPVPC prévoit l’exigence d’obtenir un consentement exprès, à moins que l’organisation puisse démontrer que le consentement implicite est approprié dans les circonstances. Cela est conforme aux lignes directrices réglementaires publiées ces dernières années qui interprètent les situations dans lesquelles les organisations peuvent s’appuyer sur le consentement implicite ou exprès. Pour obtenir le consentement, l’information doit être présentée en langage clair.	La LPVPC précise désormais que le « langage clair » dépend de la personne à laquelle s’adresse l’information. Plus précisément, les organisations doivent utiliser « un langage clair et raisonnablement compréhensible pour un individu visé par les activités de l’organisation ».
Exceptions à l’obligation d’obtenir un consentement	Exception relative à l’intérêt légitime
La LPVPC conserve les dispenses prévues par la LPRPDE et en ajoute des nouvelles, notamment les exceptions relatives aux renseignements dépersonnalisés et à certaines activités menées aux fins de prestation de services, de sécurité et de cybersécurité.	Dans un autre effort visant à se rapprocher du Règlement général sur la protection des données (RGPD), le projet de loi C-27 ajoute une nouvelle exception permettant à une organisation de recueillir et d’utiliser les renseignements personnels sans consentement si c’est « en vue d’une activité dans laquelle elle a un intérêt légitime qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu ». En outre, (i) la collecte ou l’utilisation doit être dans les limites des attentes raisonnables d’une personne, (ii) la collecte ou l’utilisation ne peut se faire en vue d’influencer le comportement ou les décisions, (iii) avant de recueillir ou d’utiliser des renseignements, l’organisation est tenue de déceler tout effet négatif potentiel pour l’individu (et consigner cette évaluation) et prendre des mesures pour atténuer ces effets, et (iv) l’organisation est tenue de se conformer à toute autre exigence réglementaire.
Pouvoirs accrus du commissaire	Pouvoir de recommander des améliorations
La LPVPC accorde au Commissariat à la protection de la vie privée du Canada (CPVP) de vastes pouvoirs en matière d’enquête et d’ordonnance, notamment le pouvoir d’exiger l’accès aux politiques, pratiques et procédures comprises dans le programme de gestion de la protection des renseignements personnels d’une organisation et d’exiger qu’une organisation modifie ses pratiques ou prenne publiquement des mesures pour les corriger. Si une organisation le demande, le CPVP doit la conseiller (en la forme et de la manière qu’il estime appropriées) au sujet de son programme de gestion de la protection des renseignements personnels.	Après avoir examiné les politiques, pratiques et procédures d’une organisation, le CPVP peut fournir des conseils ou recommander des mesures correctives à cette dernière.
Renseignements dépersonnalisés	Renseignements dépersonnalisés et anonymisés
La LPVPC régit le traitement des renseignements dépersonnalisés et interdit de les utiliser pour identifier un individu, sauf dans des circonstances précises.	La LPVPC précise que les renseignements sont dépersonnalisés lorsqu’ils ne permettent pas d’identifier directement un individu, bien que ce risque ne soit pas éliminé. La nouvelle législation énonce qu’elle ne crée pas d’obligations à l’égard de renseignements anonymisés, c’est-à-dire de renseignements qui ne permettent pas d’identifier un individu, directement ou indirectement.
Pénalités et amendes	Nouveaux motifs de sanctions
En cas de non-conformité, le nouveau Tribunal de la protection des renseignements personnels et des données aura le pouvoir d’imposer des sanctions administratives pécuniaires dont le montant peut aller jusqu’à 10 millions de dollars ou à 3 % des recettes globales brutes de l’organisation, si ce montant est plus élevé. Les organisations qui commettent certaines infractions peuvent se voir imposer des amendes pouvant aller jusqu’à 25 millions de dollars ou à 5 % des recettes globales brutes de l’organisation, si ce montant est plus élevé.	Le projet C-27 prévoit de nouveaux motifs pour les sanctions, notamment le fait de ne pas : (i) mettre en œuvre et tenir à jour un programme de gestion de la protection des renseignements personnels; (ii) veiller à ce que les fournisseurs de services offrent une protection équivalente à l’égard des renseignements personnels; (iii) établir et consigner les fins appropriées auxquelles l’organisation traite les renseignements avant de commencer à les traiter; (iv) répondre de manière adéquate à un retrait du consentement; (v) en tant que fournisseur de services, avoir avisé dès que possible l’organisation de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels qui relèvent d’elle; et (vi) rendre facilement accessibles des renseignements expliquant ses politiques et pratiques en matière de protection des renseignements personnels.
Droits des personnes concernées	Droits modifiés
La LPVPC fournit aux personnes le droit de demander le retrait (la suppression ou l’anonymisation) de leurs renseignements personnels. Elle leur accorde également le droit de demander une explication concernant l’usage de leurs renseignements dans les systèmes décisionnels automatisés.	Le droit au retrait a été étendu à tous les renseignements qui relèvent de l’organisation, mais a aussi été limité par certaines nouvelles exceptions. L’obligation de transparence à l’égard des systèmes décisionnels automatisés s’applique désormais uniquement à ceux qui pourraient avoir une incidence importante pour la personne.
Conservation des données	Obligations supplémentaires en matière de conservation des données
La LPVPC interdit aux organisations de conserver les renseignements personnels plus longtemps que le temps nécessaire pour réaliser les fins auxquelles ils ont été recueillis, utilisés ou communiqués ou pour respecter la loi ou une restriction contractuelle raisonnable.	Le projet de loi C-27 ajoute qu’une organisation doit tenir compte de la mesure dans laquelle les renseignements personnels sont de nature sensible pour établir la durée de la période de conservation et doit rendre accessibles les périodes de conservation établies pour les renseignements personnels de nature sensible.
Protection des mineurs	Protection accrue des mineurs
Le projet de loi précédent accordait certains droits aux mineurs, tels que le pouvoir d’un parent ou d’un tuteur d’exercer des droits prévus par la LPVPC en leur nom.	La LPVPC énonce maintenant que tous les renseignements personnels d’un mineur sont considérés comme étant de nature sensible.

Le projet de loi C-27 maintient également le droit privé d’action prévu par la LPVPC devant la Cour fédérale ou la Cour supérieure d’une province, à condition que le CPVP ou le Tribunal de la protection des renseignements personnels ait conclu à une contravention. Toutefois, il ne prévoit pas de dommages-intérêts préétablis – pour y avoir droit, les demandeurs doivent prouver qu’ils ont subi une perte ou un préjudice.

Analyse

Les organisations devraient continuer à surveiller le cheminement de cette législation au Parlement, quoiqu’en attendant la version définitive de la LPVPC, elles peuvent commencer à se préparer aux exigences en examinant leur programme de protection des renseignements personnels existant. Notamment, elles peuvent répertorier les types de renseignements personnels et dépersonnalisés qu’elles détiennent et les façons dont elles les recueillent, utilisent, communiquent et conservent. Les organisations qui effectuent ces démarches préparatoires seront mieux à même de mettre en œuvre les réformes exigées par la LPVPC.

Réglementation de l’IA dans la Loi sur l’intelligence artificielle et les données

La troisième loi mise en place par le projet de loi C-27 est la Loi sur l’intelligence artificielle et les données (LIAD).

Champ d’application

La LIAD s’applique principalement à la conception, au développement, au déploiement et à l’utilisation des systèmes d’intelligence artificielle dans le cadre des échanges et du commerce internationaux et interprovinciaux. Un « système d’intelligence artificielle » est défini comme un « système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions ». La LIAD créée également un sous-type de système d’intelligence artificielle appelé « système à incidence élevée ». Elle n’explique toutefois pas ce qui constitue un système à incidence élevée, cette définition devant être établie par règlement.

La LIAD accorde également au ministre responsable le pouvoir de nommer un commissaire à l’intelligence artificielle et aux données et de lui déléguer les fonctions relevant du ministre énoncées ci-après.

Obligations

Les développeurs et les exploitants de systèmes d’intelligence artificielle visés par la LIAD, qui ne sont pas considérés comme des systèmes à incidence élevée, ont des obligations restreintes. Ils doivent :

évaluer si leur système est un système à incidence élevée; et
si le système traite ou rend disponibles aux fins d’utilisation des données anonymisées, établir, conformément aux règlements, des mesures concernant la manière d’anonymiser les données et l’utilisation ou la gestion des données anonymisées.

Quant aux développeurs et exploitants de systèmes à incidence élevée, ils ont des obligations beaucoup plus élevées. Ainsi, ils doivent :

établir des mesures visant à cerner, à évaluer et à atténuer les risques de préjudice ou de résultats biaisés (l’expression « résultat biaisé » réfère aux motifs de distinction illicite prévus par la Loi canadienne sur les droits de la personne);
contrôler le respect de ces mesures et évaluer leur efficacité;
publier, sur un site Web accessible au public, une description en langage clair du système qui indique la façon dont le système est utilisé, le contenu qu’il est censé générer, les mesures d’atténuation établies et tout autre renseignement prévu par règlement; et
aviser dès que possible le ministre si l’utilisation du système entraîne, ou entraînera vraisemblablement, un préjudice important.

Mise en application

La LIAD accorde au ministre des pouvoirs d’enquête et de mise en application importants. Il s’agit notamment des pouvoirs suivants : (i) exiger la production de documents, (ii) ordonner à une entreprise de mener une vérification interne ou de retenir les services d’un vérificateur indépendant pour enquêter sur les contraventions possibles, (iii) ordonner à une entreprise de mettre en œuvre des mesures en réponse à tout point soulevé dans le rapport de vérification, et (iv) imposer une sanction administrative pécuniaire.

Les violations qui pourraient donner lieu à des sanctions administratives pécuniaires ainsi que les montants possibles de ces sanctions seront déterminés par règlement. Toutefois, selon la LIAD, constitue une infraction le fait :

d’enfreindre une des obligations énoncées ci-dessus;
d’entraver ou de fournir au ministre des renseignements faux ou trompeurs; et
de posséder ou d’utiliser des renseignements personnels, sachant qu’ils ont été obtenus illégalement, « afin de concevoir, de développer, d’utiliser ou de rendre disponible un système d’intelligence artificielle ».

Analyse

Cette loi proposée comporte plus de zones grises que les autres composantes des projets de loi C-26 et C-27. D’abord, la portée et le contenu de la LIAD restent en grande partie à déterminer par règlement. De plus, la LIAD pourrait (et peut-être devra) faire l’objet de modifications plus importantes que les autres lois. Par conséquent, les entreprises qui utilisent l’IA devraient continuer à surveiller le cheminement du projet de loi C-27 au Parlement.

Malgré cette incertitude, les organisations peuvent prendre quelques mesures proactives dès maintenant. Elles devraient notamment documenter leurs systèmes décisionnels automatisés et leurs systèmes d’IA, y compris l’usage qu’elles en font ainsi que les entrants, les sortants, les processus, les impacts et les mesures de sécurité qui y sont liés. Ainsi, elles seront mieux préparées à assurer leur conformité avec une éventuelle version définitive de la LIAD.

Il pourrait s’avérer plus efficace pour les entreprises de combiner ces étapes avec la préparation aux exigences en matière de prise de décision automatisée prévues par la LPVPC et le projet de loi n^o 64 au Québec.

Prochaines étapes

Les projets de loi C-26 et C-27 doivent encore passer par plusieurs lectures et par un examen en comité. Il reste à voir quelles modifications y seront apportées tout au long de leur cheminement dans une Chambre des communes minoritaire.

Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant