Abandon du projet de loi C-27 et autres développements dans le domaine de l’IA au Canada

Le projet de loi C-27, y compris la nouvelle loi sur l’IA et les réformes proposées en matière de protection des renseignements personnels, est mort au feuilleton dans la foulée de la prorogation du Parlement la semaine dernière. Aucune nouvelle loi fédérale sur la protection des renseignements personnels ou l’IA n’est susceptible d’être adoptée de sitôt. Cependant, les normes en cette matière – et donc les risques de non-conformité – continuent d’évoluer. Dans ce bulletin, nous faisons état de la nouvelle situation.

Ce que vous devez savoir

• Bien qu’aucune nouvelle loi fédérale sur la protection des renseignements personnels ou l’IA ne soit susceptible d’être adoptée cette année, les organisations devraient continuer à surveiller l’état de la situation.
• Les récentes réformes au Québec et dans d’autres provinces auront un impact sur les normes du secteur, même pour les entreprises dont les activités dans ces provinces sont limitées.
• Certains domaines pourraient faire l’objet de mesures réglementaires ciblées, notamment l’IA, la biométrie, les mécanismes de conception trompeuse et la protection des renseignements liés aux enfants et à la santé.
• Les tendances en matière d’actions collectives indiquent un risque croissant lié à l’utilisation intentionnelle des données et aux initiatives en matière d’IA.
• Les lois et les normes internationales influencent également les pratiques, les attentes et les risques sur le marché canadien.

Lois provinciales

Québec

La Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25), dont les dernières dispositions sont entrées en vigueur en septembre 2024, continuera de servir de modèle ailleurs, et ce, pour plusieurs raisons. D’abord, elle prévoit les sanctions les plus lourdes au Canada – jusqu’à 10 millions de dollars ou 4 % des recettes globales d’une organisation. Elle est également susceptible d’avoir une large portée extraterritoriale et contient certaines des exigences les plus strictes.

Pour ces raisons, bon nombre d’organisations ont choisi d’appliquer les normes québécoises à toutes les personnes concernées, même celles qui ne se trouvent pas au Québec. Ainsi, elles n’ont pas besoin de prendre en compte des exigences divergentes ou de définir leurs processus en fonction de la province d’une personne concernée. Dans certains cas, des organisations qui n’étaient pas assujetties à la Loi 25 ont choisi de s’y conformer dans le but d’obtenir un avantage concurrentiel et de favoriser les relations d’affaires avec des partenaires québécois. Nous nous attendons donc à ce que la Loi 25 continue d’influencer les pratiques du secteur, même lorsqu’elle n’a pas d’application directe.

Ontario

Lorsque le gouvernement de l’Ontario a publié en juin 2021 un livre blanc sur la réforme de la protection de la vie privée¹, le ministère des Services gouvernementaux et des Services aux consommateurs avait alors indiqué l’intention du gouvernement d’intervenir si la réforme fédérale s’avérait insuffisante. Aucune déclaration publique n’a été faite en ce sens récemment.

Néanmoins, le gouvernement a montré récemment sa volonté de légiférer sur la protection des renseignements personnels et l’IA. En novembre, il a adopté la Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public qui crée de nouveaux pouvoirs de réglementation à l’égard de la cybersécurité et de l’utilisation de l’IA dans le secteur public. Une autre composante de cette réforme vise à élargir les pouvoirs d’enquête du commissaire à l’information et à la protection de la vie privée de l’Ontario à l’égard des institutions publiques. L’Ontario a aussi adopté une loi obligeant les employeurs à divulguer l’utilisation de l’IA dans le processus d’embauche.

Alberta

L’Alberta a récemment adopté une réforme de sa loi sur la protection des renseignements personnels dans le secteur public, la Freedom of Information and Protection of Privacy Act, dans le cadre du projet de loi 33. Ce projet de loi prévoit des mesures de protection accrues et de nouvelles règles en matière d’utilisation et de communication des données. En durcissant les sanctions (jusqu’à 750 000 dollars pour une organisation), le gouvernement albertain espère renforcer une loi qui n’a pas été réexaminée depuis plus de vingt ans.

En ce qui concerne la législation sur le secteur privé, elle pourrait aussi faire l’objet d’une réforme dans le cadre de la Personal Information Protection Act (PIPA), une loi encore à l’étude, si l’on en juge par l’approche adoptée à l’égard du secteur public et le soutien reçu du commissariat à la protection de la vie privée de l’Alberta.

Mesures réglementaires

Les mesures réglementaires continuent d’influencer les normes en matière de protection des renseignements personnels et d’IA. Ainsi, en décembre 2023, le Commissariat à la protection de la vie privée du Canada (CPVP), conjointement avec toutes les autorités de protection de la vie privée provinciales et territoriales, a publié des lignes directrices intitulées Principes pour des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée. Notre résumé de ces lignes directrices peut être consulté ici.

D’autres mesures prises récemment par le CPVP et d’autres organismes de réglementation peuvent donner une idée de leurs priorités. Outre l’utilisation de l’IA générative, il s’agit des domaines suivants :

• la protection des renseignements personnels liés aux enfants;
• la biométrie;
• les mécanismes de conception trompeuse;
• la collecte et l’utilisation de données pour l’entraînement de l’IA;
• la protection des renseignements personnels liés à la santé;
• la surveillance des employés.

L’attention accrue portée à ces questions par les organismes de réglementation représente de plus grands risques de litige et d’atteinte à la réputation pour les entreprises.

Plusieurs autres organismes de réglementation prennent également des mesures à l’égard de l’IA. Par exemple, le Bureau de la concurrence a fait part de son intention de continuer à surveiller l’utilisation de l’IA et son impact sur la concurrence, et a indiqué être préoccupé par certaines utilisations potentielles de l’IA, notamment la tarification algorithmique, la collusion algorithmique et l’hypertrucage. Les organismes de protection des droits de la personne, tels que la Commission ontarienne des droits de la personne, ont signalé le risque de biais algorithmiques et de discrimination dans les systèmes d’IA. Par ailleurs, le Bureau du surintendant des institutions financières et l’Agence de la consommation en matière financière du Canada ont récemment publié un rapport conjoint sur les risques liés à l’IA pour les institutions financières fédérales².

Compte tenu de la complexité de la réglementation de l’IA, les organismes de réglementation mettent l’accent sur la collaboration intersectorielle, particulièrement dans les domaines de la protection des renseignements personnels, de la concurrence, des télécommunications et de la propriété intellectuelle.

Actions collectives

Protection des renseignements personnels

Alors que les actions collectives dans ce domaine se limitaient longtemps aux allégations de violations de données, ces dernières années, elles visent aussi des pratiques intentionnelles de traitement des données, comme la collecte, l’utilisation ou la communication de renseignements personnels sans consentement suffisant. Ces réclamations se fondent soit sur la responsabilité civile ou contractuelle ou une loi. Cela représente un risque de litige élevé pour les entreprises qui traitent un grand volume de données personnelles.

Intelligence artificielle

L’IA est de plus en plus visée par des actions collectives, particulièrement dans les domaines suivants :

• protection des renseignements personnels, p. ex., utilisation de l’IA pour obtenir indûment des identifiants biométriques;
• emploi et discrimination, p. ex., discrimination dans le processus d’embauche résultant de l’utilisation de l’IA;
• concurrence et règles antitrust, p. ex., rôle de l’IA dans la fixation des prix ou la manipulation du marché;
• assurance, p. ex., utilisation inappropriée de l’IA pour traiter les demandes d’indemnité;
• propriété intellectuelle, p. ex., utilisation non autorisée de contenu protégé par le droit d’auteur pour entraîner des systèmes d’IA.

Cliquez ici pour lire notre article « L’IA de plus en plus visée par des actions collectives ».

Réglementation de l’IA dans le monde

Les organisations qui exercent des activités dans plusieurs pays s’appuient souvent sur les normes internationales pour harmoniser leurs programmes de conformité et de gouvernance. Dans cette section, nous faisons un survol des principaux changements survenus dans la réglementation de l’IA à l’échelle mondiale.

Europe

Le Règlement sur l’intelligence artificielle (RIA) adopté par l’Union européenne est entré en vigueur en août 2024 et devrait prendre effet progressivement au cours des deux prochaines années. Le RIA impose notamment des obligations en matière de gestion des risques, de gouvernance des données, de documentation et de tenue de registres, de supervision humaine, de cybersécurité, de transparence et de contrôle de la qualité. Puisque le RIA s’applique aux fournisseurs et aux déployeurs de systèmes d’IA étrangers dont les produits sont utilisés au sein de l’UE, il peut donc s’appliquer aux entreprises canadiennes ayant des activités ou des clients dans l’UE, comme c’est le cas pour le Règlement général sur la protection des données (RGPD) de l’UE. Le RGPD a eu un impact important sur les pratiques mondiales en matière de protection des renseignements personnels et l’AIA devrait avoir une influence similaire sur les normes en matière d’IA.

États-Unis

Il n’existe actuellement aucun projet de loi fédéral visant à réglementer l’IA aux États-Unis. En 2023, le président Biden a signé un décret présidentiel relatif à l’IA qui traitait de questions liées à la vie privée, à la sécurité, à l’équité et aux droits de la personne, mais la future administration Trump a signalé son intention d’abroger ce décret et de s’opposer à toute réglementation susceptible d’interférer avec l’innovation dans le domaine de l’IA. Toutefois, l’IA fait l’objet de développements législatifs dans certains États, notamment en Utah, au Colorado et en Californie. En 2024, ces trois États ont adopté des lois comprenant des exigences de gouvernance et de transparence liées à l’utilisation de l’IA.

En outre, plusieurs projets de loi sont en train d’être étudiés en Illinois, au Massachusetts et dans l’Ohio.

Ailleurs dans le monde

Le gouvernement britannique a récemment annoncé son intention d’introduire une législation sur l’IA, qui devrait être adoptée dans le courant de l’année.

La Corée du Sud a récemment adopté la Basic Act on the Development of Artificial Intelligence and the Establishment of Trust, qui entrera en vigueur en janvier 2026. Taïwan, le Brésil et le Chili ont également présenté des projets de loi sur l’IA. Comme le RIA, ces lois prévoient des obligations différentes en fonction du niveau de risque présumé d’un système d’IA.

Normes internationales

En 2023, le National Institute of Standards and Technology, une agence du ministère américain du Commerce, a publié un ensemble de lignes directrices non contraignantes intitulé AI Risk Management Framework, visant à gérer les risques liés à l’IA et à accroître la confiance dans la conception, le développement et l’utilisation des systèmes d’IA.

L’Organisation internationale de normalisation a, quant à elle, publié les normes ISO/IEC 42001, 23894 et 38507 sur l’IA. La norme ISO/IEC 42001, publiée en décembre 2023, énonce des exigences relatives à l’établissement, à la mise en œuvre, au maintien et à l’amélioration continue des systèmes de gestion de l’IA afin d’assurer un développement et une utilisation responsables.

Même si ces normes internationales ne sont pas contraignantes, elles pourraient être invoquées dans le cadre d’un contrôle diligent ou être prévues contractuellement par les clients d’un produit ou d’un service fondé sur l’IA. Elles pourraient aussi constituer des normes de diligence dans le cadre d’un recours en négligence contre une entreprise.

Répercussions pour les entreprises

Même en l’absence du projet de loi C-27, les entreprises doivent s’attendre à plusieurs développements dans le domaine de la protection des renseignements personnels et de l’IA et s’y préparer en conséquence.

Beaucoup d’organisations attendaient l’adoption du projet de loi C-27 pour mettre en œuvre leurs initiatives de conformité. Le projet étant resté lettre morte, elles devraient désormais passer en revue leur programme de conformité pour déterminer les principaux domaines de risque et établir une liste de priorités pour 2025. En ce qui concerne la protection des renseignements personnels, il faut porter une attention particulière à la Loi 25 et aux récentes mesures et décisions réglementaires. En ce qui concerne l’IA, les programmes de gouvernance devraient refléter les meilleures pratiques pour atténuer les risques, répondre aux attentes du secteur et réduire le fardeau réglementaire en prévision de l’adoption de nouvelles lois sur l’IA.