Dans ce résumé législatif de la Bibliothèque du Parlement, tout changement d'importance depuis la publication précédente est signalé en caractères gras.
Le 16 juin 2022, le ministre de l’Innovation, des Sciences et de l’Industrie a déposé à la Chambre des communes le projet de loi C‑27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois 1.
Le projet de loi vise à créer trois nouvelles lois : la Loi sur la protection de la vie privée des consommateurs (LPVPC), la Loi sur le tribunal de la protection des renseignements personnels et des données (Loi sur le Tribunal) et la Loi sur l’intelligence artificielle et les données (Loi sur l’IA). Il abroge la partie 1 de la Loi sur la protection des renseignements personnels et documents électroniques (LPRPDE) et remplace le titre abrégé de cette loi par Loi sur les documents électroniques.
Le projet de loi C-27 reprend le contenu du projet de loi C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois, déposé à la Chambre des communes le 17 novembre 2020 par le ministre de l’Innovation, des Sciences et de l’Industrie 2.
Le projet de loi C-11, qui a été le premier projet de loi visant la réforme complète de la loi fédérale en matière de protection des renseignements personnels dans le secteur privé depuis l’adoption de la LPRPDE en 2000, est mort au Feuilleton lors de la dissolution du Parlement en août 2021 3. Le présent projet de loi – qui apporte certaines modifications au projet de loi C-11 et édicte également la Loi sur l’IA – se veut une nouvelle tentative de réforme.
De façon générale, la LPVPC :
La Loi sur le Tribunal, de son côté, prévoit la constitution du Tribunal de la protection des renseignements personnels et des données (le Tribunal) et en définit le fonctionnement interne ainsi que les principes sur lesquels se fondent ses procédures.
La Loi sur l’IA vise quant à elle à réglementer le commerce et les échanges internationaux et interprovinciaux en matière de systèmes d’intelligence artificielle en établissant des exigences pour la conception, le développement et l’utilisation de tels systèmes et en interdisant certaines conduites.
De façon générale, la Loi sur l’IA :
Le titre abrégé du projet de loi est Loi de 2022 sur la mise en œuvre de la Charte du numérique. La Charte numérique du Canada (la Charte du numérique) a été dévoilée par Innovation, Sciences et Développement économique Canada (ISDE) en 2019 4. Cette charte est le résultat de consultations lancées en juin 2018 auprès de nombreuses parties prenantes 5. Parmi les 10 principes de la Charte du numérique, mentionnons les suivants :
Après la publication de la Charte du numérique, ISDE a publié, pour discussion, un document de travail sur la réforme de la LPRPDE dans lequel il énonçait des questions et des possibilités de modifications législatives 6.
Le projet de loi C-27 fait suite à plusieurs appels à la réforme, entre autres par le commissaire et par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (le Comité).
Par exemple, dans son rapport annuel 2018-2019 portant sur la réforme des lois sur la vie privée, le commissaire recommande la modernisation des lois fédérales en matière de protection des renseignements personnels, dont la LPRPDE. Il recommande, entre autres, une approche fondée sur les droits pour protéger la vie privée des Canadiens, un pouvoir d’inspection proactive sans motifs et l’obligation de tenir compte du droit à la vie privée dès la conception 7.
Dans son rapport annuel 2019-2020 portant sur la vie privée en temps de pandémie, le commissaire réaffirme le besoin de réformer les lois fédérales en matière de protection des renseignements personnels, dont la LPRPDE. Il souligne que « [l]orsqu’il s’agit de protéger nos droits dans un environnement numérique, la législation n’est tout simplement pas à la hauteur 8 ». En 2020, il a présenté des propositions pour réglementer l’intelligence artificielle, dont des suggestions de modifications à la LPRPDE 9.
Dans son rapport annuel 2020-2021, le commissaire a réitéré le besoin de moderniser les lois fédérales en matière de protection des renseignements personnels, dont la LPRPDE. Il a dit qu’il aurait voulu affirmer dans ce rapport « que le Canada a édicté des lois modernes sur la protection des renseignements personnels, qui sont en phase avec l’ère numérique et qui protègent adéquatement les Canadiens », mais que cet objectif n’a pas encore été atteint 10.
Pour sa part, le Comité a recommandé de nombreuses modifications à la LPRPDE dans les dernières années, entre autres dans son rapport sur l’examen de la LPRPDE publié en 2018 11. De nombreuses recommandations visant la modernisation de la LPRPDE ont aussi été formulées dans les deux rapports que le Comité a publiés en 2018 dans le cadre de son étude sur l’atteinte à la sécurité des renseignements personnels associée à Cambridge Analytica et à Facebook 12. Un autre rapport du Comité, rédigé celui-là dans le cadre de son étude sur la collecte et l’utilisation de données sur la mobilité par le gouvernement du Canada et publié en 2022, contient certaines recommandations visant à moderniser la LPRPDE 13.
Le projet de loi semble donner suite à certaines des recommandations formulées par le commissaire ou le Comité dans le passé, notamment en conférant davantage de pouvoirs au commissaire, en introduisant un régime de sanctions administratives pécuniaires plus sévère et en intégrant les concepts de portabilité des données et de transparence algorithmique dans la LPVPC.
Le projet de loi C-27 semble aussi donner suite, en partie, à quelques-unes des recommandations que le Commissariat à la protection de la vie privée du Canada (le Commissariat) a formulées dans le mémoire sur le projet de loi C-11 qu’il a soumis au Comité en mai 2021 14.
En vertu du Règlement général de la protection des données (RGPD) de l’Union européenne (UE), le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission européenne (CE) a constaté que ce pays tiers ou cette organisation internationale assure un niveau de protection adéquat 15.
En 2001, la CE a reconnu, en vertu de la Directive 95/46/EC alors en vigueur, que la LPRPDE protégeait adéquatement les données personnelles en ce qui concerne la communication de renseignements personnels dans le cadre d’activités commerciales. Cette adéquation a été réaffirmée en 2006 16.
Le RGPD remplace cette directive. Il est entré en vigueur le 25 mai 2018 et prévoit la continuité des décisions d’adéquation existantes de l’UE, jusqu’à ce qu’une nouvelle évaluation soit réalisée 17. Le Canada maintient donc son statut d’adéquation pour l’instant. Toutefois, l’UE doit prochainement réévaluer le statut d’adéquation de la loi fédérale en matière de protection des renseignements personnels dans le secteur privé avec le RGPD.
Le statut d’adéquation fait en sorte que les données traitées en conformité avec le RGPD peuvent être transférées de l’UE au Canada, ou vice-versa, sans que des garanties supplémentaires relatives à la protection des données soient nécessaires (p. ex. une entente contractuelle) 18.
Depuis 2016, la CE est tenue de suivre l’évolution du cadre juridique canadien afin d’évaluer si le Canada continue d’assurer un niveau de protection adéquat. En outre, le gouvernement du Canada remet des rapports d’étape à la CE concernant les évolutions en matière de législation sur la protection des données au Canada 19. La date exacte de la réévaluation du statut d’adéquation du Canada n’est pas connue, mais le RGPD prévoit qu’une réévaluation doit avoir lieu tous les quatre ans, ce qui voudrait dire qu’elle devrait avoir lieu au plus tard en 2022 20.
Comme la CE n’a pas encore procédé à une réévaluation du statut d’adéquation du Canada, ce dernier conserve, pour l’instant, ce statut.
Par ailleurs, l’UE a récemment publié une proposition de législation sur l’intelligence artificielle (IA) qui établit un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation de l’IA. La proposition européenne fixe des règles selon une approche fondée sur le risque. Elle interdit les systèmes d’IA qui présentent un risque inacceptable et imposent des exigences élevées (p. ex. la transparence et le contrôle humain) lorsqu’un système d’IA présente un risque élevé 21. Le gouvernement du Canada semble lui aussi avoir adopté une approche fondée sur le risque dans la Loi sur l’IA.
Le projet de loi C-27 contient 40 articles. Il est divisé en quatre parties :
La description qui suit met l’accent sur certains éléments du projet de loi, sans toutefois passer en revue toutes ses dispositions ni celles des trois lois que crée le projet de loi C-27.
Le projet de loi contient un préambule dans lequel sont exposés ses objectifs et sa raison d’être. Y est reconnue la nécessité de moderniser le cadre législatif canadien afin qu’il soit adapté à l’ère numérique.
Dans le préambule, on reconnaît que « la protection du droit à la vie privée des individus en ce qui a trait à leurs renseignements personnels est essentielle à leur autonomie et à leur dignité et à la pleine jouissance des droits et libertés fondamentaux au Canada ». On y précise également que le projet de loi « vise à soutenir les efforts du gouvernement du Canada pour […] établir un cadre réglementaire soutenant et protégeant les normes et les valeurs canadiennes, notamment le droit à la vie privée ».
Le préambule fait également mention des intérêts commerciaux. On y reconnaît entre autres que la croissance de l’économie canadienne dépend de la confiance dans l’économie axée sur le numérique et les données. On y précise aussi que des organisations de toute taille évoluent dans cette économie et qu’« un cadre réglementaire flexible est nécessaire pour les aider à respecter les règles et favoriser l’innovation en leur sein ».
Toutefois, ce préambule n’est pas intégré dans le texte de la LPVPC, c’est-à-dire qu’il ne figurera pas au début de la loi une fois celle-ci adoptée 22. La première recommandation formulée dans le mémoire du Commissariat sur le projet de loi C-11 était d’ajouter un préambule dans la LPVPC pour reconnaître, entre autres, le droit à la vie privée comme un droit de la personne 23.
L’article 2 du projet de loi présente la LPVPC comme étant une loi « visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés et communiqués dans le cadre d’activités commerciales ». Cette loi est divisée en trois parties.
La partie 1 de la LPVPC traite des obligations des organisations en matière de protection des renseignements personnels (art. 7 à 75). La partie 2 de la LPVPC traite des attributions du commissaire et contient les dispositions générales (art. 76 à 129). La partie 3 traite de l’entrée en vigueur des dispositions du projet de loi (art. 130).
La LPVPC reprend plusieurs éléments de la LPRPDE, mais dans une structure qui ressemble davantage à un texte législatif habituel. Dans son libellé, la LPRPDE fait référence à des principes relatifs à l’équité dans le traitement de l’information, lesquels sont énoncés à l’annexe 1 (les principes énoncés à l’annexe 1 de la LPRPDE). Ces principes ne sont pas présentés dans un libellé législatif conventionnel 24. Dans la LPVPC, ces principes sont intégrés dans le texte de la loi, dans un libellé législatif conventionnel.
La LPVPC impose de nombreuses obligations aux organisations auxquelles elle s’applique, dont l’établissement d’un programme de gestion des renseignements personnels et des obligations en matière de minimisation des données.
Les dispositions pertinentes de la LPVPC sont décrites plus en détail ci-dessous.
Selon la LPVPC, les droits et recours qui y sont prévus peuvent être exercés par le parent ou le tuteur d’un mineur lorsque ce dernier n’a ni la capacité ni la volonté de les exercer personnellement; par une personne autorisée par la loi à administrer les affaires ou les biens d’un individu, autre qu’un mineur, frappé d’une incapacité juridique; ou par la personne autorisée par la loi à administrer la succession d’un individu décédé. La LPRPDE ne contient aucune disposition de la sorte.
L’objet de la LPVPC demeure essentiellement le même que celui de la LPRPDE, soit de fixer des règles régissant la protection des renseignements personnels d’une manière qui tient compte à la fois du droit à la vie privée des individus et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances (art. 5).
L’objet du projet de loi C-27 demeure essentiellement le même que celui de son prédécesseur. Dans sa déclaration relative au dépôt du projet de loi C-11, le commissaire avait indiqué ce qui suit :
Le projet de loi C-11 ouvre la porte à de nouveaux usages commerciaux des renseignements personnels, sans consentement, sans préciser que cette autorisation est donnée à la condition que le droit à la vie privée soit respecté. Le projet de loi reprend plutôt la clause d’objet de la loi actuelle, qui donne la même importance à la protection de la vie privée et aux besoins commerciaux des organisations 25.
Le commissaire a repris des propos similaires dans le mémoire du Commissariat sur le projet de loi C-11 :
Personne ne conteste le fait que la future Loi sur la protection de la vie privée des consommateurs (LPVPC) devrait promouvoir à la fois le droit à la vie privée et les intérêts commerciaux. La question est de savoir quel poids donner à chaque élément.
D’après moi, il serait normal et équitable d’autoriser les activités commerciales dans un cadre de protection des droits, plutôt que de mettre les droits et les intérêts commerciaux sur un pied d’égalité 26.
Bien que l’objet de la LPVPC demeure essentiellement le même que celui de la LPRPDE, le contexte dans lequel ces règles régissant la protection des renseignements personnels sont fixées a été modifié pour indiquer qu’elles le sont « dans une ère où les données circulent constamment au-delà des frontières et des limites géographiques et une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels » (art. 5).
Le champ d’application de la LPVPC est le même que celui de la LPRPDE. La LPVPC s’applique à une organisation à l’égard des renseignements personnels qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales. Elle s’applique aussi aux renseignements personnels « qui concernent un de ses employés ou l’individu qui postule pour le devenir et qu’elle recueille, utilise ou communique dans le cadre d’une entreprise fédérale » (par. 6(1)). En d’autres termes, elle s’applique également aux renseignements personnels d’employés d’entreprises du secteur privé sous réglementation fédérale (p. ex., banques et entreprises de télécommunication) 27.
Le titre de la LPVPC identifie le « consommateur » comme bénéficiaire des protections qui y sont prévues. Toutefois, c’est plutôt le terme « individu » qui est utilisé dans les dispositions de la LPVPC.
La LPVPC précise qu’elle s’applique aussi aux renseignements personnels qui sont recueillis, utilisés ou communiqués par une organisation à l’échelle interprovinciale ou internationale et, sauf si l’organisation est exclue de l’application de la LPVPC en vertu de l’alinéa 122(2)b), à l’intérieur d’une province (par. 6(2)). En outre, l’alinéa 122(2)b) énonce le processus par lequel une province peut faire reconnaître sa loi provinciale comme étant « essentiellement semblable » à la LPVPC 28.
La LPVPC précise par ailleurs qu’elle ne s’applique pas aux renseignements personnels qui ont été anonymisés (par. 6(5)). Le terme « anonymiser » est défini ainsi à l’article 2 de la LPVPC :
Modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit.
Les renseignements anonymisés ne sont donc plus considérés comme des renseignements personnels aux fins de l’application de la loi. La LPVPC distingue les renseignements anonymisés des renseignements dépersonnalisés (voir section 2.2.7 du présent résumé législatif, laquelle porte sur les exceptions au consentement).
La LPVPC ne comprend aucune disposition explicite concernant son application extraterritoriale à des organisations qui ne sont pas établies pas au Canada 29.
Suivant la LPVPC, toute organisation est responsable des renseignements personnels qui relèvent d’elle 30. Les renseignements relèvent d’une organisation lorsque celle-ci établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués. La LPVPC précise que l’organisation conserve cette responsabilité même si un fournisseur de services mène les activités pour elle. Les obligations prévues à la LPVPC ne s’appliquent pas au fournisseur de services pour ce qui est des renseignements qui lui sont transférés par une organisation (sauf s’il les recueille, utilise ou communique à d’autres fins que celles pour lesquelles ils lui ont été transférés). L’organisation s’assure également que tout fournisseur de services à qui elle transfère des renseignements personnels offre une protection équivalente à celle qu’elle offre elle même (art. 7 et 11).
Chaque organisation désigne au moins un individu chargé des questions relatives aux obligations de l’organisation sous le régime de la LPVPC et elle met en œuvre et tient à jour un programme de gestion de la protection des renseignements personnels (le programme). Ce programme comprend les politiques, pratiques et procédures que l’organisation a mises en place pour se conformer aux obligations qui lui incombent en vertu de la LPVPC. Il tient compte du volume et de la nature sensible des renseignements personnels qui relèvent de l’organisation (art. 8 et 9). Par exemple, les renseignements personnels des mineurs sont toujours considérés comme étant de nature sensible (par. 2(2)).
L’organisation donne aussi accès au contenu du programme au commissaire, lorsque ce dernier en fait la demande. Le commissaire peut fournir des conseils ou recommander des mesures correctives à l’organisation après avoir examiné le programme (art. 10).
Les articles 12 à 14 de la LPVPC appliquent un critère de nécessité et de proportionnalité quant à la collecte, à l’utilisation et à la communication de renseignements personnels 31.
La LPVPC prévoit qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels « qu’à des fins et d’une manière qu’une personne raisonnable estimerait acceptables dans les circonstances » (par. 12(1)). Elle énonce les éléments à prendre en compte pour déterminer le caractère acceptable des fins de la collecte, de l’utilisation ou de la communication de renseignements personnels et de la manière par laquelle elle est faite :
L’établissement des fins acceptables se fait avant la collecte ou au plus tard au moment où elle a lieu, et ces fins doivent être consignées (par. 12(3)). La LPVPC ne précise pas comment la consignation doit être faite.
L’organisation peut recueillir, utiliser ou communiquer uniquement les renseignements personnels qui sont nécessaires aux fins établies pour la collecte. Si elle désire utiliser ou communiquer des renseignements recueillis pour une fin nouvelle, elle consigne cette dernière et obtient le consentement valide de l’individu concerné, sauf si une exception au consentement s’applique (par. 12(4) et art. 13 et 14).
Le consentement demeure le fondement juridique par défaut qui permet à une organisation de recueillir, d’utiliser et de communiquer des renseignements personnels sous le régime de la LPVPC (art. 15). Faute de consentement, une organisation justifie la collecte, l’utilisation ou la communication des renseignements personnels par une exception. Les exceptions au consentement prévues en vertu de la LPVPC sont nombreuses et sont résumées à la section 2.2.7 ci-dessous.
Aux termes de la LPVPC, le consentement n’est valide que si l’organisation fournit à l’individu concerné certains renseignements. Ces renseignements doivent être fournis dans un langage clair et raisonnablement compréhensible pour un individu concerné par les activités de l’organisation (par. 15(3) et 15(4)). Les renseignements qui doivent être fournis sont les suivants :
À titre de comparaison, l’article 6.1 de la LPRPDE prévoit que le consentement
n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
Sous le régime de la LPVPC, une organisation peut déterminer que le consentement implicite est approprié dans certaines circonstances, compte tenu de la nature sensible des renseignements personnels et des attentes raisonnables de l’individu concerné (par. 15(5)). En outre, il est interdit d’obtenir ou de tenter d’obtenir le consentement d’un individu par l’entremise de pratiques trompeuses ou mensongères (art. 16). De plus, l’individu concerné peut retirer son consentement à tout moment en avisant l’organisation de son intention suffisamment à l’avance, sous réserve de la LPVPC, du droit fédéral ou provincial, ou de toute restriction contractuelle « raisonnable » (art. 17).
Les exceptions qui permettent la collecte, l’utilisation ou la communication de renseignements personnels à l’insu ou sans le consentement de l’individu concerné se déclinent en six catégories :
Les exceptions énoncées aux articles 23 à 38 et 40 à 51 reprennent en substance le contenu des articles 7 et 7.2 à 7.4, et des paragraphes 10.2(3) et 10.2(4) de la LPRPDE. Nous nous attardons ci-dessous aux nouvelles exceptions qui se trouvent dans la LPVPC.
Une nouvelle exception au consentement liée aux « activités d’affaires » permet à une organisation de recueillir ou d’utiliser les renseignements personnels d’un individu à son insu ou sans son consentement si la collecte ou l’utilisation est faite en vue d’une activité d’affaires (par. 18(1)). La collecte ou l’utilisation doit remplir deux conditions :
Les activités d’affaires visées par cette exception comprennent notamment les activités de l’organisation nécessaires à la fourniture d’un produit ou à la prestation d’un service demandé par un individu, ainsi que les activités « nécessaires à la sécurité de l’information, des systèmes ou des réseaux de l’organisation » ou qui visent à « assurer la sécurité d’un produit ou d’un service que l’organisation fournit » (par. 18(2)).
L’organisation peut aussi recueillir ou utiliser les renseignements personnels d’un individu à son insu ou sans son consentement quand cette collecte ou utilisation est faite en vue d’une activité dans laquelle elle a un « intérêt légitime qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu » (par. 18(3)).
Pour se prévaloir de l’exception au consentement relative à l’intérêt légitime, l’organisation doit remplir les deux conditions énumérées au paragraphe 18(1) et se conformer à toute autre exigence réglementaire. Elle doit aussi procéder à une évaluation de tout effet négatif potentiel de cette collecte ou utilisation de renseignements personnels sur l’individu concerné et prévoir des moyens raisonnables pour réduire la probabilité que ces effets se produisent et pour les atténuer ou les éliminer (par. 18(4)). L’évaluation doit être consignée par écrit et une copie doit être remise au commissaire s’il en fait la demande (par. 18(5)).
Aux termes de la LPVPC, une organisation peut aussi transférer à un fournisseur de services les renseignements personnels d’un individu à son insu ou sans son consentement (art. 19). Elle peut aussi utiliser les renseignements personnels d’un individu, à son insu ou sans son consentement, pour les dépersonnaliser (art. 20). Selon l’article 2 de la LPVPC, « dépersonnaliser » consiste à « [m]odifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement ».
Une organisation peut utiliser des renseignements dépersonnalisés à des fins de recherche, d’analyse et de développement internes, à l’insu ou sans le consentement de l’individu concerné (art. 21).
Une organisation peut aussi utiliser ou communiquer des renseignements personnels sans consentement dans le cadre d’une transaction commerciale éventuelle. Cependant, en vertu de la LPVPC, ces renseignements doivent être dépersonnalisés et doivent être nécessaires pour décider si la transaction aura lieu. L’organisation qui reçoit les renseignements personnels doit également s’engager, en vertu d’un accord entre les deux organisations qui seront parties à une éventuelle transaction commerciale, à ne les utiliser et à ne les communiquer qu’à des fins liées à la transaction ainsi qu’à les protéger au moyen de mesures de sécurité proportionnelle à la nature sensible de ceux-ci. Si la transaction n’a pas lieu, l’organisation recevant les renseignements personnels s’engage à les remettre à l’organisation qui les lui a communiqués ou à procéder à leur retrait dans un délai raisonnable (art. 22).
Toutefois, une organisation n’est pas tenue de respecter l’exigence selon laquelle tous renseignements communiqués doivent être dépersonnalisés avant d’être communiqués dans le cadre d’une transaction commerciale, si cela nuit aux objectifs de l’éventuelle transaction et que l’organisation a tenu compte du risque de préjudice pour l’individu que pourrait entraîner l’utilisation ou la communication de ces renseignements (par. 22(2)).
La LPVPC prévoit aussi une nouvelle exception au consentement qui permet à une organisation de communiquer les renseignements personnels d’un individu à son insu ou sans son consentement pour une « fin socialement bénéfique ». Cette fin s’entend de « toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics, à la protection de l’environnement ou de toute autre fin réglementaire » (art. 39). La communication des renseignements à des fins socialement bénéfique ne peut se faire que si les conditions suivantes sont remplies :
Pour les fins de l’application de la LPVPC, à l’exception des articles 20 et 21 et des paragraphes 22(1) et 39(1) décrits ci-dessus, et des articles 55, 56, 71, 72, 74, 75 et 116 et du paragraphe 63(1) décrits dans les prochaines sections du présent résumé législatif, les renseignements personnels qui ont été dépersonnalisés sont considérés comme étant des renseignements personnels (par. 2(3)).
Les articles 53 à 56 de la LPVPC portent sur les limites qui s’appliquent à la durée de conservation des renseignements personnels et à l’exactitude de ces derniers 32 :
La LPVPC introduit un nouveau droit explicite au retrait des renseignements personnels (art. 55). Il s’agit d’une forme de droit à l’effacement. Le retrait consiste en la suppression définitive et irréversible de renseignements personnels ou le fait de les anonymiser 33.
À la demande d’un individu, l’organisation procède, dès que possible, au retrait des renseignements personnels qui concernent cet individu et relèvent d’elle. Elle peut refuser de procéder au retrait dans les circonstances suivantes, et ce, même si l’individu a retiré son consentement, en tout ou en partie, ou si les renseignements ne sont plus nécessaires à la fourniture d’un bien ou à la prestation d’un service :
Si l’organisation refuse de procéder au retrait des renseignements personnels d’un individu, elle doit motiver son refus par écrit et aviser l’individu de son droit de déposer une plainte auprès de l’organisation ou du commissaire. L’organisation doit aussi aviser tout fournisseur de services à qui les renseignements ont été transférés qu’une demande de retrait a été présentée, et veiller à ce que ce dernier procède au retrait (art. 55).
Sous le régime de la LPVPC, une organisation doit protéger les renseignements personnels qu’elle détient 34. La protection se fait au moyen de mesures de sécurité matérielles, organisationnelles ou techniques, et le degré de protection doit être proportionnel à la nature sensible de ces renseignements. Les mesures doivent également tenir compte de la quantité de renseignements et de leur répartition, format et méthode de stockage (art. 57).
La LPVPC reprend également le contenu des articles 10.1 à 10.3 de la LPRPDE, qui prévoient un régime de déclaration d’atteinte aux mesures de sécurité (art. 58 à 60).
Ce régime fait en sorte qu’une organisation doit déclarer au commissaire toute atteinte aux mesures de sécurité concernant des renseignements personnels qui relèvent d’elle, lorsqu’il est « raisonnable de croire que, dans les circonstances, l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu ». Elle avise également l’individu concerné dès que possible (art. 58). Un préjudice grave peut prendre différentes formes, comme la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations et la perte financière (par. 58(7)).
L’organisation qui avise un individu d’une atteinte aux mesures de sécurité le concernant en avise aussi toute autre organisation ou institution gouvernementale qui peut être en mesure de réduire le risque de préjudice pouvant résulter de cette atteinte ou d’atténuer ce préjudice (art. 59). Elle tient un registre des atteintes aux mesures de sécurité qui ont trait à des renseignements personnels et en donne l’accès au commissaire, à la demande de ce dernier (art. 60). Tout fournisseur de services qui conclut à une atteinte aux mesures de sécurité ayant trait à des renseignements personnels en avise dès que possible l’organisation de laquelle ces renseignements relèvent (art. 61).
La LPVPC oblige une organisation à rendre facilement accessible des renseignements expliquant ses politiques et pratiques visant le respect de cette loi 35. Parmi les renseignements qu’une organisation doit rendre accessibles, mentionnons les suivants :
Au sujet de la deuxième catégorie de renseignements susmentionnée, une organisation doit rendre disponible l’information à l’égard des échanges de données transfrontaliers qu’elle effectue, mais seulement si elle a déterminé que ces échanges peuvent avoir des répercussions sur la vie privée des individus concernés.
En ce qui concerne la troisième catégorie de renseignements à fournir, le terme « système décisionnel automatisé » est défini comme suit à l’article 2 de la LPVPC :
Technologie utilisant des systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond, des réseaux neuronaux ou d’autres techniques afin d’appuyer ou de remplacer le jugement de décideurs humains.
La LPVPC introduit donc, à l’article 62, le concept de transparence algorithmique, sous la forme d’un droit à l’explication. Ce droit à l’explication est aussi présent à l’article 63 de la LPVPC.
À la demande d’un individu, une organisation lui indique si elle détient des renseignements personnels qui le concernent et, le cas échéant, l’usage qu’elle en a fait et s’ils ont été communiqués. Si l’organisation a utilisé un système décisionnel automatisé pour faire une prédiction, formuler une recommandation ou prendre une décision concernant un individu, et que cette prédiction, recommandation ou décision pourrait avoir une incidence importante pour lui, l’individu concerné peut demander à l’organisation une explication de la prédiction, de la recommandation ou de la décision. L’organisation doit alors indiquer le type de renseignements personnels utilisés pour faire la prédiction, pour formuler la recommandation ou pour prendre la décision et indiquer la provenance de ces renseignements ainsi que les motifs ou principaux facteurs qui ont mené à la prédiction, la recommandation ou la décision. L’individu présente sa demande par écrit (art. 63 et 64) 36. La LPVPC ne prévoit aucun droit explicite permettant à l’individu de présenter des observations à un employé de l’organisation afin d’infirmer la décision prise lorsqu’un système décisionnel automatisé a été utilisé.
La LPVPC oblige l’organisation à fournir dans un langage clair l’information demandée en vertu de l’article 63 (art. 66). Cela devrait permettre d’éviter la transmission de documents volumineux rédigés en termes juridiques complexes.
L’organisation répond à la demande d’information au plus tard 30 jours après sa réception, à moins qu’elle n’informe le demandeur, dans les 30 jours suivant la réception de la demande, que ce délai sera prorogé (pour un maximum de 30 jours additionnels) ou qu’une période plus longue est nécessaire au transfert des renseignements personnels sur un support de substitution. Tout refus d’acquiescer à une demande d’information doit être motivé. Le cas échéant, l’organisation avise le demandeur et l’informe des recours qui s’offrent à lui (art. 67). L’organisation peut exiger des droits minimes pour le traitement d’une demande d’information (art. 68). Les renseignements personnels visés par une demande d’information ou d’accès doivent être conservés le temps nécessaire pour permettre au demandeur d’épuiser tous les recours qui s’offrent à lui en vertu de la LPVPC (art. 69).
L’organisation ne peut mettre à la disposition d’un demandeur des renseignements personnels qui révèlent ceux d’un autre individu, sauf s’ils peuvent être retranchés, si l’autre individu consent à leur divulgation ou si le demandeur en a besoin parce que la vie, la santé ou la sécurité d’un individu est en danger (par. 70(1) et 70(2)).
Si un individu demande à une organisation de l’aviser de toute communication qu’elle a faite à une institution gouvernementale en vertu des exceptions au consentement que l’on retrouve aux articles 44 à 48 ou 50 de la LPVPC, ou de l’existence de renseignements qu’elle détient à l’égard d’une telle communication, l’organisation notifie l’institution gouvernementale concernée. Dans les 30 jours suivant la date à laquelle la demande lui est notifiée, l’institution avise l’organisation du fait qu’elle s’oppose ou non à ce que cette dernière communique l’information recherchée au demandeur. Elle ne peut s’opposer à la demande que dans certaines circonstances, par exemple si elle est d’avis que faire droit à la demande d’information ou d’accès risquerait de nuire à la sécurité nationale ou au contrôle d’application du droit (par. 70(3) à 70(5)).
En cas d’opposition de la part de l’institution concernée, l’organisation refuse d’acquiescer à la demande d’information et d’accès, en avise le commissaire par écrit et ne met aucune information relative à la communication avec une institution gouvernementale à la disposition du demandeur. Dans un tel cas, l’organisation ne fournit pas au demandeur le nom de l’institution gouvernementale qu’elle a notifiée et ne l’informe pas du fait qu’il y a eu notification de la demande ni que l’institution s’oppose à ce que l’organisation y acquiesce (par. 70(6)).
L’organisation peut aussi refuser la communication de renseignements personnels à l’individu qui fait une demande d’information dans les cas suivants (par. 70(7)) :
En ce qui concerne la modification des renseignements personnels, si un individu consulte ses renseignements personnels et démontre à une organisation qu’ils sont désuets, inexacts ou incomplets, cette dernière apporte les modifications requises et les transmet, s’il y a lieu, à tout tiers qui a accès à ces renseignements. S’il y a désaccord entre l’organisation et l’individu quant aux changements à apporter, ce désaccord est consigné et les tiers en sont informés, s’il y a lieu (art. 71).
La LPVPC intègre le concept de portabilité des données dans la loi, sous la forme d’un droit à la mobilité des renseignements personnels. Ce droit permet à un individu de demander que les renseignements personnels qu’une organisation a recueillis auprès de lui soient transmis à une autre organisation de son choix. Cependant, en vertu de la LPVPC, ce transfert n’est permis que lorsque les deux organisations en question sont assujetties à un cadre de mobilité des données. Des règlements fourniront probablement de plus amples détails quant à l’application de cette disposition.
La LPVPC précise que lorsqu’une organisation dépersonnalise des renseignements personnels, elle doit utiliser des procédés techniques et administratifs qui sont proportionnels aux fins auxquelles ces renseignements sont dépersonnalisés et à la nature sensible des renseignements personnels. Elle ne définit pas ce qu’elle entend par « procédés techniques et administratifs » (art. 74).
La LPVPC interdit également à une organisation d’utiliser des renseignements dépersonnalisés, seuls ou en combinaison avec d’autres renseignements, afin d’identifier un individu, c’est-à-dire de personnaliser à nouveau des renseignements personnels, sauf dans certains cas. Ces cas incluent notamment la vérification de ce qui suit : efficacité des mesures de sécurité mises en place par l’organisation; efficacité des processus de dépersonnalisation; équité et exactitude des modèles, des processus et des systèmes élaborés à l’aide de renseignements dépersonnalisés (art. 75).
Aux termes de l’article 24 de la LPRPDE, le commissaire encourage les organisations à élaborer des politiques détaillées – notamment des codes de pratiques – en vue de se conformer aux exigences de cette loi.
La LPVPC contient pour sa part un régime plus complet permettant à une organisation de demander au commissaire d’approuver un code de pratique ou un programme de certification en vertu de critères qui seront établis par règlement. Le programme de certification doit comprendre plusieurs éléments, dont un code de pratique, des lignes directrices sur l’interprétation et la mise en œuvre du code, et un mécanisme de vérification indépendante de la conformité d’une organisation au code. La décision du commissaire d’approuver un code de pratique ou un programme de certification est rendue publique (art. 76 à 79). Le fait de se conformer aux exigences d’un code de pratique ou d’un programme de certification n’exempte pas une organisation de ses obligations prévues par la LPVPC (art. 80). Sous ce régime, le commissaire dispose de certains pouvoirs qui lui permettent, par exemple, de demander des renseignements à toute entité qui gère un programme de certification ou de révoquer un programme de certification conformément aux règlements (art. 81).
Les articles 82 à 87 de la LPVPC établissent le processus de plainte en vertu de la LPVPC ainsi que les circonstances dans lesquelles le commissaire peut refuser d’examiner une plainte ou en cesser l’examen. Ils reprennent en substance le contenu des articles 11, 12 et 12.2 de la LPRPDE 37.
La LPRPDE contient des motifs d’irrecevabilité d’une plainte (par. 12(1) de la LPRPDE) et des motifs permettant la fin d’un examen (par. 12.2(1) de la LPRPDE). Sous le régime de la LPVPC, ces motifs sont regroupés et peuvent être utilisés par le commissaire pour justifier l’irrecevabilité d’une plainte ou mettre fin à l’examen d’une plainte (par. 83(1) et art. 85). Le commissaire peut reconsidérer sa conclusion d’irrecevabilité si un plaignant le convainc qu’il existe des raisons impérieuses de le faire (par. 83(3)).
La LPVPC contient aussi un nouveau motif pour lequel le commissaire peut refuser d’examiner une plainte, à savoir si « la question soulevée dans la plainte fait l’objet d’un programme de certification approuvé par le commissaire […] et l’organisation concernée est certifiée dans le cadre de ce programme » (al. 83(1)d)).
S’il met fin à l’examen d’une plainte ou s’il conclut, à l’issue de son examen, qu’il ne mènera pas d’investigation, le commissaire doit en aviser le plaignant et l’organisation visée par la plainte, et fournir des motifs à cet égard (par. 83(2) et art. 88). Le commissaire peut tenter de parvenir au règlement d’une plainte par la médiation ou la conciliation. Il peut aussi conclure un accord de conformité avec une organisation afin de lui faire respecter la LPVPC (art. 86 et 87).
Le processus d’investigation sous le régime de la LPVPC remplace les articles 14 à 17 de la LPRPDE, lesquels prévoient la possibilité d’un recours devant la Cour fédérale à la suite de l’examen d’une plainte par le commissaire et du rapport de ce dernier résumant ses conclusions et ses recommandations non contraignantes.
En vertu de la LPVPC, une fois l’examen de la plainte terminé, le commissaire peut aviser le plaignant et l’organisation visée qu’il va mener une investigation sur la plainte. Il peut aussi mener une telle investigation s’il a des motifs raisonnables de croire qu’un accord de conformité n’a pas été respecté (art. 89 et 90). Dans le cadre d’une investigation menée en vertu de la LPVPC, le commissaire n’est pas lié par les règles juridiques ou techniques en matière de preuve. Il tente plutôt d’agir rapidement et sans formalisme. Il est libre d’établir les règles concernant la conduite de l’investigation, notamment en matière de procédure à suivre et de preuve. Par ailleurs, il rend ces règles publiques (art. 91 et 92).
À la fin de l’investigation, le commissaire prend une décision qui expose ses conclusions quant à savoir si l’organisation a contrevenu à la LPVPC ou à un accord de conformité, toutes ordonnances rendues ou toutes recommandations au Tribunal d’infliger une pénalité. Le commissaire précise également les motifs de ses conclusions, de ses ordonnances ou de sa décision de faire des recommandations (art. 93).
Suivant le paragraphe 93(2) de la LPVPC, le commissaire peut ordonner à une organisation ce qui suit :
L’ordonnance rendue par le commissaire (ou par le Tribunal à l’issue d’un appel) peut être homologuée par la Cour fédérale en vue de son exécution (art. 104 à 106).
La LPVPC ne donne pas au commissaire le pouvoir d’imposer une pénalité. Seul le Tribunal peut infliger une pénalité sur recommandation du commissaire ou, de son propre chef à l’issue d’un appel, si le commissaire n’a pas formulé de recommandation en ce sens.
Le commissaire recommande une pénalité s’il conclut qu’une organisation a contrevenu à une ou plusieurs dispositions précises de la LPVPC 38. Il doit tenir compte de certains éléments, dont la nature et la portée de la violation, la preuve que l’organisation a pris les précautions voulues pour empêcher la contravention, les efforts raisonnables de l’organisation visant à atténuer ou neutraliser les incidences d’une contravention et les antécédents de l’organisation en matière de respect de la LPVPC. Il ne peut pas recommander une pénalité s’il est d’avis qu’au moment de la violation d’une disposition de la LPVPC, l’organisation se conformait aux exigences d’un programme de certification approuvé qui concerne cette disposition (art. 94).
L’appel de toute décision, conclusion ou ordonnance du commissaire se fait devant le Tribunal, qui peut rejeter l’appel ou y faire droit et substituer sa propre conclusion, ordonnance ou décision à celle en cause. La norme de contrôle applicable dans le cadre d’un appel est celle prévue dans la LPVPC (art. 101 à 103).
Le Tribunal peut, par ordonnance, infliger une pénalité à une organisation s’il a reçu une recommandation du commissaire ou si, à l’issue d’un appel en vertu du paragraphe 101(1) de la LPVPC, il décide qu’il est indiqué d’en infliger une même si le commissaire n’en a pas fait la recommandation. Pour décider s’il va infliger une pénalité à une organisation, le Tribunal se fonde sur les conclusions exposées dans la décision du commissaire (ou dans la sienne s’il la substitue à celle du commissaire à l’issue d’un appel) (par. 95(1) et 95(2)). Une pénalité ne peut être infligée à une organisation pour violation de la LPVPC si une poursuite a été engagée contre elle pour l’action ou l’omission qui constitue la violation en question ou si elle démontre qu’elle a pris les précautions voulues pour éviter une violation de la LPVPC (par. 95(3)).
Le montant maximal de la pénalité pour l’ensemble des violations est le plus élevé de « dix millions de dollars ou de 3 % des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel la pénalité est infligée » (par. 95(4)). Pour déterminer le montant de la pénalité, le Tribunal doit tenir compte des éléments suivants (par. 95(5)) :
La LPVPC précise que le but de la pénalité n’est pas de punir, mais de favoriser le respect de la présente loi (par. 95(6)).
Le commissaire peut, avec préavis, mener une vérification des pratiques d’une organisation en matière de gestion des renseignements personnels s’il a des motifs raisonnables de croire que l’organisation a contrevenu, contrevient ou est susceptible de contrevenir à la partie 1 de la LPVPC (art. 97). À l’issue de la vérification, il présente à l’organisation ses conclusions et les recommandations qu’il juge indiquées (art. 98).
La plupart des pouvoirs et attributions du commissaire sous le régime de la LPVPC demeurent les mêmes que ceux en vertu de la LPRPDE.
Par exemple, en matière d’examens, d’investigations et de vérifications, le commissaire peut assigner et contraindre des témoins à comparaître devant lui, ou visiter tout local occupé par l’organisation. Toutefois, aux termes de la LPVPC, il peut aussi rendre une ordonnance provisoire ou ordonner à une organisation de conserver un renseignement pertinent pour le temps nécessaire à l’examen d’une plainte, à l’investigation ou à la vérification (art. 99).
Par ailleurs, dans l’exercice de ses attributions, le commissaire tient compte de l’objet de la loi, de la taille et des recettes de l’organisation, du volume et du degré de sensibilité des renseignements personnels qui relèvent d’elle ainsi que de toute question d’intérêt public (art. 109).
Le commissaire conserve son mandat de promotion de l’objet de la LPVPC, auquel sont ajoutés les conseils qu’il peut offrir à une organisation au sujet de son programme de gestion de la protection des renseignements personnels ou les mesures correctives qu’il peut recommander à son égard (par. 110(1)). Il ne peut pas utiliser les politiques, pratiques et procédures comprises dans le programme d’une organisation pour prendre l’initiative d’une plainte ou procéder à une vérification, sauf s’il estime que, volontairement, l’organisation ignore les mesures correctives recommandées à l’égard de son programme (art. 111). Le commissaire doit aussi rendre public du contenu explicatif sur la manière dont il exerce les attributions que la LPVPC lui confère (art. 112).
Aux termes de l’article 113, le commissaire et les personnes qui agissent en son nom ou sous son autorité sont tenus au secret en ce qui concerne les renseignements dont ils prennent connaissance dans le cadre de l’exercice de presque toutes leurs attributions prévues par la LPVPC (par. 113(1) et 113(2)). Le commissaire peut cependant rendre publique toute information dont il prend connaissance dans le cadre de l’exercice de ses attributions, s’il estime que cela est dans l’intérêt public (par. 113(3)). Il peut aussi communiquer – ou autoriser les personnes agissant en son nom ou sous son autorité à communiquer – des renseignements, par exemple lors d’une audience ou d’un appel devant le Tribunal ou dans le cadre d’un contrôle judiciaire (par. 113(4), 113(5), 113(7) et 113(8)). S’il est d’avis qu’il existe des éléments de preuve touchant la perpétration d’infractions au droit fédéral ou provincial par un cadre ou un employé d’une organisation, le commissaire peut également communiquer au procureur général du Canada ou d’une province les renseignements qu’il détient à cet égard (par. 113(6)).
Le commissaire et les personnes agissant en son nom ou sous son autorité peuvent être appelés à témoigner à l’égard de questions venues à leur connaissance dans l’exercice des attributions que la LPVPC confère au commissaire, mais uniquement dans trois circonstances : dans le cadre de procédures intentées pour l’infraction visée à l’article 128 de la LPVPC; dans le cadre de procédures intentées en application du Code criminel (parjure) se rapportant à une déclaration faite en vertu de la LPVPC; ou dans le cadre d’une audience ou d’un appel devant le Tribunal (art. 114).
Le commissaire et les personnes agissant en son nom ou sous son autorité ne peuvent faire l’objet d’une poursuite au civil ou au criminel pour les actes accomplis de bonne foi dans le cadre de leurs fonctions. Ils bénéficient également d’une immunité contre les poursuites en diffamation (art. 115).
Aux termes de la LPVPC, le commissaire peut conclure des accords ou ententes avec le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) ou le commissaire à la concurrence en vue d’effectuer des recherches sur des questions d’intérêt commun et d’en publier les résultats (art. 118). Il peut consulter ses homologues provinciaux pour veiller à ce que les renseignements personnels soient protégés de la façon la plus uniforme possible et conclure des accords ou ententes avec eux, notamment pour coordonner les activités de leurs bureaux respectifs en prévoyant un mécanisme pour instruire une plainte dans laquelle ils ont un intérêt mutuel. En vertu de la procédure établie dans l’accord ou l’entente, le commissaire peut aussi communiquer des renseignements qui pourraient être utiles à ses homologues ou les aider à exercer leurs attributions en matière de protection des renseignements personnels (art. 119).
Le commissaire peut aussi communiquer certains renseignements à une personne ou à un organisme qui, au titre d’une loi d’un État étranger, a des attributions semblables aux siennes ou est chargé de réprimer des comportements semblables à ceux qui constitueraient une violation de la LPVPC. La communication de renseignements ne peut avoir lieu que si les deux parties ont conclu une entente écrite (art. 120).
Le commissaire dépose devant chaque Chambre du Parlement un rapport annuel sur l’application de la LPVPC, sur la mesure dans laquelle les provinces ont édicté des lois essentiellement semblables à la LPVPC et sur l’application de ces lois provinciales (art. 121).
La LPVPC introduit un droit privé d’action. Ce droit donne à l’individu touché par les actes ou omissions d’une organisation qui a contrevenu à la LPVPC, une cause d’action en dommages-intérêts. Le recours ne peut être exercé que si le commissaire ou le Tribunal a conclu que l’organisation a contrevenu à la LPVPC ou si cette dernière est condamnée à payer une amende pour infraction à cette loi en vertu de l’article 128. Un délai de prescription de deux ans s’applique à ce droit privé d’action.
L’article 128 prévoit que toute organisation qui contrevient à certaines dispositions précises de la LPVPC (art. 58, par. 60(1), art. 69 et 75, et par. 127(1)) ou à une ordonnance émise par le commissaire, ou qui fait obstruction au travail du commissaire pendant une vérification, une investigation ou l’examen d’une plainte, commet une infraction et encourt :
a) par mise en accusation, une amende maximale de 25 millions de dollars ou, s’il est supérieur, d’un montant égal à 5 % des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel elle a été condamnée;
b) par procédure sommaire, une amende maximale de 20 millions de dollars ou, s’il est supérieur, d’un montant égal à 4 % des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel elle a été condamnée.
Cela marque une augmentation considérable des amendes prévues à l’article 28 de la LPRPDE, selon lequel le montant maximal d’une amende pour infraction à cette loi s’élève à 100 000 $.
Contrairement à la pénalité administrative prévue à l’article 95 de la LPVPC, les amendes prévues à l’article 128 ne sont pas imposées par le Tribunal. Elles sont imposées par la cour à la suite d’une poursuite pour infraction, à la discrétion du procureur général du Canada.
Le gouverneur en conseil peut, par règlement, prendre toute mesure d’application de la LPVPC, par exemple pour régir la portée des activités d’affaires décrites à l’article 18 (al. 122(1)a)). Il peut aussi prévoir certaines choses par décret, notamment quelles organisations, activités ou catégories d’organisations sont soustraites à l’application de la LPVPC lorsqu’une loi provinciale qui a été reconnue comme y étant essentiellement semblable s’y applique (par. 122(2)). Il peut par ailleurs établir, par règlement, les critères et le processus qui permettent de conclure qu’une province a adopté une loi essentiellement semblable ainsi que les critères et processus qui lui permettent de reconsidérer cette conclusion (par. 122(3)).
Le gouverneur en conseil peut aussi prendre des règlements concernant les cadres de mobilité des données prévus à l’article 72 et les codes de pratique et programmes de certification prévus aux articles 76 à 81 de la LPVPC (art. 123 et 125). Les mesures d’application de la LPVPC prises par règlement au titre du paragraphe 122(1) ou de l’article 123 peuvent traiter de façon différente les catégories d’activités, d’institutions gouvernementales et de subdivisions de telles organisations, de renseignements, d’organisations ou d’entités (art. 124).
Une personne qui a des motifs raisonnables de croire qu’une autre personne a contrevenu à la partie 1 de la LPVPC ou a l’intention d’y contrevenir, peut dénoncer cette personne au commissaire et exiger l’anonymat (art. 126). La LPVPC interdit à un employeur de congédier, de suspendre, de rétrograder, de punir ou de harceler un employé ou de lui faire subir tout autre inconvénient lorsque cet employé, de bonne foi, informe le commissaire d’une violation de la LPVPC; refuse d’accomplir un acte qui va à l’encontre de la partie 1 de la LPVPC; ou a accompli ou fait part de son intention d’accomplir un acte nécessaire pour empêcher une violation de la partie 1 de la LPVPC. L’interdiction s’applique également si l’employeur croit que l’employé accomplira l’un des trois actes susmentionnés (art. 127).
Un examen de la LPVPC par un comité parlementaire est prévu tous les cinq ans (art. 129).
La LPVPC entre en vigueur à la date d’entrée en vigueur de l’article 3 du projet de loi, qui prévoit le changement du nom de la LPRPDE pour « Loi prévoyant l’utilisation de moyens électroniques pour communiquer ou enregistrer de l’information et des transactions ».
Les articles suivants de la LPVPC entrent en vigueur à une date fixée par décret :
Le projet de loi C-27 apporte des modifications corrélatives et connexes à d’autres lois. Il modifie la LPRPDE en en abrogeant plusieurs parties et en remplaçant son titre abrégé par « Loi sur les documents électroniques ». La modification réduit le champ d’application de la LPRPDE à l’utilisation, par le gouvernement fédéral, de moyens électroniques pour enregistrer ou communiquer de l’information (art. 3 à 8 du projet de loi). Le contenu des parties abrogées de la LPRPDE est reflété dans les parties 1 et 2 de la LPVPC.
Des modifications corrélatives et connexes sont aussi apportées à d’autres lois afin que celles-ci fassent référence à la LPVPC et à ses dispositions pertinentes ou au Tribunal (art. 9 à 32 du projet de loi). Par exemple :
Le projet de loi modifie aussi la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes et la Loi sur la concurrence pour conférer au CRTC et au commissaire de la concurrence le pouvoir de conclure des accords de recherche avec le commissaire à la protection de la vie privée, et d’élaborer la procédure à suivre pour communiquer des renseignements à ce dernier. Il modifie aussi la Loi sur les télécommunications pour autoriser la communication de certains renseignements avec le commissaire à la protection de la vie privée (art. 13, 14 et 16 du projet de loi).
Le projet de loi modifie quelques autres lois afin de remplacer toute référence à la LPRPDE par une référence à la LPVPC et à ses parties ou dispositions pertinentes (art. 15 et 17 à 32 du projet de loi). Il apporte aussi des modifications terminologiques à 13 lois afin de remplacer toute référence à la LPRPDE par une référence à la Loi sur les documents électroniques (art. 33 du projet de loi).
Les dispositions transitoires de la LPVPC précisent comment une plainte en instance sera traitée une fois que son article 82 entrera en vigueur. Par exemple, une plainte initiée avant l’entrée en vigueur de l’article 82 de la LPVPC est traitée en conformité avec la LPRPDE. Si le commissaire a des motifs raisonnables de croire que la violation en cause se poursuit au-delà de la date initiale du dépôt de la plainte, elle est traitée en conformité avec la LPVPC (art. 34 du projet de loi).
La partie 2 du projet de loi comprend deux articles. Le premier édicte la Loi sur le Tribunal, constituant ainsi le Tribunal (art. 37 du projet de loi). Le deuxième prévoit une modification connexe à la Loi sur le Service canadien d’appui aux tribunaux administratifs afin d’ajouter le Tribunal à la liste des tribunaux administratifs se trouvant à l’annexe de cette loi (art. 38 du projet de loi).
Selon la Loi sur le Tribunal, le ministre chargé de son application est le membre du Conseil privé de la Reine pour le Canada désigné, par décret, par le gouverneur en conseil ou, à défaut de désignation, le ministre de l’Industrie.
L’article 4 de la Loi sur le Tribunal constitue le Tribunal, dont la compétence est limitée. En effet, le Tribunal ne peut statuer que sur les appels interjetés en vertu des articles 101 ou 102 de la LPVPC, ou à l’égard de l’infliction de pénalités en vertu de l’article 95 de cette loi (art. 5).
Le Tribunal entend tout appel interjeté en lien avec une investigation du commissaire, une ordonnance de conformité donnée par le commissaire à une organisation ou une décision du commissaire de ne pas recommander qu’une pénalité soit infligée à l’organisation qui aurait contrevenu à la LPVPC (art. 101 de la LPVPC). Le Tribunal peut aussi autoriser tout appel découlant d’une ordonnance provisoire que le commissaire juge indiquée dans le cadre d’une plainte, d’une investigation ou d’une vérification (art. 102 de la LPVPC). Finalement, le Tribunal a la compétence voulue pour infliger une pénalité à une organisation lorsque les conditions prévues à l’article 95 de la LPVPC sont réunies.
Il semble donc impossible pour un plaignant ou une organisation de s’adresser au Tribunal sans d’abord s’adresser au commissaire.
Le Tribunal est formé de trois à six membres qui exercent leurs fonctions soit à temps plein, soit à temps partiel et qui sont désignés par le gouverneur en conseil sur recommandation du ministre. Au moins trois de ces membres possèdent de l’expérience dans le domaine du droit à l’information et à la protection des renseignements personnels (art. 6).
Le gouverneur en conseil désigne, parmi les membres, un président qui exerce ses fonctions à temps plein (art. 7). Le président assure la direction du Tribunal et en contrôle les activités. Par exemple, il est chargé de la répartition des affaires et du travail entre les membres, de la conduite des travaux du Tribunal et de son administration (par. 8(1)).
Le gouverneur en conseil peut également désigner un vice-président (art. 7). Le vice président est responsable d’exercer les fonctions du président en cas d’absence ou d’empêchement de ce dernier, ou en cas de vacance du poste de président (par. 8(2)). Si le président et le vice-président ne sont pas en mesure d’exercer leurs fonctions, un membre désigné par le ministre assure l’intérim pour une période ne dépassant pas 90 jours. Tout renouvellement de cette période nécessite l’approbation du gouverneur en conseil (art. 9).
La Loi sur le Tribunal garantit l’indépendance et l’impartialité des décideurs administratifs et prévoit des mesures qui permettent aux membres du Tribunal de conclure certaines affaires en cours malgré l’expiration de leur mandat.
Les membres du Tribunal sont nommés à titre inamovible pour un premier mandat maximal de cinq ans, sous réserve de révocation motivée par le gouverneur en conseil (art. 10). La Loi sur le Tribunal ne précise pas les conditions qui justifient une telle révocation.
Le mandat des membres du Tribunal peut être renouvelé plus d’une fois pour une période d’au plus trois ans chacune (par. 10(2)). Un membre dont le mandat est échu peut voir son mandat être prolongé d’un maximum de six mois à la demande du président pour lui permettre de participer aux décisions à rendre sur les affaires qu’il avait entendues, auquel cas il est réputé être un membre à temps partiel du Tribunal (par. 10(3)).
Les membres du Tribunal reçoivent une rémunération que fixe le gouverneur en conseil, en plus d’avoir droit aux frais de déplacement et de séjour associés à leurs fonctions dans certaines conditions. Ainsi, les membres à temps plein ont droit au paiement de leurs frais de déplacement et de séjour lorsqu’ils exécutent leurs fonctions hors de leur lieu de travail habituel, tandis que les membres à temps partiel y ont droit lorsqu’ils exécutent leurs fonctions hors de leur lieu de résidence habituel. Les membres peuvent aussi recevoir des indemnisations particulières pour maladies, blessures ou accident en leur qualité d’agents de l’État ou d’employé de l’administration publique fédérale. Seuls les membres à temps plein du Tribunal sont des employés de la fonction publique aux fins de la Loi sur la pension de la fonction publique (art. 11).
Un membre qui a un intérêt pécuniaire ou autre dans une affaire en cours susceptible d’être incompatible avec l’exercice de ses attributions ne peut entendre l’affaire, que ce soit seul ou en comité, et en avise sans délai le président du Tribunal (art. 12).
Selon la Loi sur le Tribunal, le siège du Tribunal est fixé au lieu désigné par le gouverneur en conseil ou, à défaut de désignation, il se trouve dans la région de la capitale nationale (art. 13). Les dates, les heures et la manière de siéger sont établies par le président du Tribunal (art. 14).
Le Tribunal n’est pas lié par les règles et techniques formelles applicables en matière de preuve lors des audiences, permettant ainsi une administration de la preuve beaucoup plus souple. Notamment, le Tribunal se fie à l’équité et à la justice naturelle afin d’agir rapidement, avec liberté et sans formalisme dans la mesure où les circonstances de l’audience le permettent. La charge de la preuve repose sur la norme de prépondérance des probabilités. Cependant, le Tribunal ne peut recevoir ni admettre en preuve tout élément qui serait normalement inadmissible devant un tribunal judiciaire. Par ailleurs, les parties peuvent choisir de se représenter elles-mêmes devant le Tribunal ou de nommer un représentant, comme un conseiller juridique.
Le Tribunal a toutes les attributions d’une cour supérieure d’archives en ce qui concerne la comparution, la prestation de serment, l’assignation et l’interrogatoire des témoins, la production et l’examen d’éléments de preuve, l’exécution de ses décisions et toutes autres questions relevant de sa compétence (par. 16(1)).
Les décisions du Tribunal peuvent être assimilées à des ordonnances de la Cour fédérale ou de toute cour supérieure. L’exécution de ces décisions s’effectue selon les mêmes modalités qu’une décision de la cour en question. La procédure d’assimilation se fait selon les normes du tribunal saisi ou par la production d’une copie certifiée de la décision au greffe du tribunal (par. 16(2) et 16(3)).
Le Tribunal communique ses décisions par écrit aux parties et précise les motifs qui les appuient. Le Tribunal se charge de rendre publiques ses décisions ainsi que ses motifs, tout en garantissant l’anonymat de tout plaignant qui n’a pas accordé son consentement à la divulgation de renseignements personnels qui peuvent être utilisés pour l’identifier (art. 17 et 18).
Le Tribunal peut, avec l’agrément du gouverneur en conseil, établir ses propres règles de procédures en conformité avec la Loi sur le Tribunal ou la LPVPC. Plus particulièrement, le Tribunal établit lui-même les règles concernant le moment où il rend ses décisions publiques ainsi que les éléments qui seront pris en considération afin de décider s’il dévoile le nom d’une organisation touchée par une décision. Le Tribunal rend publiques les règles de procédure qu’il établit (art. 19).
Le Tribunal peut adjuger des dépens 39, à sa discrétion, pourvu que le tout soit fait en conformité avec ses règles (art. 20).
Les décisions du Tribunal sont définitives et exécutoires. Elles ne sont pas susceptibles d’appel ou de révision en justice, sous réserve du contrôle judiciaire prévu par la Loi sur les Cours fédérales (art. 21).
La Loi sur le Tribunal ne contient pas de disposition d’entrée en vigueur. Elle entre donc en vigueur au moment de la sanction royale.
La Loi sur l’IA est divisée en trois parties et contient 41 articles. La partie 1 de la Loi sur l’IA traite de la réglementation des systèmes d’IA dans le secteur privé (art. 5 à 37). La partie 2 de la Loi sur l’IA énonce des infractions générales liées aux systèmes d’IA (art. 38 à 40). Enfin, la partie 3 contient la disposition d’entrée en vigueur de la Loi sur l’IA (art. 41). Les dispositions de la Loi sur l’IA entrent en vigueur à la date ou aux dates fixées par décret.
Le champ d’application de la Loi sur l’IA se limite au secteur privé, dans le cadre des échanges ou du commerce internationaux ou interprovinciaux liés aux systèmes d’IA. Ainsi, elle ne s’applique pas aux institutions fédérales au sens de l’article 3 de la Loi sur la protection des renseignements personnels ni aux produits, services ou activités qui relèvent de la compétence ou de l’autorité des personnes suivantes :
La Loi sur l’IA a pour objet :
Selon le paragraphe 5(1) de la Loi sur l’IA, le terme « préjudice » s’entend de « préjudice physique ou psychologique subi par un individu, dommage à ses biens ou perte économique subie par un individu ». Le terme « préjudice sérieux » n’est pas défini dans la loi. Le terme « préjudice important » n’est également pas défini dans la loi, même s’il est utilisé à l’article 12. Ce qui constitue ou non un « préjudice important » à l’article 12 sera déterminé par règlement (art. 36).
Les exigences prévues en vertu de la Loi sur l’IA s’appliquent en lien avec les activités réglementées. Aux fins de l’application de la Loi sur l’IA « le traitement ou le fait de rendre disponibles des données liées à l’activité humaine afin de concevoir, de développer ou d’utiliser un système d’[IA] » et « la conception, le développement ou le fait de rendre disponible un système d’[IA] ou la gestion de son exploitation » dans le cadre des échanges ou du commerce internationaux ou interprovinciaux sont considérés comme des « activités réglementées » (art. 5).
La personne qui, dans le cadre d’une activité réglementée, traite ou rend disponibles des données anonymisées, doit établir des mesures concernant la manière d’anonymiser ces données et l’utilisation ou la gestion des données anonymisées (art. 6) 40.
Conformément aux règlements, le responsable d’un système d’IA (la personne qui le conçoit, le développe ou le rend disponible) doit évaluer si ce système a une incidence élevée, c’est-à-dire si le système satisfait aux critères d’un système à incidence élevée établis par règlement. Dans l’affirmative, le responsable du système doit établir des mesures visant à cerner, évaluer et atténuer les risques de préjudice ou de résultats biaisés que pourrait entraîner l’utilisation de ce système. Il doit aussi établir des mesures visant à assurer le respect des mesures d’atténuation mises en place et à évaluer leur efficacité (art. 7 à 9).
Le terme « résultat biaisé » est défini ainsi au paragraphe 5(1) de la Loi sur l’IA :
Contenu généré, prédiction ou recommandation faite ou décision prise par un système d’intelligence artificielle qui défavorisent, directement ou indirectement et sans justification, un individu sur le fondement d’un ou plusieurs motifs de distinction illicite prévus à l’article 3 de la Loi canadienne sur les droits de la personne, ou de leur effet combiné. Sont exclus le contenu, la prédiction, la recommandation et la décision qui sont destinés à supprimer, diminuer ou prévenir les désavantages que subit ou subira vraisemblablement un groupe d’individus pour des motifs fondés, directement ou indirectement, sur un motif de distinction illicite et qui ont pour effet de le faire.
Une personne qui exerce une activité réglementée doit tenir des documents énonçant, en termes généraux, les mesures relatives à l’anonymisation des données et au système à incidence élevée, y compris les motifs qui justifient l’évaluation qu’elle fait du système d’IA pour déterminer s’il s’agit ou non d’un système à incidence élevée (art. 10).
Une personne qui rend disponible un système d’IA à incidence élevée ou qui en gère l’exploitation doit publier, sur un site Web accessible au public, une description en langage clair du système qui prévoit, notamment : l’utilisation visée ou celle qui en est faite; le contenu qu’il est censé générer ou qui est généré; les prédictions ou recommandations qu’il est censé faire ou qui sont faites; ou les décisions qu’il est censé prendre ou qui sont prises. Cette personne doit aussi publier les mesures d’atténuation établies à l’égard du système d’IA à incidence élevé et tout autre renseignement prévu par règlement (art. 11).
Au terme de la Loi sur l’IA, le responsable d’un système d’IA à incidence élevée doit aviser dès que possible le ministre compétent si l’utilisation de ce système entraîne ou entraînera vraisemblablement un préjudice important (art. 12).
Le ministre chargé de l’application de la Loi sur l’IA peut, par ordonnance, exiger d’une personne qui exerce une activité réglementée qu’elle fournisse les documents qu’elle tient en vertu de l’article 10 de la Loi sur l’IA, y compris lorsqu’il a des motifs raisonnables de croire que l’utilisation d’un système d’IA à incidence élevée pourrait entraîner un préjudice ou donner un résultat biaisé (art. 13 et 14).
Si le ministre a des motifs raisonnables de croire qu’une personne a contrevenu à l’un des articles 6 à 12 ou à une ordonnance prise au titre des articles 13 et 14 de la Loi sur l’IA, il peut ordonner à cette personne d’effectuer à ses frais une vérification concernant cette possible contravention ou de retenir les services d’un vérificateur indépendant pour le faire. La vérification doit être faite par une personne qui possède certaines qualifications prévues par règlement, et la personne qui l’objet de la vérification doit fournir le rapport de vérification au ministre (art. 15).
Le ministre peut ordonner la mise en œuvre de toute mesure en réponse au rapport de vérification (art. 16). Lorsqu’il a des motifs raisonnables de croire que l’utilisation d’un système à incidence élevé entraîne un risque grave de préjudice imminent, il peut ordonner au responsable du système de cesser de l’utiliser ou de le rendre disponible (art. 17).
Le ministre peut aussi ordonner la publication de renseignements se rapportant aux exigences imposées en vertu des articles 6 à 12 de la Loi sur l’IA ou aux ordonnances rendues en vertu des articles 15 et 16 de la même loi. Il ne peut toutefois pas exiger la divulgation de renseignements commerciaux confidentiels (art. 18).
Le ministre peut déposer à la Cour fédérale une copie certifiée d’une ordonnance rendue en vertu des articles 13 à 18 de la Loi sur l’IA, auquel cas cette ordonnance est dès lors assimilée à une ordonnance rendue par cette cour et peut être exécutée comme telle (art. 20).
Le ministre prend des mesures pour assurer la confidentialité des renseignements commerciaux confidentiels qu’il obtient sous le régime de la partie 1 de la Loi sur l’IA. Ces renseignements ne perdent pas leur caractère confidentiel du seul fait que le ministre les a obtenus ou qu’il les a communiqués au titre des articles 25 et 26 (art. 22 et 23).
Le ministre peut communiquer des renseignements commerciaux confidentiels dans certains cas, par exemple si la communication est exigée par assignation, mandat ou ordonnance d’un tribunal. Il peut aussi communiquer ces renseignements à un analyste désigné pour l’exécution et le contrôle d’application de la partie 1 de la Loi sur l’IA (art. 24 et 25).
Le ministre peut aussi communiquer des renseignements personnels ou commerciaux confidentiels obtenus en vertu de la partie 1 de la Loi sur l’IA à d’autres personnes ou entités qui assurent l’exécution ou le contrôle d’application d’une loi fédérale ou provinciale, comme le commissaire à la protection de la vie privée du Canada et ses homologues provinciaux (art. 26) 41. Pour se faire, le ministre doit :
Pour encourager le respect de la partie 1 de la Loi sur l’IA, et s’il estime qu’il est dans l’intérêt public de le faire, le ministre peut publier, sur un site Web accessible au public, des renseignements concernant toute contravention à cette partie. Il peut aussi publier des renseignements relatifs à un système d’IA qu’il a obtenus s’il a des motifs raisonnables de croire que l’utilisation du système entraîne un risque grave de préjudice imminent et que la publication de ces renseignements est essentielle pour prévenir ce préjudice. Il ne peut cependant pas publier des renseignements personnels ou des renseignements commerciaux confidentiels (art. 27 et 28).
Le gouverneur en conseil peut prendre des règlements concernant un régime de sanctions administratives pécuniaires. Par exemple, il peut prendre des règlements désignant les dispositions dont la contravention représente une violation de la loi ainsi que des règlements concernant le montant de la sanction administrative pécuniaire à imposer ou le barème de sanctions et les critères à prendre en compte pour la détermination de la sanction. Le but de la sanction est de favoriser le respect de la partie 1 de la Loi sur l’IA et non de punir. Si un acte ou une omission est qualifiable à la fois de violation et d’infraction, une seule procédure (administrative ou pénale) peut prendre place.
Lorsqu’une personne contrevient à l’un des articles 6 à 12 de la Loi sur l’IA, elle commet une infraction. Lorsqu’une personne qui exerce une activité réglementée entrave l’action du ministre ou de la personne agissant pour son compte, ou du vérificateur indépendant, ou fournit à ces personnes des renseignements faux ou trompeurs, elle commet une infraction. La personne qui commet l’une de ces infractions encourt une peine sous la forme d’une amende. Le montant de l’amende varie en fonction de la manière par laquelle la déclaration de culpabilité est obtenue et à qui elle s’applique :
a) [déclaration de culpabilité] par mise en accusation :
(i) dans le cas d’une personne qui n’est pas un individu, une amende maximale de dix millions de dollars ou, s’il est supérieur, d’un montant égal à 3 % des recettes globales brutes de la personne au cours de son exercice précédant celui pendant lequel elle a été condamnée,
(ii) dans le cas d’un individu, une amende dont le montant est fixé par le tribunal;
b) [déclaration de culpabilité] par procédure sommaire :
(i) dans le cas d’une personne qui n’est pas un individu, une amende maximale de cinq millions de dollars ou, s’il est supérieur, d’un montant égal à 2 % des recettes globales brutes de la personne au cours de son exercice précédant celui pendant lequel elle a été condamnée,
(ii) dans le cas d’un individu, une amende maximale de cinquante mille dollars 42.
La peine est imposée à la suite d’une procédure pénale devant un tribunal.
Pour prouver l’infraction, il suffit d’établir qu’elle a été commise par un employé ou un mandataire de l’accusé. Toutefois, l’accusé ne peut être déclaré coupable d’une infraction s’il prouve qu’il a pris toutes les précautions voulues pour prévenir sa perpétration. Il peut aussi se disculper en prouvant que la perpétration de l’infraction a eu lieu à son insu ou sans son consentement (par. 30(4) et 30(5)).
Le ministre chargé de l’application de la Loi sur l’IA est désigné par le gouverneur en conseil (art. 31). Il peut sensibiliser et éduquer le public à l’égard de la Loi sur l’IA, faire des recommandations sur l’établissement de mesures visant à faciliter le respect de la partie 1 de cette loi et établir des lignes directrices à cet effet (art. 32). Il peut désigner un commissaire à l’intelligence artificielle et aux données, auquel il délègue les attributions qui lui sont conférées sous le régime de la partie 1 de la Loi sur l’IA, sauf le pouvoir de prendre des règlements (art. 33). Il peut aussi désigner tout individu à titre d’analyste pour l’exécution et le contrôle d’application de la partie 1 de la Loi sur l’IA, constituer un comité consultatif chargé de lui fournir des conseils sur toute question relative à cette partie et publier les conseils formulés par ce comité (art. 34 et 35).
Par ailleurs, le ministre peut prendre des règlements concernant, entre autres, les documents à tenir au titre de l’article 10 de la Loi sur l’IA, prévoyant les modalités applicables à la publication des descriptions prévues aux paragraphes 11(1) et 11(2), concernant l’avis de préjudice important à donner au titre de l’article 12 et concernant la publication de renseignements prévue à l’article 18 (art. 37). Les autres règlements concernant l’application de la partie 1 sont pris par le gouverneur en conseil (art. 36).
Une personne commet une infraction si elle possède des renseignements personnels dans le but de concevoir, de développer, d’utiliser ou de rendre disponible un système d’IA, alors qu’elle sait ou croit que ces renseignements ont été obtenus ou qu’ils proviennent directement ou indirectement de la perpétration d’une infraction sous le régime d’une loi fédérale ou provinciale, ou d’une omission ou d’un acte survenu à l’extérieur du Canada qui aurait constitué une telle infraction s’il était survenu au Canada (art. 38) 43.
Si une personne qui n’a pas d’excuse légitime et qui sait, ou ne se soucie pas de savoir, que l’utilisation d’un système d’IA pourrait vraisemblablement causer un préjudice physique ou psychologique sérieux à un individu (ou un dommage considérable à ses biens), rend ce système disponible et cause un tel préjudice, elle commet une infraction. En outre, une personne qui, avec l’intention de frauder le public et de causer une perte économique considérable à un individu, rend disponible un système d’IA dont l’utilisation cause cette perte économique, commet une infraction en vertu de la Loi sur l’IA (art. 39).
La peine que peut encourir la personne qui commet l’une des infractions générales susmentionnées varie en fonction de la manière par laquelle la déclaration de culpabilité est obtenue et à qui elle s’applique :
a) [déclaration de culpabilité] par mise en accusation :
(i) dans le cas d’une personne qui n’est pas un individu, une amende maximale de vingt-cinq millions de dollars ou, s’il est supérieur, d’un montant égal à 5 % des recettes globales brutes de la personne au cours de son exercice précédant celui pendant lequel elle a été condamnée,
(ii) dans le cas d’un individu, une amende dont le montant est fixé par le tribunal et une peine d’emprisonnement maximale de cinq ans moins un jour, ou l’une de ces peines;
b) [déclaration de culpabilité] par procédure sommaire :
(i) dans le cas d’une personne qui n’est pas un individu, une amende maximale de vingt millions de dollars ou, s’il est supérieur, d’un montant égal à 4 % des recettes globales brutes de la personne au cours de son exercice précédant celui pendant lequel elle a été condamnée,
(ii) dans le cas d’un individu, une amende maximale de cent mille dollars et une peine d’emprisonnement maximale de deux ans moins un jour, ou l’une de ces peines 44.
À l’instar des autres infractions prévues en vertu de la Loi sur l’IA, la peine est imposée à la suite d’une procédure pénale devant les tribunaux.
(2,14 Mo, 87 pages), 2019. Le concept de vie privée dès la conception signifie la prise en compte du droit à la vie privée depuis la conception initiale d’un produit ou d’un service jusqu’au déploiement et à la mise en œuvre à long terme, par exemple, à l’aide d’une évaluation des facteurs relatifs à la vie privée. [ Retour au texte ] (9,15 Mo, 120 pages), douzième rapport, février 2018. [ Retour au texte ] (7,26 Mo, 62 pages), seizième rapport, juin 2018; et ETHI, Démocratie menacée : risques et solutions à l’ère de la désinformation et du monopole des données (1,13 Mo, 104 pages), dix-septième rapport, décembre 2018. [ Retour au texte ] (3,36 Mo, 78 pages), quatrième rapport, mai 2022. [ Retour au texte ]© Bibliothèque du Parlement