![[IA ET DONNÉES] Ce qu’impliquent la Loi 25 et le projet de loi C-27 pour les entreprises](https://www.cscience.ca/wp-content/uploads/2023/03/338722149_120636784290153_3508856431139428791_n-1920x820.jpg)
De nouveaux cadres légaux, comme le projets de loi C-27 et la Loi 25, visent à amorcer une meilleure gouvernance de l’intelligence artificielle (IA) et une gestion des données personnelles plus sécuritaire. Quelles sont les répercussions de ces mesures sur les entreprises et les organisations? En quoi ces nouvelles obligations légales assurent une protection améliorée des données personnelles des consommateurs?
La conférence IA et la protection des données personnelles, qui s’est déroulée le 30 mars dans le cadre des matinales de l’IA de Moov AI, visait à répondre à ces questions.
Si des mesures d’encadrement juridique quant à ces enjeux technologiques commencent à émerger, elles demeurent néanmoins insuffisantes : « Les progrès technologiques sont fulgurants et, malheureusement, les cadres juridiques n’évoluent pas suffisamment rapidement pour conserver et préserver les droits des individus. Si l’appareil juridique ne peut évoluer assez rapidement, il est indispensable que ce soit la société civile qui abordent ces questions en amont et collectivement », lance d’entrée de jeu Delphine Le Serre, vice-présidente de l’Académie de formation chez Moov AI.
« Les progrès technologiques sont fulgurants, et malheureusement, les cadres juridiques n’évoluent pas suffisamment rapidement pour conserver et préserver les droits des individus. »
– Delphine Le Serre, vice-présidente de l’Académie de formation chez Moov AI
Les grandes lignes de la Loi 25
La Loi 25 est entrée en vigueur en septembre 2022. Elle oblige les entreprises à se conformer à différentes normes assurant la protection des données personnelles des consommateurs. Entre autres, une personne dans l’entreprise doit être nommée responsable de la protection des données personnelles, et doit aviser la Commission d’accès à l’information (CAI) en cas d’incident impliquant des préjudices sérieux. La Loi 25 garantit aussi une meilleure protection des mineurs de moins de 14 ans en requérant le consentement des parents pour la collecte de leurs données personnelles.
« La Loi 25 instaure de nouveaux droits, de nouvelles obligations, surtout au niveau procédural. Il y a beaucoup d’éléments ajoutés dont il faut maintenant tenir compte au jour le jour dans une pratique de données, pour intégrer ces nouveaux processus », explique Francis Langlois, sociétaire et avocat chez McCarthy Tétrault.
La notion de consentement est au cœur de la Loi 25, surtout lorsqu’il est question de renseignements personnels sensibles, c’est-à-dire de renseignements qui, selon la CAI, « suscitent un haut degré d’attente raisonnable en matière de vie privée » et dont la divulgation aurait un impact de haut degré pour l’individu. Un consentement exprès (signature, cocher une case) et des mesures de sécurité sont nécessaires à la collecte de renseignements sensibles. Un consentement illicite peut cependant être suffisant pour la collecte de renseignements non sensibles.
Toutefois, plusieurs exceptions entreront en vigueur le 22 septembre 2023. Celles-ci feront en sorte qu’il y aura « un peu plus de marge de manœuvre pour certaines utilisations des données, qui peuvent être utilisées à d’autres fins (que pour celles obtenues lors du consentement) », note M. Langlois. La Loi 25 permettra donc l’utilisation d’un renseignement personnel sans le consentement de la personne concernée, dans certains cas précis :
- Lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli ;
- Lorsque son utilisation est manifestement au bénéfice de la personne concernée ;
- Lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité ;
- Lorsque son utilisation est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée ;
- Lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé.
« On passe d’un régime où les sanctions étaient une tape sur les doigts et étaient essentiellement une atteinte à la réputation. Maintenant, on parle de sanctions monétaires, administratives et pénales. »
– Francis Langlois, sociétaire et avocat chez McCarthy Tétrault
Des sanctions plutôt sévères sont prévues pour les entreprises ne respectant pas la Loi 25. Des montants de 25 millions de dollars ou de 4% du chiffre d’affaires mondial de l’organisation pourraient être imposés comme sanction. « On passe d’un régime où les sanctions étaient une tape sur les doigts et étaient essentiellement une atteinte à la réputation. Maintenant, on parle de sanctions monétaires, administratives (qui peuvent être imposées par la CAI directement) et pénales. Ces sanctions peuvent doubler en cas de récidive. On parle vraiment de sanctions qui se rapprochent du régime qui existe en Europe », énonce M. Langlois.
Vers une réglementation de l’IA
S’il y a actuellement beaucoup de craintes liées à l’IA, certaines normes internationales émergentes (comme ISO/IEC 42001 ou NIST AI Risk Management Framework) sont en développement, bien que la réglementation sur l’IA soit très limitée.
https://www.cscience.ca/2023/03/21/intelligence-artificielle-lurgence-de-se-doter-dune-gouvernance-de-lia/
Au Canada, le projet de loi C-27 promet l’amélioration de la protection de la vie privée des consommateurs. « Le projet de loi C-27 est venu avec trois lois : une mise à jour et refonte complète de la loi fédérale PIPEDA (la Loi sur la protection des renseignements personnels et les documents électroniques), une nouvelle loi sur un tribunal des données au Canada, qui est quelque chose qu’on n’a pas au Québec, et une loi sur l’IA et les données », soulève M. Langlois.
Pour le moment, aucune date ne promet la mise en vigueur de ce projet de loi, qui est encore assez peu détaillé au niveau de son application. Le projet de loi C-27 aura comme priorité d’imposer au secteur privé des obligations de gouvernance et de transparence avec la Loi sur l’intelligence artificielle et les données (LIAD). Un ministre désigné administrera la LIAD, et des sanctions salées sont prévues pour le non-respect de cette loi.
La prochaine conférence des matinales de l’IA de Moov Ai aura lieu le 4 mai prochain et portera sur l’IA générative.
Crédit Image à la Une : Roxanne Lachapelle
![[Émission C+Clair] Maladies rares : comment optimiser les efforts de la recherche ?](https://www.cscience.ca/wp-content/uploads/2024/04/emission-maladies-rares3-480x362.jpg)
