Le paysage canadien de la protection de la vie privée en 2023 évolue. Dans cet article, nous vous donnons un aperçu des derniers développements dans le paysage canadien de la protection des données. Ce faisant, nous couvrons les prochaines exigences en matière de confidentialité au Québec, la nouvelle réglementation sur l’IA, en particulier en vertu de la Loi sur la protection des renseignements personnels des consommateurs (projet de loi C-27), et d’autres mises à jour sur la confidentialité d’autres provinces canadiennes concernant la réglementation de l’IA.
Si vous êtes un résident canadien ou si vous faites des affaires au Canada, vous devrez peut-être vous assurer que votre entreprise est conforme aux modifications à venir de la législation canadienne.
Vous trouverez ci-dessous un aperçu des détails et de l’impact potentiel sur votre entreprise.
Nouvelle phase des exigences de confidentialité du Québec en vigueur le 22 septembre 2023
La Loi sur la protection des renseignements personnels dans le secteur privé (« RPPSP » ) du Québec est mise à jour dans un deuxième tour par le projet de loi 64 , maintenant la loi 25 , et devrait entrer en vigueur le 22 septembre 2023. D’ici là, les entreprises qui font affaire au Québec doivent répondre, entre autres, aux principales exigences suivantes :
- La réalisation d’une évaluation des facteurs relatifs à la vie privée (PIA) est désormais obligatoire : les organisations doivent désormais effectuer une PIA pour chaque activité sensible à la vie privée. Autrement dit, si votre entreprise s’engage dans des activités sensibles à la vie privée impliquant, entre autres, la collecte, le traitement ou le stockage de données personnelles, le traitement de données biométriques ou le partage et la divulgation d’informations.
- Les politiques doivent être mises à jour : les entreprises doivent désormais donner aux utilisateurs la possibilité de conserver ou de supprimer leurs données personnelles. La politique mise à jour doit maintenant expliquer les rôles et les responsabilités des employés qui traitent les renseignements personnels tout au long de leur cycle de vie, ainsi que la façon dont l’entreprise traite les plaintes.
- Autres droits pour les individus : La loi 25 établit des droits pour les individus, notamment le droit à la portabilité des données, à la prise de décision automatisée, au profilage des données et à l’oubli. Les personnes ont des droits supplémentaires de retrait du traitement ultérieur et de la divulgation de leurs données personnelles.
- Accords de traitement de données avec des prestataires de services contenant des dispositions spécifiques : la loi 64 oblige les organisations qui ne l’ont pas encore fait à conclure des accords de traitement de données écrits avec des prestataires de services avec lesquels ils partagent des données personnelles.
- Pénalités : à l’instar des lois européennes sur la protection des données, telles que le RGPD, les nouvelles lois canadiennes sur la protection des données prévoient des sanctions pouvant atteindre 50 000 $ par personne et jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’année précédente d’une entreprise, selon le montant le plus élevé.
Nouveaux règlements sur l’IA en vertu de la Loi sur la protection des renseignements personnels des consommateurs (projet de loi C-27) :
Le projet de loi C-27 du Canada, la Loi sur la protection de la vie privée des consommateurs, entre en deuxième lecture depuis sa création en juin 2022. Cette loi, qui n’est pas encore entrée en vigueur, remplacerait la législation actuelle sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») et, ensemble, la Loi sur la protection de la vie privée des consommateurs (« CPPA »), la Loi sur le Tribunal de la protection des renseignements personnels et des données. (« PIDPTA ») et la loi sur l’intelligence artificielle et les données (« AIDA »).
De même, le Commissariat à la protection de la vie privée du Canada (CPVP) a formulé 15 recommandations importantes sur le projet de loi C-27. Celles-ci comprennent la reconnaissance de la vie privée comme un droit fondamental, le droit d’accéder aux données personnelles, la création d’une culture de la vie privée dans les organisations pour développer des produits et services basés sur le principe de « vie privée dès la conception », et l’obligation pour les organisations de contrôler leurs décisions et la création de profils par systèmes automatisés de prise de décision pour expliquer sur demande.
AIDA , un nouveau règlement répondant au paysage changeant et en évolution rapide de l’intelligence artificielle (IA), imposera de nouvelles lois sur l’utilisation des systèmes d’IA. Par conséquent, si vous faites des affaires au Canada, il est important que vous commenciez à réfléchir dès maintenant à la façon dont votre entreprise utilise l’IA et aux mesures que vous prenez pour protéger la vie privée et les renseignements personnels de vos utilisateurs. Semblable aux lois précédentes sur la confidentialité, AIDA vous oblige à expliquer quelles données vous collectez, comment vous les collectez et que les individus peuvent demander l’accès à ces données. Ils doivent expliquer le fonctionnement de l’algorithme et être disposés à divulguer les informations de manière transparente. Ceci s’applique également aux fournisseurs tiers qui utilisent des systèmes d’IA.
Le projet de loi C-27 est actuellement en deuxième lecture et subira probablement plusieurs modifications avant de devenir officiellement loi.
D’autres États canadiens emboîtent le pas en réglementant les systèmes d’IA :
Depuis mai, les commissaires à la protection de la vie privée du Canada et, au niveau fédéral, les commissaires à la protection de la vie privée du Québec, de la Colombie-Britannique et de l’Alberta ont lancé conjointement une enquête sur OpenA I, l’entreprise à l’origine du chatbot à intelligence artificielle ChatGPT.
Entre autres choses, il examine si OpenAI a obtenu un consentement valide et approprié pour la collecte et l’utilisation par ChatGPT des données personnelles des résidents canadiens, s’il a satisfait à ses obligations de transparence et de responsabilité, et si les données personnelles collectées sont basées sur les données spécifiées et fins prévues sont limitées dans la mesure nécessaire.
Une déclaration de Philippe Dufresne, commissaire à la protection de la vie privée du Canada, signale la volonté du Canada de rester à l’avant-garde des technologies en évolution comme l’intelligence artificielle, tout en mettant la vie privée au premier plan.
« L’intelligence artificielle et son impact sur la vie privée sont des enjeux mondiaux qui préoccupent au plus haut point les organismes de réglementation de la protection de la vie privée au Canada et dans le monde. En tant qu’organismes de réglementation, nous devons suivre le rythme et garder une longueur d’avance sur les avancées technologiques rapides afin de protéger les droits fondamentaux à la vie privée des Canadiens. »
Source:
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/
Les entreprises basées au Canada peuvent déjà s’engager sur la voie d’une conformité complète avec consentmanager . Cliquez ici pour voir notre page consacrée à la conformité canadienne.
