Sélection de la langue

Recherche

Comparution devant le Comité permanent de l’industrie et de la technologie (INDU) au sujet de l’étude du projet de loi C-27

Le 28 septembre 2023

Ottawa (Ontario)

Déclaration de Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi.)


Bonjour Monsieur le Président et mesdames et messieurs les membres du Comité.

Je suis heureux d’être ici aujourd’hui pour aider le Comité dans son étude du projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, qui édicterait la Loi sur la protection de la vie privée des consommateurs (LPVPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données ainsi que la Loi sur l’intelligence artificielle et les données (LIAD). Je suis accompagné de Michael Maguire, directeur des enquêtes liées à la LPRPDE, et de Lara Ives, directrice exécutive, Politiques, recherche et affaires parlementaires.

Je tiens d’abord à préciser que j’accueille favorablement le dépôt du projet de loi. Ce dépôt est, selon moi, un signe encourageant.

Le Commissariat à la protection de la vie privée du Canada réclame depuis longtemps la modernisation de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de la Loi sur la protection des renseignements personnels. Les Canadiennes et les Canadiens s’attendent à des lois modernes sur la protection des renseignements personnels qui protégeront leur droit fondamental à la vie privée, tout en servant l’intérêt public et en favorisant l’innovation.

À de nombreux égards, le projet de loi C-27 constitue une amélioration par rapport à la LPRPDE et à l’ancien projet de loi C-11. Le nouveau projet de loi à l’étude répond à un certain nombre de préoccupations qu’ont déjà exprimées le Commissariat et d’autres instances. Par exemple, en plus d’exiger que les renseignements utilisés pour obtenir le consentement soient présentés dans un langage facile à comprendre, il accorde au Commissariat le pouvoir de rendre des ordonnances et prévoit une liste élargie des contraventions auxquelles des sanctions administratives pécuniaires peuvent s’appliquer, le cas échéant.

L’adoption de la LIAD ferait du Canada l’un des premiers pays à réglementer l’intelligence artificielle (IA), ce qui est important compte tenu des risques éventuels de cette technologie. Bien que cette loi n’aborde pas expressément les risques d’atteinte à la vie privée, la LPVPC s’appliquerait au traitement des renseignements personnels dans les systèmes d’IA.

Le projet de loi C-27 représente un pas dans la bonne direction, mais il peut et doit être amélioré davantage pour protéger le droit fondamental à la vie privée des Canadiennes et des Canadiens, tout en servant l’intérêt public et en favorisant l’innovation. Dans le mémoire que nous avons présenté au Comité, nous formulons 15 recommandations clés et indiquons les changements qui s’imposent pour améliorer et renforcer ce projet de loi. Ces recommandations reposent sur les trois thèmes de ma vision de la protection de la vie privée, qui sont les suivants :

  1. la protection de la vie privée est un droit fondamental;
  2. la protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation;
  3. la protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et en tant que citoyens numériques.

Je soulignerai ici quelques-unes de nos recommandations, mais j’invite les membres du Comité à aussi consulter la version intégrale de notre mémoire.

Sous le thème de la protection de la vie privée en tant que droit fondamental, nous recommandons de renforcer le préambule et l’énoncé d’objet afin qu’on y reconnaisse explicitement le respect de la vie privée comme droit fondamental et qu’on y fasse valoir la nécessité de protéger la vie privée des enfants et l’intérêt supérieur de l’enfant, de sorte que ces principes importants orientent l’interprétation de tous les aspects de la loi. Nous recommandons également que les fins visées par les organisations lorsqu’elles recueillent, utilisent ou communiquent des renseignements personnels soient explicites et indiquées, et que des sanctions soient prévues dans les cas où les renseignements personnels des Canadiennes et des Canadiens sont recueillis, utilisés ou communiqués à des fins qui ne sont pas acceptables. Étant donné l’importance de ces règles quant aux fins acceptables, il faut prévoir des recours efficaces pour en assurer le respect.

En ce qui concerne le thème de la protection de la vie privée pour favoriser l’intérêt public, nous recommandons d’exiger que les organisations mettent en œuvre des mesures de protection de la vie privée dès la conception et qu’elles mènent des évaluations des facteurs relatifs à la vie privée pour les initiatives à risque élevé. Il s’agit là d’une importante mesure de protection qui s’appliquerait aux systèmes d’IA à incidence élevée. Nous recommandons aussi que la définition de « renseignements dépersonnalisés » soit modifiée afin d’y intégrer le risque de repersonnalisation et que le pouvoir du gouvernement de régir par voie de règlement soit défini de manière plus précise. Au sujet de ce dernier point, je tiens à attirer votre attention sur le fait que le projet de loi donne actuellement au gouvernement le pouvoir trop large de soustraire complètement des activités à l’application de la LPVPC et de permettre de nouvelles exceptions à l’obligation d’obtenir un consentement pour les activités d’affaires sans avoir à démontrer que ces dernières sont nécessaires. Nous recommandons également que les Canadiennes et les Canadiens aient le droit de demander une explication lorsqu’un système d’IA est utilisé pour faire une prédiction, formuler une recommandation ou prendre une décision qui les concerne.

Pour ce qui est de la protection de la vie privée comme un moyen pour accentuer la confiance des Canadiennes et des Canadiens, il faut s’assurer que la plupart des cas puissent être réglés rapidement et sans avoir recours à de longues procédures judiciaires. En ce sens, nous recommandons que le Commissariat dispose d’une plus grande souplesse pour la négociation et l’application des accords de conformité ainsi que pour la collaboration et la communication avec les autres organismes de réglementation. Cela est important dans plusieurs domaines, et ce sera essentiel dans le cas de l’IA et de l’IA générative. Nous recommandons également que les contestations des décisions du nouveau Tribunal de la protection des renseignements personnels et des données, qui est proposé, soient portées directement devant la Cour d’appel fédérale afin d’accélérer les règlements et d’éviter des coûts pour toutes les parties concernées. L’autre solution que nous proposons est que le contrôle des décisions du Commissariat soit effectué par la Cour fédérale plutôt que par le Tribunal.

Dans le dernier budget, le gouvernement a proposé un financement temporaire de 6 millions de dollars sur 2 ans pour que le Commissariat entreprenne des enquêtes plus approfondies sur les atteintes à la vie privée, et pour améliorer les taux de réponse aux plaintes liées à la protection de la vie privée. À ce financement s’ajoutent 15 millions de dollars sur 5 ans afin d’opérationnaliser de nouveaux processus qui seront exigés pour mettre en œuvre les modifications proposées dans la LPVPC. Si le Parlement décide d’adopter le projet de loi C-27, il sera crucial que le Commissariat dispose des ressources nécessaires pour assumer pleinement et efficacement de nouvelles responsabilités importantes, en particulier celles qui sont axées sur la prévention. Sinon, ce seront les Canadiennes et les Canadiens ainsi que les entreprises qui en assumeront les coûts.

Nos recommandations portent principalement sur la LPVPC, mais certaines d’entre elles s’appliqueraient également à la LIAD. Par exemple, je remarque que la LIAD confère dans une large mesure au gouvernement le pouvoir de définir des aspects importants de la loi par voie de règlement. Le gouvernement pourrait, par exemple, établir par règlement ce qui consiste ou non une justification, en ce qui concerne une décision discriminatoire d’un système d’IA, pour l’application de la définition de résultat biaisé. Il pourrait également, par voie de règlement, établir des critères pour l’application de la définition de système à incidence élevée, ou encore établir des mesures concernant la manière d’anonymiser des données et l’utilisation ou la gestion des données anonymisées. Puisque tout cela pourrait éventuellement avoir des répercussions sur la vie privée, il sera essentiel de mettre en place un mécanisme officiel pour que le Commissariat soit consulté au moment de rédiger les règlements en question. À ce chapitre, notre recommandation visant à favoriser une plus grande coordination et une plus grande collaboration entre le Commissariat et d’autres organismes de réglementation est d’une importance capitale dans le contexte de l’IA et de ses répercussions sur la vie privée.

En conclusion, la réforme des lois sur la protection des renseignements personnels est nécessaire depuis longtemps et doit se concrétiser. Nos recommandations visent à faire en sorte que les Canadiennes et les Canadiens disposent de lois sur la protection des renseignements personnels qui reconnaissent leur droit fondamental à la vie privée et qui leur permettront de participer pleinement à l’économie numérique, des lois qui favoriseront l’innovation et permettront au Canada de se positionner en tant que leader dans ce domaine important et en constante évolution. Je constate que de nombreux intervenants présentent aussi des mémoires, et je remercie à l’avance le Comité pour le travail essentiel qu’il accomplira dans le cadre de l’examen de cet important projet de loi et dans la protection et la promotion de la vie privée des Canadiennes et des Canadiens.

Je vous remercie du temps que vous m’avez accordé. Je suis maintenant prêt à répondre à vos questions.

Date de modification :