Comparution devant le Comité permanent de l’industrie et de la technologie (INDU) au sujet de l’étude du projet de loi C-27
Le 19 octobre 2023
Ottawa (Ontario)
Déclaration de Philippe Dufresne
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi.)
Bonjour Monsieur le Président et mesdames et messieurs les membres du Comité.
Je suis heureux de revenir aujourd’hui pour aider le Comité dans son étude du projet de loi C-27, la Loi sur la mise en œuvre de la Charte du numérique, qui édicterait la Loi sur la protection de la vie privée des consommateurs (LPVPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données ainsi que la Loi sur l’intelligence artificielle et les données (LIAD). Je suis accompagné de Michael Maguire, directeur des enquêtes liées à la LPRPDE, et de Lara Ives, directrice exécutive, Politiques, recherche et affaires parlementaires.
Lorsque j’ai comparu devant le Comité il y a 3 semaines, j’ai prononcé une déclaration préliminaire sur le projet de loi C-27 et présenté mes 15 recommandations clés pour améliorer et renforcer le projet de loi.
Aujourd’hui, je souhaite revenir brièvement sur la lettre que le ministre de l’Innovation, des Sciences et de l’Industrie a adressée au Comité le 3 octobre 2023, y réagir et répondre aux questions que vous pourriez avoir.
Je suis ravi de la position exprimée par le ministre sur les amendements en cours de rédaction concernant le régime proposé dans la LPVPC, puisqu’il semble prêt à accepter 4 des 15 recommandations clés du Commissariat. À savoir, reconnaître explicitement la protection de la vie privée comme un droit fondamental, renforcer la protection de la vie privée des enfants, donner plus de souplesse au Commissariat pour l’utilisation des « accords de conformité », notamment par le recours à des sanctions pécuniaires, et permettre une plus grande coopération entre les organismes de réglementation.
Je salue aussi l’ouverture dont le ministre a fait preuve à l’idée d’apporter d’autres amendements à la suite de l’étude menée par ce Comité.
Je profite de l’occasion pour faire état d’autres moyens par lesquels le projet de loi devrait être renforcé et amélioré en vue de mieux protéger le droit fondamental à la vie privée des Canadiennes et des Canadiens, qui sont abordés dans les autres recommandations que nous avons formulées au Comité. Je soulignerai brièvement 5 de nos recommandations qui ressortent particulièrement à la lumière de la lettre du ministre, et je serai heureux de parler de toutes nos recommandations au cours de la discussion qui suivra.
Premièrement, les évaluations des facteurs relatifs à la vie privée (EFVP) devraient être exigées par la loi pour les activités à risque élevé, y compris l’intelligence artificielle (IA). Ce point est extrêmement important dans le cas d’un système d’IA qui pourrait prendre des décisions ayant des répercussions majeures sur les Canadiennes et les Canadiens, à savoir s’ils recevront une offre d’emploi, s’ils remplissent les conditions requises pour obtenir un prêt, s’ils doivent payer une prime d’assurance plus élevée ou s’ils sont soupçonnés de comportement suspect ou illégal. Bien que la LIAD exigerait que les responsables des systèmes d’IA évaluent et atténuent les risques de préjudice des systèmes d’IA à incidence élevée, la définition du terme « préjudice » dans le projet de loi ne prend pas en compte la protection de la vie privée. Cela signifie que des évaluations proactives des risques seraient effectuées pour les préjudices ne concernant pas la vie privée, mais pas pour les préjudices à la vie privée. Il s’agit d’une lacune importante étant donné que, dans un récent rapport de l’Organisation de coopération et de développement économiques sur l’IA générative, les menaces à la vie privée figuraient parmi les 3 principaux risques reconnus par les membres du G7. Selon moi, l’IA responsable doit reposer sur une protection efficace de la vie privée.
Deuxièmement, le projet de loi ne prévoit pas de sanctions pécuniaires en cas de violation des dispositions, qui obligent les organisations à recueillir, à utiliser et à communiquer des renseignements personnels uniquement à des fins et d’une manière qu’une personne raisonnable estimerait acceptables dans les circonstances. Cette omission ferait de la loi fédérale sur la protection des renseignements personnels dans le secteur privé une exception par rapport à l’Union européenne (UE) et au régime québécois, qui autorisent l’imposition de sanctions pécuniaires pour des violations aussi importantes du droit à la vie privée. Si l’objectif est, comme l’a indiqué le ministre, de disposer d’une loi en la matière qui comprend un outil concret et efficace afin d’encourager la conformité et d’intervenir en cas de contraventions majeures à la loi lorsque les circonstances le justifient, il est clair que cette lacune doit être comblée pour une disposition aussi importante.
Troisièmement, il reste l’ajout proposé d’un nouveau tribunal, qui deviendrait un quatrième palier de contrôle dans le processus de traitement des plaintes. Comme nous l’avons indiqué dans notre mémoire au Comité, cette solution rendrait la procédure plus longue et plus coûteuse que les modèles communs utilisés à l’échelle internationale et dans les provinces. C’est pourquoi nous avons recommandé 2 options pour résoudre ce problème. La première option consisterait à faire contrôler les décisions du tribunal proposé directement par la Cour d’appel fédérale, et la seconde option serait de conférer au Commissariat le pouvoir d’imposer des sanctions pécuniaires et de faire en sorte que nos décisions puissent être contrôlées par la Cour fédérale sans qu’il soit nécessaire de créer un nouveau tribunal, ce qui est le modèle le plus courant dans d’autres juridictions semblables.
Quatrièmement, le projet de loi tel qu’il est rédigé continue de permettre au gouvernement de déroger à la loi par voie de règlement sans avoir à démontrer que ces dérogations sont nécessaires. Cette situation doit être corrigée, car elle crée trop d’incertitude pour l’industrie et la population canadienne et pourrait réduire de manière importante la protection des renseignements personnels sans une surveillance exercée par le Parlement.
Cinquièmement, et pour conclure, le projet de loi limiterait l’obligation pour les organisations d’expliquer, sur demande, les prédictions faites, les recommandations formulées ou les décisions prises au sujet des Canadiennes et des Canadiens à l’aide de l’IA, aux situations qui ont une « incidence importante » sur un individu. Alors que l’IA est en plein essor et que les risques pour la vie privée ont été reconnus par le G7 et dans le monde entier, je recommande plus de transparence dans ce domaine plutôt que moins.
Sur ce, je suis maintenant prêt à répondre à vos questions.
Je vous remercie.
- Date de modification :