Après des années d’attente et une première mouture morte au feuilleton, Ottawa a finalement présenté à la mi-juin sa loi protégeant les données personnelles. Amendes pouvant atteindre 25 millions pour les entreprises fautives, droit au contrôle des données pour les simples citoyens et encadrement de l’intelligence artificielle ne sont que les fers de lance de cette loi complexe. La Presse a demandé à deux expertes de la vulgariser.

En résumé

Le simple titre en 46 mots du projet de loi C-27, qui comporte 147 pages, donne le tournis. La « Loi édictant la Loi sur la protection de la vie privée des consommateurs », en résumé, reprend l’essentiel d’un premier projet de loi, C-11, déposé en novembre 2020. Comme à l’époque, on menace les entreprises d’amendes pouvant atteindre 25 millions ou 5 % des recettes, selon le montant le plus élevé. On y retrouve encore la notion de « consentement valide », avec des politiques de confidentialité claires, la possibilité de transférer ses données d’un organisme à l’autre, la destruction de celles-ci quand elles ne sont plus nécessaires et la mise sur pied d’un tribunal spécial.

Belle écoute

Mais la nouvelle loi va plus loin qu’en novembre 2020, se réjouit Chantal Bernier, qui a été commissaire adjointe puis intérimaire à la Commission à la protection de la vie privée du Canada de 2008 à 2014. Elle est aujourd’hui avocate-conseil pour la cybersécurité et la protection de la vie privée au cabinet Dentons.

PHOTO FOURNIE PAR DENTONS

Chantal Bernier, avocate-conseil pour la cybersécurité et la protection de la vie privée au cabinet Dentons

« Je suis frappée d’emblée par l’écoute du gouvernement pour concilier des intérêts concurrentiels, de protéger, d’une part, les renseignements personnels et, d’autre part, de favoriser l’économie numérique qui est tributaire de ces informations. »

Dès le préambule, note-t-elle, la loi établit que la protection du droit à la vie privée des citoyens est « essentielle à leur autonomie et à leur dignité et à la pleine jouissance des droits et libertés fondamentaux au Canada ». « Ça lui donne une importance quasi constitutionnelle. »

L’autre volet, s’excuse-t-elle, « peut paraître technique, mais il est critique ». En résumé, la loi fait la distinction entre les données qui ont été « dépersonnalisées », protégées, et celles qui sont « anonymisées », qu’on ne peut lier à une personne, mais qui peuvent être utilisées.

« Pour les entreprises, ça fait toute la différence dans leurs capacités de faire de la recherche », estime-t-elle.

Enfin des dents

« La récréation est terminée. » Tout comme Me Bernier, Éloïse Gratton, avocate spécialisée en protection de la vie privée chez BLG, utilise cette expression pour qualifier une mesure importante qui n’a pas fait les manchettes. Essentiellement, les entreprises qui traitent des données personnelles ont l’obligation de désigner un responsable et de développer par exemple des « codes de pratique » et des « programmes de certification » pour les protéger. La différence, c’est que le commissaire à la vie privée aura maintenant un pouvoir d’enquête, de recommandation et de sanction.

PHOTO FOURNIE PAR ÉLOÏSE GRATTON

Éloïse Gratton, avocate spécialisée en protection de la vie privée chez BLG

Bien des petites organisations ne s’étaient pas encore pliées à de telles exigences, souligne Me Gratton. « Je pense que ça va motiver les entreprises à investir dans la sécurité de l’information et la protection des renseignements personnels. »

Dompter l’IA

L’autre volet important de la nouvelle loi, c’est sa volonté d’empêcher l’utilisation « imprudente » de l’intelligence artificielle (IA) en s’assurant, par exemple, qu’elle n’ait pas été conçue avec des biais discriminatoires. Un commissaire à l’intelligence artificielle et aux données aura le pouvoir de mener des audits dans les entreprises à ce sujet.

« Je vois ça d’un très bon œil, résume Me Bernier. On a déjà des exemples, notamment dans le recrutement d’employés avec des méthodes biaisées. » Beaucoup d’éléments restent cependant à définir dans ce domaine, notamment pour définir ce qu’est un biais et comment établir la gravité d’un préjudice.

Pouvoirs et responsabilités

Le fait est indéniable, ces nouvelles exigences entraînent un fardeau administratif alourdi pour les entreprises. Me Gratton croit qu’il est toutefois incontournable. « C’est un fardeau qui correspond au pouvoir des organisations dans le traitement des renseignements personnels, dont les risques d’intrusion dans la vie privée. » Elle paraphrase pour l’occasion, en riant, la devise de Spider-Man : « Ce pouvoir étant accru, il génère des responsabilités accrues. »

Éloïse Gratton, elle, rappelle que ce projet de loi fédéral arrive après trois autres lois provinciales, adoptées en Alberta, en Colombie-Britannique et, surtout, au Québec. « Avec le fédéral, c’est seulement la continuité. […] Déjà, c’est clair qu’il y a une évolution chez les entreprises dans la façon de rédiger les politiques de confidentialité : on va les préparer par couches, avec des résumés, et si la personne veut plus d’informations, elle y a accès. »