Projet de loi C-27, loi sur la mise en œuvre de la charte numérique Vue d'ensemble
En juin 2022, le gouvernement canadien a présenté le projet de loi C-27, le Loi de 2022 sur la mise en œuvre de la charte numérique. Depuis l'introduction du projet de loi, l'intelligence artificielle (IA) a fait la une des journaux, des agendas politiques et des conversations à table. Le pic d'intérêt pour l'IA peut être attribué au lancement de son chatbot le plus prolifique, Chat GPT. Entre-temps, le projet de loi C-27 a passé les deux lectures à la Chambre des communes et, depuis le 24 avril 2023, le projet de loi est en attente de discussion au Comité permanent de l'industrie et de la technologie (INDU).
LES OBJECTIFS DE CHAQUE LOI, TELS QU'ILS SONT DÉCRITS DANS LE PROJET DE LOI C-27
Il y a trois propositions d'actes dans le cadre du projet de loi C-27 : la loi sur la protection de la vie privée des consommateurs (CPPA), la loi sur le tribunal chargé de la protection des données et des informations personnelles (Personal Information and Data Protection Tribunal Act) (PIDPTA), et la loi sur l'intelligence artificielle et les données (AIDA). En réponse à une motion déposée par le NPD, la L'orateur a statué le 28 novembre 2022 que les parties 1 et 2 du projet de loi seraient votées ensemble, tandis que la partie 3 serait votée séparément. Bien que les trois parties soient largement liées par le thème de l'utilisation et de la protection des informations personnelles (définies par la LPAC), il n'y a pas suffisamment de références croisées entre les parties 1 et 2 et la partie 3 pour qu'elles soient votées ensemble.
La CPPA remplacerait l'ancienne Loi sur la protection des informations personnelles et les documents électroniques (PIPEDA), qui s'appliquera désormais exclusivement aux documents électroniques. Les amendes en cas de non-respect de la LPC sont plus élevées, les recours juridiques en cas d'atteinte à la vie privée sont plus récents, les dispositions relatives à la collecte de données sont plus strictes, et la loi sur la protection de la vie privée a été modifiée. affinéLe commissaire à la protection de la vie privée du Canada se voit attribuer de nouveaux pouvoirs d'ordonnance, lui permettant notamment d'ordonner aux entreprises de cesser de collecter et d'utiliser des informations à caractère personnel.
Le Tribunal établi par la PIDPTA agirait comme une cour supérieure d'archives. Le Tribunal ferait appliquer la LPRP, réviserait les sanctions imposées par le Commissaire à la protection de la vie privée du Canada et fournirait aux individus et aux organisations des révisions des décisions du Commissaire. Le Commissaire et le Tribunal peuvent également déterminer si des personnes ont été affectées par une infraction à la loi.
Enfin, l'ACRA est la première loi de ce type au Canada à réglementer de manière exhaustive les systèmes d'IA pour le commerce international et interprovincial. Elle énonce des exigences essentielles telles que l'évaluation de la capacité du système à provoquer un "impact important" et l'élaboration de plans d'atténuation des risques. L'ACRA s'appliquerait aux personnes physiques, aux fiducies, aux sociétés de personnes, aux associations non constituées en société et aux personnes morales qui développent ou gèrent des systèmes d'IA.
En outre, l'ACRA permet au ministre de l'innovation, de la science et de l'industrie d'ordonner la production de dossiers, des audits ou de mettre fin à des systèmes d'IA "à fort impact". Des sanctions pécuniaires sont également prévues dans le projet de loi et sont imposées par le commissaire. Les sanctions entreraient en vigueur lorsque des données sont obtenues illégalement dans le cadre du développement de l'IA, lorsque le déploiement de l'IA cause un préjudice ou lorsque des intentions frauduleuses entraînent une perte financière.
QUAND LE PROJET DE LOI ENTRERA-T-IL EN VIGUEUR ?
Le projet de loi, à l'exception des articles 2, 35, 36 et 39, entrera en vigueur à la date fixée par le gouverneur en conseil. Les articles exclus traitent de la divulgation de renseignements personnels à l'insu de l'intéressé et sans son consentement, par exemple à des fins de recherche. Pour avoir une meilleure idée de la date à laquelle le projet de loi entrera en vigueur, le ministre a indiqué précédemment que 18 mois après la sanction royale du projet de loi seraient suffisants pour permettre à l'industrie de se préparer et aux règlements d'entrer en vigueur.
CONCLUSION
Bien que le projet de loi C-27 mette à jour une législation obsolète et tente de réglementer le développement de l'IA, il manque de précision. Les experts soulignent que de nombreuses définitions clés, Les notions de "fort impact" et de "préjudice important" ne sont pas prises en compte. En outre, le projet de loi devra prendre en compte les éléments suivants application extraterritoriale si des parties des systèmes d'IA mondiaux sont développées au Canada. La CPPA a également été critiquée pour son manque de garanties en matière de protection de la vie privée, car elle s'appuie sur la loi sur la protection de la vie privée de l'Union européenne. désidentification lors de l'utilisation d'informations personnelles. Sans surprise, le concept de "désidentification" dans le projet de loi est également mal défini. Sur le plan législatif, le NPD a également indiqué qu'il souhaitait la création d'un comité mixte spécial du Parlement, qui se pencherait sur la réglementation actuelle de l'IA. Ces préoccupations seront probablement développées au sein de la commission INDU lorsque le Parlement reprendra ses travaux le 18 septembre.
