Projet de loi C-27 : La grande réforme du droit fédéral canadien de la vie privée

Qu'est-ce que le projet de loi C-27?

Le projet de loi C-27, intitulé Loi de mise en œuvre de la Charte numérique, 2022, est la plus importante réforme du droit fédéral canadien sur la protection des données personnelles depuis l'adoption de la LPRPDE en 2001. Déposé à la Chambre des communes en juin 2022, il comporte trois volets distincts :

1. Loi sur la protection de la vie privée des consommateurs (LPVPC) — Remplace la LPRPDE pour le secteur privé et introduit de vraies sanctions financières.
2. Loi sur le Tribunal de la protection des renseignements personnels et des données (LTRPD) — Crée un tribunal administratif indépendant pour trancher les plaintes.
3. Loi sur l'intelligence artificielle et les données (LIAD) — Premier cadre législatif fédéral encadrant les systèmes d'IA à risque élevé.

Pourquoi remplacer la LPRPDE?

La LPRPDE date de l'ère des débuts d'Internet. Ses principales lacunes :

• Aucune sanction financière directe : le Commissaire n'a qu'un rôle d'ombudsman, sans pouvoir d'imposer des amendes.
• Consentement ambigu : les règles sont moins précises que dans le RGPD ou la Loi 25.
• Aucun droit à la portabilité ni à l'oubli.
• Intelligence artificielle non encadrée : la loi date d'avant l'explosion de l'apprentissage automatique.
• Moins stricte que les lois provinciales : la Loi 25 du Québec surpasse largement la LPRPDE en termes d'obligations.

Les grandes nouveautés de la LPVPC

La Loi sur la protection de la vie privée des consommateurs introduit des changements majeurs :

• Sanctions importantes : amendes pouvant atteindre 5 % du CA mondial ou 25 M$ pour les infractions les plus graves.
• Consentement significatif : clair, simple et facilement révocable.
• Intérêt légitime : traitement sans consentement possible dans certains cas, sous conditions strictes.
• Droit à la mobilité des données : transférer ses données d'un fournisseur à un autre.
• Droit de suppression : renforcé et plus accessible.
• Traitement automatisé : droit d'être informé des décisions entièrement automatisées et d'en demander la révision humaine.

La Loi sur l'intelligence artificielle et les données (LIAD)

La LIAD est l'aspect le plus novateur de C-27. Elle encadrerait :

• Les systèmes d'IA à impact élevé utilisés dans des contextes à risque : emploi, crédit, santé, justice.
• L'obligation de mettre en place des mesures d'atténuation des risques et de tenir des registres.
• L'interdiction des usages illicites de l'IA, y compris les systèmes susceptibles de causer des préjudices graves.
• La nomination d'un Commissaire à l'IA et aux données.

Si adoptée, la LIAD ferait du Canada l'un des premiers pays du G7 à disposer d'une loi nationale sur l'IA.

C-27 est le signal le plus clair à ce jour que le Canada est prêt à passer d'une approche de sensibilisation à une approche coercitive en matière de protection des données — comme l'ont fait l'UE et le Québec avant lui.

État d'avancement du projet de loi

C-27 a été déposé en juin 2022 et a franchi plusieurs étapes parlementaires. Son adoption définitive dépend du calendrier politique et des consultations en cours. Les principales critiques portent sur :

• La portée des exceptions à l'obligation de consentement
• Le manque de clarté des dispositions sur l'intérêt légitime
• L'articulation entre C-27 et les lois provinciales (notamment la Loi 25)

Pour suivre l'évolution du projet de loi : parl.ca

Ce que C-27 signifie concrètement pour vous

Si C-27 est adopté dans sa forme actuelle :

• Vous aurez des droits renforcés sur vos données personnelles à l'échelle fédérale, comparables à ceux de la Loi 25 au Québec.
• Les entreprises devront être plus transparentes lorsque l'IA vous affecte directement (décisions de crédit, embauche, etc.).
• Vous pourrez porter plainte auprès d'un nouveau tribunal indépendant.
• Les entreprises fautives seront passibles d'amendes réelles, pas seulement de recommandations.