Un pas de plus vers l’adoption du projet de loi canadien C-27 et d’une nouvelle loi en matière d’IA

Le projet de loi fédéral C-27, visant à effectuer une mise à jour substantielle des lois canadiennes en matière de renseignements personnels,  passait récemment en deuxième lecture, nous rapprochant ainsi allègrement d’une adoption éventuelle.

Comme on s’en souviendra, C-27 implique une série de modifications visant à renforcer passablement les règles s’appliquant aux entreprises canadiennes (à l’extérieur d’une seule province) en matière de données personnelles. À l’instar de ce qui se fait actuellement au Québec, on a en effet réalisé depuis un moment que nos règles datant de 1999-2000 étaient maintenant dépassées, ce qui justifie une refonte de toute la loi, en plus de l’inclusion de nouvelles règles et même de créer un nouveau tribunal spécialisé qui entendra certaines des affaires en matière de renseignements personnels.

Le Ministre responsable de ce projet de loi réitérait récemment que le but de l’exercice comprend notamment redonner aux consommateurs canadiens le contrôle sur leurs données.

Ce projet comprend aussi l’adoption d’une toute nouvelle loi (la Loi sur l’intelligence artificielle et les données du gouvernement du Canada) qui régirait l’usage de l’intelligence artificielle, incluant par les entreprises canadiennes, notamment par rapport à la conception et la mise en oeuvre de ce genre de système. Cette nouvelle loi spécifique (surnommée « LIAD », en français) interdira entre autres certains comportements vus par la loi comme trop susceptibles de causer de graves préjudices aux Canadiens, incluant pour ce qui est des droits de la personne et des valeurs de la société canadienne. La LIAD obligera notamment ceux qui créés et utilisent l’IA à déployer des mesures d’évaluation et d’atténuation des risques, surveiller la conformité de leurs systèmes, faire preuve de transparence, tenir des registres spéciaux, informer le gouvernement en certains cas, etc.

La nouvelle incarnation de ces nouvelles lois en la matière comprendra notamment des sanctions que plusieurs qualifient de draconiennes, incluant des sanctions basées sur les revenus mondiaux des entreprises délinquantes, etc.

Le Gouvernement canadien réaffirme avoir la ferme intention de voir à adopter ces projets de loi dans la période à venir. La question n’est donc pas tant si ces nouvelles lois seront adoptées mais quand.

Le Canada entend blinder ses entreprises de compétence fédérale, dont en télécommunications

Le Canada est depuis peu à étudier un nouveau projet de loi visant à renforcer la cybersécurité des entreprises dont les activités sont régies par la législation fédérale, telle les sociétés de télécom, les banques, etc.

Avec le Projet de loi C-26, le Canada se doterait d’une première loi touchant la cybersécurité des organisations et dont le focus n’a rien à faire avec le fait de protéger des renseignements personnels. Cette fois, le but de la nouvelle loi serait de mieux protéger les cyber-systèmes de télécommunication au Canada et, plus généralement, les systèmes utilisés par des organisations de compétence fédérale «essentiels» pour la sécurité nationale ou la sécurité publique, tels :

  • des sociétés de transport interprovinciales, dont aériennes ou navales;
  • des entreprises de télécommunications (dont les FAI, par exemple);
  • des entreprises qui s’occupent de certaines formes d’énergies ou leur transport;
  • des institutions financières et celles touchant le système financier, etc.

Une fois cette nouvelle loi adoptée, les organisations visées se verront imposées des obligations relativement strictes en matière de cybersécurité, peu importe qu’elles détiennent ou gèrent des renseignements personnels. Le gouvernement entend en effet de doter de pouvoirs afin d’être désormais en mesure de, par exemple :

  • ordonner à certaines entreprises visées de mieux sécuriser leurs systèmes, de façon spécifique;
  • décréter que certains services ou systèmes sont d’une «importance critique» pour la sécurité nationale ou la sécurité publique;
  • forcer les entreprises visées à mettre en œuvre des programmes de cybersécurité, à se conformer aux directives de cybersécurité et, plus intéressant encore, à signaler les incidents de cybersécurité qui surviendrait chez eux à divers organismes fédéraux; etc.

Le projet de loi C-26 en est pour l’instant au stade de sa première lecture.

La Charte de la Langue française v. 3.0 -Yikes!

Comme on s’en souviendra, en 1977, le gouvernement québécois adoptait un projet de loi numéroté «101», un projet ayant résulté en une loi désormais affublée du nom de la «Loi 101», bien que possédant bien un véritable nom: la Charte de la langue française (la «Charte»). Comme chacun le sait, la Charte visait (et vise toujours) à promouvoir l’usage de la langue française au sein de la province du Québec, au Canada, de façon à contrer ce qu’on perçoit comme l’assimilation éventuelle, quasi-inévitable de dire certains, du français par l’anglais.

En 2019, confronté à un monde des affaires prenant de plus en plus avantage d’une lacune de la Charte, le législateur québécois amendait celle-ci, principalement afin de forcer les commerçant à inclure sur la devanture des commerces des descriptifs en français, augmentant ainsi la visibilité du français dans le commerce.

Puis, récemment, en juin 2022, une nouvelle mouture de la Charte est adoptée, laquelle vient modifier substantiellement la donne pour les entreprises exploitées au Québec. Fidèles à leurs habitudes, les Québécois réfèrent largement pour l’instant au Projet de loi 96 comme la «Loi 96». Pour nos fins, appelons cela la Charte version 3.0.

Sans vouloir en faire ici un examen exhaustif, permettez-moi d’en faire ici un bref survol. Pour ce faire, voici le genre de changements dont ont parle ici, en plus de l’augmentation des pouvoirs du chien de garde de la Charte, l’OQLF:

  • L’obligation pour toutes les entreprises exploitées au Québec de voir à servir leur clientèle en français, en leur fournissant toute information mise à la disposition de la clientèle en français;
  • Un changement MAJEUR en matière de marques, à savoir de prévoir qu’on considèrera dorénavant qu’une marque de commerce (i.e. une créature protégée) n’en est un que si elle est véritablement enregistrée, évitant ainsi dorénavant que les commerçants au Québec puissent continuer à exhiber impunément des marques d’usage anglophones, sans aucun mention en français – conséquence: toute marque comportant du contenu qui n’est pas en français DEVRA dorénavant être enregistrée en bonne et due forme si on veut éviter être sujet à des procédures instituées en vertu de la Charte, etc.;
  • Plus encore, renforcer les règles en matière d’affichage en français (par ex., pour les enseignes de magasins), en exigeant dorénavant la présence nettement prédominante (disons 2 vs. 1) du français sur les devantures de magasins, par exemple (en regardant la devanture en faisant abstraction de la présence de la marque);
  • L’ajout de l’obligation pour les entreprises qui se munissent de contrats d’adhésion (par ex. des contrats de consommation), de les mettre à la disposition du public québécois en français, comme condition de validité de ces contrats, ni plus ni moins!;
  • Réduire le seuil du nombre d’employés requis pour assujettir une entreprise aux exigences en matière de programmes de francisation, de 50 à 25;
  • Des obligations plus strictes d’affichage des offres d’emploi en français, en exigeant leur publication d’une façon qui s’avère comparable à la version anglaise, le cas échéant;
  • Un resserrement des critères permettant aux employeurs d’exiger qu’un candidat recherché pour un poste qu’on affiche maitrise une langue autre que le français; et
  • L’obligation généralisée pour la plupart des organisation de fournir tout matériel écrit en français à son personnel.

On note aussi un ajout très américain à cette nouvelle mouture de la Charte, à savoir un droit d’action privé, lequel permettra aux citoyens qui s’estiment lésés de poursuivre eux-mêmes les organisations délinquantes, soit pour obtenir des injonctions ou des dommages, qu’ils soient punitifs ou autres. Bref, on veut se munir d’un régime que toutes les entreprises et organisations ne seront plus tentées d’ignorer.

Malgré ce qui précède, notons que la plupart des nouvelles règles sont essentiellement mises sur la glace pour trois (3) ans, jusqu’au 1er juin 2025, afin de donner une chance à toutes les organisations de se mettre à jour.

Et vous, votre organisation est-elle conforme? À défaut, vous disposez de trois ans pour faire vos devoirs!