L’étau se resserre autour des individus qui se cachent derrière des sociétés canadiennes

Selon les médias, le gouvernement fédéral canadien serait à réaliser qu’il existe un problème criant de transparence quant à la propriété des entreprises chez nous. Comme le font pas mal de juridictions (dont le Québec), on considèrerait donc créer un registre afin d’identifier qui sont les véritables individus derrière les sociétés incorporées en vertu de la loi fédérale.

Au fédéral, bien que la loi prévoit depuis quelques années l’obligation d’avoir un registre interne, chez chaque entreprise, de qui sont les véritables propriétaires (individus), cette info n’avait pas jusqu’à maintenant à être disponible ni communiquée à quiconque. C’est ce qui pourrait changer avec un nouveau registre public dans lequel on consignerait telle information.

Au Québec, comme on s’en rappellera, le Registraire des entreprises du Québec (le «REQ») pourra d’ici quelques jours commencer à demander plus d’information quant aux individus impliqués dans des sociétés, dont des dates de naissance et des copies de pièce d’identité pour certains impliqués, tels que les administrateurs. Par exemple, toute entreprise qui soumet sa déclaration annuelle après le 31 mars 2023 devra fournir plus d’info quant aux individus qui sont impliqués chez elle. C’est un pas vers la transparence qui devrait régir nos entreprises, dans une société démocratique de droit.

Le REQ commencera aussi probablement d’ici à l’an prochain à mettre en ligne de l’info sur qui sont les «bénéficiaires ultimes» (les propriétaires véritables, en quelques sortes) et modifiera même sa base de données afin de (finalement!) permettre d’y chercher dans quelles entités tel ou tel individu est impliqué.

Je vous dirais qu’à voir les libertés que prennent certains individus véreux de tout acabit au Canada, pour oculter ou dissimuler leur participation dans des entreprise (voir cet exemple criant dans les nouvelles de ce matin), il n’est pas trop tôt. Évidemment, il y a les règles puis  il y a ce qui arrive réellement si une personne ou une entreprise ne les suit pas. Je soupçonne qu’il y aura un certain délai avant qu’on ne réalise que nos nouvelles règles ne nous permettent peut-être pas de véritablement parvenir au but recherché, compte tenu des lacunes quant aux sanctions applicables.

Un pas de plus vers l’adoption du projet de loi canadien C-27 et d’une nouvelle loi en matière d’IA

Le projet de loi fédéral C-27, visant à effectuer une mise à jour substantielle des lois canadiennes en matière de renseignements personnels,  passait récemment en deuxième lecture, nous rapprochant ainsi allègrement d’une adoption éventuelle.

Comme on s’en souviendra, C-27 implique une série de modifications visant à renforcer passablement les règles s’appliquant aux entreprises canadiennes (à l’extérieur d’une seule province) en matière de données personnelles. À l’instar de ce qui se fait actuellement au Québec, on a en effet réalisé depuis un moment que nos règles datant de 1999-2000 étaient maintenant dépassées, ce qui justifie une refonte de toute la loi, en plus de l’inclusion de nouvelles règles et même de créer un nouveau tribunal spécialisé qui entendra certaines des affaires en matière de renseignements personnels.

Le Ministre responsable de ce projet de loi réitérait récemment que le but de l’exercice comprend notamment redonner aux consommateurs canadiens le contrôle sur leurs données.

Ce projet comprend aussi l’adoption d’une toute nouvelle loi (la Loi sur l’intelligence artificielle et les données du gouvernement du Canada) qui régirait l’usage de l’intelligence artificielle, incluant par les entreprises canadiennes, notamment par rapport à la conception et la mise en oeuvre de ce genre de système. Cette nouvelle loi spécifique (surnommée « LIAD », en français) interdira entre autres certains comportements vus par la loi comme trop susceptibles de causer de graves préjudices aux Canadiens, incluant pour ce qui est des droits de la personne et des valeurs de la société canadienne. La LIAD obligera notamment ceux qui créés et utilisent l’IA à déployer des mesures d’évaluation et d’atténuation des risques, surveiller la conformité de leurs systèmes, faire preuve de transparence, tenir des registres spéciaux, informer le gouvernement en certains cas, etc.

La nouvelle incarnation de ces nouvelles lois en la matière comprendra notamment des sanctions que plusieurs qualifient de draconiennes, incluant des sanctions basées sur les revenus mondiaux des entreprises délinquantes, etc.

Le Gouvernement canadien réaffirme avoir la ferme intention de voir à adopter ces projets de loi dans la période à venir. La question n’est donc pas tant si ces nouvelles lois seront adoptées mais quand.

Le Canada entend blinder ses entreprises de compétence fédérale, dont en télécommunications

Le Canada est depuis peu à étudier un nouveau projet de loi visant à renforcer la cybersécurité des entreprises dont les activités sont régies par la législation fédérale, telle les sociétés de télécom, les banques, etc.

Avec le Projet de loi C-26, le Canada se doterait d’une première loi touchant la cybersécurité des organisations et dont le focus n’a rien à faire avec le fait de protéger des renseignements personnels. Cette fois, le but de la nouvelle loi serait de mieux protéger les cyber-systèmes de télécommunication au Canada et, plus généralement, les systèmes utilisés par des organisations de compétence fédérale «essentiels» pour la sécurité nationale ou la sécurité publique, tels :

  • des sociétés de transport interprovinciales, dont aériennes ou navales;
  • des entreprises de télécommunications (dont les FAI, par exemple);
  • des entreprises qui s’occupent de certaines formes d’énergies ou leur transport;
  • des institutions financières et celles touchant le système financier, etc.

Une fois cette nouvelle loi adoptée, les organisations visées se verront imposées des obligations relativement strictes en matière de cybersécurité, peu importe qu’elles détiennent ou gèrent des renseignements personnels. Le gouvernement entend en effet de doter de pouvoirs afin d’être désormais en mesure de, par exemple :

  • ordonner à certaines entreprises visées de mieux sécuriser leurs systèmes, de façon spécifique;
  • décréter que certains services ou systèmes sont d’une «importance critique» pour la sécurité nationale ou la sécurité publique;
  • forcer les entreprises visées à mettre en œuvre des programmes de cybersécurité, à se conformer aux directives de cybersécurité et, plus intéressant encore, à signaler les incidents de cybersécurité qui surviendrait chez eux à divers organismes fédéraux; etc.

Le projet de loi C-26 en est pour l’instant au stade de sa première lecture.