Prorogation du Parlement : L’incertitude plane sur diverses questions de la politique sur le numérique du gouvernement fédéral

Le 6 janvier 2025, la session parlementaire fédérale a pris fin lorsque la gouverneure générale du Canada a accepté la demande du premier ministre Trudeau de proroger le Parlement jusqu’au 24 mars 2025.

La prorogation signifie que tous les projets de loi devant le Parlement « meurent » au Feuilleton et que tous les comités législatifs sont dissous. Pour devenir loi, ces projets de loi doivent être présentés de nouveau et repartir à la case de départ du processus législatif, lequel comporte trois lectures devant la Chambre des communes et trois lectures devant le Sénat.

Un certain nombre de projets de loi touchant la cybersécurité, la protection de la vie privée, l’intelligence artificielle (« IA ») et les services financiers sont maintenant considérés sans suite, et rien n’indique qu’ils seront rapidement présentés de nouveau à la reprise des travaux du Parlement – surtout compte tenu de l’élection générale fédérale qui est prévue cette année.

Toutefois, à la reprise des travaux parlementaires, quel que soit le parti au pouvoir, les questions visées par ces projets de loi pourraient devenir prioritaires. Les entreprises devraient donc envisager de mener des discussions avec le gouvernement fédéral sur des questions clés relatives à la politique sur le numérique de ce dernier et de lui faire part de leurs commentaires sur les projets de loi à venir.

Projet de loi C-26 : Réglementation en matière de cybersécurité en vertu de la Loi sur la protection des cybersystèmes essentiels

Le projet de loi C-26 aurait édicté la Loi sur la protection des cybersystèmes essentiels (la « LPCE ») et modifié d’autres lois, y compris la Loi sur les télécommunications. Il prévoyait l’imposition d’obligations globales en matière de cybersécurité aux entités du secteur privé dans quatre secteurs sous réglementation fédérale : les télécommunications, les finances, l’énergie et les transports. Les entreprises de ces secteurs auraient été tenues de mettre en œuvre un programme de cybersécurité comportant des mesures d’atténuation des risques (y compris des mesures pour atténuer les risques en matière de cybersécurité associés aux tiers), de signaler les cyberincidents au Centre de la sécurité des télécommunications Canada et à l’organisme réglementaire compétent, et de se conformer aux directives du cabinet fédéral visant à protéger les systèmes essentiels.

La LPCE avait pour but d’établir un cadre fédéral de cybersécurité et d’imposer des mesures minimales de protection pour les infrastructures essentielles, ce qui aurait rapproché le régime canadien en la matière à celui d’autres pays. La mort au Feuilleton de ce projet de loi fait en sorte que la cyberpréparation et le signalement des cyberincidents continueront d’être régis par un ensemble disparate de règles applicables à des secteurs ou à des domaines de droit particuliers. 

Projet de loi C-27 : Loi sur la protection de la vie privée des consommateurs et Loi sur l’intelligence artificielle et les données

Le projet de loi C-27 aurait mis en place un nouveau régime fédéral de protection de la vie privée en vertu de la Loi sur la protection de la vie privée des consommateurs (la « LPVPC ») et édicté la Loi sur l’intelligence artificielle et les données (la « LIAD »). La LIAD aurait imposé des mesures de conformité, de surveillance et de tenue de dossiers aux entités qui développent l’IA en interne ou qui utilisent des systèmes d’IA créés par des tiers dans le cadre de leurs activités.

En ce qui a trait à la protection de la vie privée, le projet de loi C-27 aurait abrogé la loi en vigueur en la matière, soit la Loi sur la protection des renseignements personnels et les documents électroniques, pour la remplacer par la LPVPC. Le projet de loi C-27 aurait aussi édicté la Loi sur le Tribunal de la protection des renseignements personnels et des données, laquelle aurait constitué un tribunal administratif chargé d’entendre les appels interjetés à l’encontre de certaines décisions rendues par le commissaire à la protection de la vie privée du Canada (« le commissaire ») en vertu de la LPVPC et d’infliger des pénalités en cas de contravention à certaines de ses dispositions.

Le projet de loi C-27 visait à mettre à jour le régime fédéral de protection de la vie privée, lequel n’avait pas fait l’objet de modifications importantes depuis près d’une dizaine d’années. Il accordait également au commissaire des outils d’application de la loi comparables à ceux d’autres organismes de réglementation canadiens. La LIAD, qui aurait constitué la première étape de l’établissement d’un cadre réglementaire complet en matière d’IA au Canada, s’inscrivait dans une tendance plus vaste visant à réglementer l’IA. Toutefois, le projet de loi C-27 a fait l’objet de critiques en raison de sa vaste portée, du fait que d’importants détails n’auraient été fournis que dans des règlements connexes, et de l’absence de consultation à son égard. Étant donné que les technologies de l’IA se développent rapidement et que leur utilisation se répand dans l’économie canadienne, le gouvernement fédéral devra trouver le juste équilibre au chapitre de la réglementation de ce domaine. 

Projet de loi C-63 : Modération du contenu en ligne sur les plateformes de médias sociaux en vertu de la Loi sur les préjudices en ligne

Le projet de loi C-63 proposait un régime prescriptif visant à modérer le contenu en ligne en vertu de la Loi sur les préjudices en ligne (la « LPL »), laquelle avait pour objet d’atténuer le risque d’exposition à du contenu préjudiciable en ligne que courent généralement les Canadiens et, surtout, de protéger les enfants. Les plateformes de médias sociaux exerçant des activités au Canada auraient été tenues de mettre en place des outils permettant de détecter le contenu préjudiciable, élaborer un plan de sécurité numérique et supprimer certains types de contenu préjudiciable. La LPL prévoyait également la mise sur place d’un nouvel organisme de réglementation à l’égard des préjudices en ligne, soit la Commission canadienne de la sécurité numérique. Cet organisme aurait été doté de vastes pouvoirs de perquisition et de saisie. De plus, il aurait eu la capacité d’imposer des amendes pouvant atteindre 6 % des revenus globaux d’une entité en cas de non-conformité.

Malgré un processus de consultation ayant donné lieu à une consultation prolongée, la LPL a suscité la controverse en raison de ses répercussions potentielles sur la liberté d’expression et la création d’un nouvel organisme de réglementation. Bien que le projet de loi C-63 ait été l’approche proposée par le gouvernement fédéral pour réglementer les préjudices en ligne, les partis d’opposition ont également présenté des projets de loi émanant de députés qui répondaient aux demandes que des mesures soient prises à l’égard de la diffusion en ligne de contenu préjudiciable, de discours haineux et de contenu intime communiqué de façon non consensuelle. Les mesures proposées par la prochaine législature pour répondre aux préoccupations relatives à la sécurité en ligne des mineurs constitueront une question clé à suivre.

Projet de loi C-65 : Modification de la Loi électorale du Canada

Le projet de loi C-65 aurait mis en place des mesures pour renforcer la capacité du Canada à se protéger contre l’ingérence étrangère dans les élections fédérales en limitant davantage le financement des tiers et en élargissant la définition d’« entités étrangères » qui sont assujetties à des restrictions quant à leur capacité d’exercer une influence. Ce projet de loi prévoyait également des mesures pour protéger les renseignements personnels recueillis par les partis politiques et les partis admissibles, comme le signalement des atteintes à la protection des données qui peuvent causer un préjudice grave, la mise en œuvre de mesures de sécurité en vue de protéger les renseignements personnels, la formation du personnel et l’interdiction de vendre des renseignements personnels.

Le projet de loi C-65 aurait entraîné des répercussions importantes sur les entités étrangères, le financement des tiers, les contributions politiques et la publicité partisane et électorale. Il visait à modifier les règles électorales du Canada et les exigences concernant le financement des tiers pour tenir compte des nouvelles technologies qui facilitent les contributions anonymes ou la prolifération des hypertrucages mettant en scène des personnalités politiques. Fait à noter, le traitement des renseignements personnels effectué par les partis politiques et les partis admissibles n’est pas visé par les mesures de protection prévues au projet de loi C-65. Les questions abordées par ce projet de loi continueront d’avoir une incidence sur le système électoral du Canada jusqu’à ce qu’elles soient soulevées de nouveau dans le cadre d’un autre projet de loi présenté au Parlement lors d’une session ultérieure.

Système bancaire ouvert et services financiers

En avril 2024, le gouvernement fédéral a publié le Cadre canadien des services bancaires pour les gens (le « Cadre »), dont la mise en œuvre s’appuyait sur deux textes législatifs, soit la Loi sur les services bancaires axés sur les consommateurs (la « LSBAC ») et un projet de loi qui devait être présenté à l’automne 2024. La LSBAC, qui est entrée en vigueur en juin 2024, établit le Cadre, les données visées, les entités concernées, les sanctions en cas de non-conformité, ainsi que le mandat de surveillance de l’Agence de la consommation en matière financière du Canada. Dans l’Énoncé économique de l’automne de 2024, le gouvernement fédéral présente les prochaines étapes de la mise en œuvre du Cadre, lesquelles devaient inclure la publication du deuxième texte législatif.

Compte tenu de la prorogation du Parlement, l’incertitude plane sur la mise en œuvre d’un système bancaire ouvert au Canada. Bien que la structure initiale du Cadre ait été établie dans la LSBAC, il n’en demeure pas moins que des questions fondamentales n’ont pas encore été abordées, notamment les normes applicables à la protection de la vie privée et à la sécurité des données, le processus d’accréditation pour les participants du système, l’utilisation de la capture de données d’écran, le recours à de tiers fournisseurs de services et la délégation des pouvoirs aux organismes de réglementation provinciaux. Pour les entreprises qui exercent des activités dans le secteur financier, ces questions en suspens entraînent une incertitude quant aux risques possibles liés à la sécurité, à la responsabilité et à la protection des renseignements personnels.

Conclusion

Dans le cadre d’une session ultérieure, le Parlement se penchera assurément sur les lacunes réglementaires de la politique sur le numérique du gouvernement fédéral. Blakes possède une expertise variée au chapitre de la prestation de conseils auprès d’entités du secteur public, ainsi que dans les domaines des politiques en matière de technologie et des services financiers. Nous sommes en mesure de fournir des conseils stratégiques aux entreprises qui souhaitent faire valoir leurs intérêts dans le cadre de l’élaboration des politiques gouvernementales, ou qui doivent composer avec la réglementation en évolution continue pouvant se répercuter sur les activités commerciales et l’innovation.

Pour en savoir davantage sur les projets de loi et les considérations relatives à la politique sur le numérique figurant aux présentes, consultez nos Bulletins Blakes précédents sur ces sujets :

• Droit canadien en matière de cybersécurité : Le projet de loi C-26 franchit une autre étape
• Projet de loi C-63 du Canada : La Loi sur les préjudices en ligne cible le contenu préjudiciable sur les médias sociaux
• Nouveau projet de loi fédéral visant le financement des tiers, la publicité et la désinformation dans le contexte électoral
• Budget fédéral de 2024 : Le point sur les modifications aux politiques relatives à la réglementation des services financiers
• Revue de l’année 2024 du droit canadien de la protection de la vie privée  

ou communiquez avec un membre de nos groupes Secteur public, crise et conformité, Services financiers ou Technologie.