Des centaines de motos illégales ont été abattues lors d’une…

Shaw est en tête de la liste restreinte des joueurs WSL de la saison

Après le scandale de Bétharram, près d’un tiers des écoles…

#image_title
cybersécurité

Le gouvernement de l’Ontario présente un nouveau projet de loi pour renforcer la cybersécurité et pour une IA responsable

Lire aussi :

Selon Skillsoft, la cybersécurité, l’IA et les données…

AI Pulse : Siri salue OpenAI, Deepfake Olympics et plus…

Le gouvernement de l’Ontario a récemment introduit le Loi de 2024 visant à renforcer la cybersécurité et à instaurer la confiance dans le secteur public (Projet de loi 194) visant à renforcer les programmes de cybersécurité dans le secteur public et à jeter les bases d’une utilisation responsable de l’intelligence artificielle (IA) parmi diverses entités du secteur public. S’il est adopté, le projet de loi 194 promulguera Loi de 2024 visant à renforcer la sécurité et la confiance numériques (le Acte) et modifier de manière significative le Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP).

Le Acte et les modifications apportées à la LAIPVP auront un impact important sur les services publics provinciaux et municipaux, et créeront de nouvelles protections numériques pour les enfants. Nous résumons les principales caractéristiques du projet proposé Acte et les modifications à la LAIPVP ci-dessous.

Loi de 2024 visant à renforcer la sécurité et la confiance numériques

Le Acte vise à atténuer les risques associés à la cybersécurité et aux systèmes d’IA au sein du secteur public de l’Ontario. Cela comprend les organisations opérant dans les services publics essentiels de l’Ontario, tels que ceux des secteurs de l’éducation, des soins de santé et des services à l’enfance.

Définir les systèmes d’IA

Le Acte définit formellement les « systèmes d’intelligence artificielle » comme « un système basé sur une machine qui, pour des objectifs explicites ou implicites, déduit des informations qu’il reçoit afin de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer les environnements physiques ou virtuels ». (Système d’IA).

Réglementer la cybersécurité, l’IA et la technologie affectant les mineurs dans le secteur public

Bien que des orientations plus détaillées aient été réservées aux réglementations ultérieures, le Acte créera des exigences uniformes en matière de cybersécurité et d’IA pour les organisations opérant dans le secteur public de l’Ontario, comme suit :

La cyber-sécurité

  • Obligations d’élaborer, de mettre en œuvre et de gouverner des programmes de cybersécurité avec un système de déclaration d’incidents correspondant ; et
  • Exigences spécifiques pour de tels programmes de cybersécurité, notamment : la définition des rôles et des responsabilités, les rapports d’avancement, les initiatives d’éducation et de sensibilisation, ainsi que les mesures de réponse et de rétablissement en cas d’incidents.

IA

  • Exigences pour l’utilisation du système d’IA – à savoir :
    • divulgation publique de son développement et de son utilisation ;
    • mise en œuvre d’un cadre de responsabilisation;
    • les exigences en matière d’atténuation des risques ; et
    • la surveillance humaine et la gouvernance des systèmes d’IA concernant leur utilisation et leurs mécanismes de reporting.

Technologie affectant les mineurs

  • Normes, restrictions et obligations de reporting concernant les impacts du numérique mis à disposition des mineurs1 par les sociétés d’aide à l’enfance et les commissions scolaires concernant la collecte, l’utilisation, la conservation et la divulgation de renseignements numériques.

Loi sur l’accès à l’information et la protection de la vie privée

Le projet de loi 194 introduit des changements importants à la LAIPVP, qui régit la manière dont le gouvernement de l’Ontario et les entités prescrites du secteur public (« institutions ») collectent, utilisent et divulguent des renseignements personnels. Les établissements devront adhérer aux responsabilités nouvelles et élargies suivantes. Notamment, le projet de loi 194 n’étend pas les mêmes exigences aux organisations régies par la Loi sur l’accès à l’information municipale et la protection de la vie privée (LAIPVP).

Obligation de protéger les informations personnelles

Les règlements de la LAIPVP exigent que les institutions prennent des mesures raisonnables pour protéger les documents contre tout accès non autorisé ou toute destruction ou dommage par inadvertance.2 Le projet de loi 194 élargirait les responsabilités des institutions en matière de protection des renseignements personnels et de protection de la vie privée en obligeant les institutions à protéger les renseignements personnels dont elles ont la garde ou le contrôle contre le vol, la perte, l’utilisation ou la divulgation non autorisées, ainsi que contre la modification, la copie ou l’élimination non autorisée.

Évaluation des facteurs relatifs à la vie privée (PIA)

Le projet de loi 194 exigera que les institutions effectuent des EFVP avant de recueillir des renseignements personnels. Une EFVP est une évaluation écrite des considérations prescrites, notamment le but, l’autorité légale, le type, la source, les limitations, les restrictions, la période de conservation et les garanties en place pour la collecte, le traitement et la divulgation des informations personnelles. Sur demande, les institutions devront fournir au Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) des copies de leurs EFVP.

Violation des mesures de protection de la vie privée – Exigences en matière de signalement et de notification

S’il est adopté, le projet de loi 194 imposera aux institutions des obligations obligatoires de notification et de déclaration des atteintes à la vie privée, conformément aux exigences des organisations du secteur privé opérant dans la province.

Le projet de loi 194 adopte le seuil de « risque réel de préjudice important » pour la notification et le signalement des atteintes à la vie privée par le gouvernement fédéral. Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui régit les pratiques en matière de renseignements personnels des organisations du secteur privé opérant en Ontario. Le projet de loi 194 reflète également la définition de « préjudice important » de la LPRPDE et les facteurs permettant d’évaluer le risque réel de préjudice important, y compris la sensibilité des renseignements personnels en cause et la probabilité de leur utilisation abusive, ainsi que toute directive ou orientation émise par le CIPVP.

Lorsqu’il est déterminé qu’un incident présente un risque réel de préjudice important, l’établissement est tenu de signaler l’affaire au CIPVP sous la forme prescrite et d’informer les personnes concernées « dès que possible ». La notification aux individus devra inclure une déclaration les informant de leur droit de déposer une plainte auprès du CIPVP dans un délai d’un an après que l’objet de la plainte a été porté ou aurait dû raisonnablement être porté à leur attention. De plus, les institutions seront tenues de conserver un registre de chaque vol, perte ou utilisation ou divulgation non autorisée de renseignements personnels signalés. Le CIPVP sera habilité à obliger les établissements à produire une copie de ce dossier sur demande.

Pouvoirs élargis de l’IPC

Le projet de loi 194 donne au CIPVP le pouvoir officiel d’examiner les pratiques d’information d’une institution sur la base d’une plainte ou si l’OIPC estime qu’une institution ne s’est pas conformée aux garanties de confidentialité obligatoires.

Avant de procéder à un examen, le CIPVP peut tenter de résoudre le problème par la médiation, la conciliation ou tout autre moyen informel de règlement des différends qu’il juge approprié. Si, après avoir donné à l’institution l’occasion d’être entendue, le CIPVP détermine qu’une pratique en matière d’information contrevient à la protection de la vie privée des individus, le CIPVP peut ordonner à l’institution de prendre l’une des mesures suivantes, à condition que cela ne dépasse pas ce qui est nécessaire pour assurer la conformité : :

  • Arrêter ou modifier la pratique d’information ;
  • Restituer, transférer ou détruire les informations personnelles collectées ou conservées dans le cadre de la pratique de l’information ;
  • Mettre en œuvre une pratique informationnelle différente ; et
  • Faire une recommandation sur la façon dont la pratique de l’information pourrait être améliorée.

Consentement à la conservation et à l’utilisation des « informations du service client »

Le projet de loi 194 exige le consentement pour la conservation et l’utilisation des « informations sur le service client » collectées, dont la définition est élargie pour inclure :

  • Informations individuelles telles que le sexe, l’identité de genre, la langue préférée, la date de naissance, l’adresse e-mail ou d’autres informations de contact ;
  • Informations fournies par le prestataire de services, notamment l’état de la commande, l’état de l’expédition, le numéro d’identification du produit et la date d’expiration ; et
  • Communication entre l’organisation prestataire de services et l’individu.

Prochaines étapes

Le gouvernement de l’Ontario sollicite actuellement des commentaires sur le projet de loi 194. La période de commentaires restera ouverte jusqu’au 11 juin 2024.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Selon Skillsoft, la cybersécurité, l’IA et les données dominent…

AI Pulse : Siri salue OpenAI, Deepfake Olympics et plus encore

IBM Consulting et Microsoft collaborent pour aider leurs clients à…

Les fabricants britanniques adoptent l’IA pour renforcer la…

Décrypter l’IA : analyser son impact sur la cybersécurité

La CISA organise son premier exercice de simulation sur la…

1 De 240

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite