Le gouvernement de l’Ontario présente un nouveau projet de loi pour renforcer la cybersécurité et pour une IA responsable
Le gouvernement de l’Ontario a récemment introduit le Loi de 2024 visant à renforcer la cybersécurité et à renforcer la confiance dans le secteur public (Projet de loi 194) visant à renforcer les programmes de cybersécurité dans le secteur public et à jeter les bases d’une utilisation responsable de l’intelligence artificielle (IA) au sein de diverses entités du secteur public. S’il est adopté, le projet de loi 194 promulguera la Loi de 2024 visant à renforcer la sécurité et la confiance numériques (le Acte) et de modifier considérablement la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP).
Le Acte et les modifications apportées à la FIPPA auront un impact important sur les services publics provinciaux et municipaux, en plus de créer de nouvelles protections numériques pour les enfants. Nous résumons les principales caractéristiques de la proposition Acte et les modifications à la FIPPA ci-dessous.
Loi de 2024 visant à renforcer la sécurité et la confiance numériques
Le Acte vise à atténuer les risques associés à la cybersécurité et aux systèmes d’IA au sein du secteur public de l’Ontario. Cela comprend les organisations qui œuvrent dans les services publics essentiels de l’Ontario, comme ceux des secteurs de l’éducation, de la santé et des services à l’enfance.
Définition des systèmes d’IA
Le Acte définit formellement les « systèmes d’intelligence artificielle » comme « un système basé sur une machine qui, pour des objectifs explicites ou implicites, déduit des entrées qu’il reçoit afin de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels » (système d’IA).
Réglementation de la cybersécurité, de l’IA et des technologies affectant les mineurs dans le secteur public
Bien que des directives plus détaillées aient été réservées aux réglementations ultérieures, Acte créera des exigences uniformes en matière de cybersécurité et de systèmes d’IA pour les organisations opérant dans le secteur public de l’Ontario, comme suit :
La cyber-sécurité
- Obligations d’élaborer, de mettre en œuvre et de régir des programmes de cybersécurité avec un système de signalement des incidents correspondant ; et
- Exigences spécifiques pour de tels programmes de cybersécurité, notamment : la définition des rôles et des responsabilités, les rapports d’avancement, les initiatives d’éducation et de sensibilisation, ainsi que les mesures de réponse et de rétablissement en cas d’incident.
IA
- Exigences pour l’utilisation du système d’IA, à savoir :
- divulgation publique de son développement et de son utilisation;
- mise en œuvre d’un cadre de responsabilisation;
- exigences d’atténuation des risques; et
- surveillance humaine et gouvernance des systèmes d’IA concernant leur utilisation et leurs mécanismes de rapport.
Technologie affectant les mineurs
- Normes, restrictions et obligations de déclaration concernant l’impact des technologies numériques mises à disposition des mineurs1 par les sociétés d’aide à l’enfance et les conseils scolaires concernant la collecte, l’utilisation, la conservation et la divulgation des informations numériques.
Loi sur l’accès à l’information et la protection de la vie privée
Le projet de loi 194 apporte des changements importants à la LAIPVP, qui régit la façon dont le gouvernement de l’Ontario et les entités du secteur public prescrites (« institutions ») recueillent, utilisent et divulguent les renseignements personnels. Les institutions seront tenues de se conformer aux nouvelles responsabilités élargies suivantes. Notamment, le projet de loi 194 n’étend pas les mêmes exigences aux organisations régies par la LAIPVP. la Loi sur l’accès à l’information municipale et la protection de la vie privée (LFIPPA).
Obligation de protéger les renseignements personnels
La réglementation FIPPA exige que les institutions prennent des mesures raisonnables pour protéger les dossiers contre tout accès non autorisé ou toute destruction ou tout dommage par inadvertance.2 Le projet de loi 194 élargirait les responsabilités des institutions en matière de protection des renseignements personnels et de sauvegarde de la vie privée en exigeant qu’elles protègent les renseignements personnels dont elles ont la garde ou le contrôle contre le vol, la perte, l’utilisation ou la divulgation non autorisée, ainsi que la modification, la copie ou l’élimination non autorisées.
Évaluation des incidences sur la vie privée (EIVP)
Le projet de loi 194 obligera les institutions à effectuer des EIVP avant de recueillir des renseignements personnels. Une EIVP est une évaluation écrite des considérations prescrites, notamment le but, l’autorité légale, le type, la source, les limites, les restrictions, la période de conservation et les mesures de protection en place pour la collecte, le traitement et la divulgation des renseignements personnels. Sur demande, les institutions seront tenues de fournir au Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) des copies de leurs EIVP.
Violation des garanties de confidentialité – Obligations de signalement et de notification
Si le projet de loi 194 est adopté, il imposera aux institutions des obligations de notification et de signalement des atteintes à la vie privée, conformément aux exigences des organisations du secteur privé opérant dans la province.
Le projet de loi 194 adopte le seuil de « risque réel de préjudice grave » pour la notification et le signalement des atteintes à la vie privée par le gouvernement fédéral Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui régit les pratiques en matière de renseignements personnels des organisations du secteur privé exerçant leurs activités en Ontario. Le projet de loi 194 reflète également la définition de « préjudice grave » de la LPRPDE et les facteurs d’évaluation du risque réel de préjudice grave, notamment la sensibilité des renseignements personnels en cause et la probabilité de leur utilisation abusive, ainsi que toute directive ou orientation émise par le CIPVP.
Lorsqu’il est déterminé qu’un incident présente un risque réel de préjudice grave, l’institution est tenue de signaler l’affaire au CIPVP sous une forme prescrite et d’aviser les personnes concernées « dès que possible ». La notification aux personnes devra inclure une déclaration les informant de leur droit de déposer une plainte auprès du CIPVP dans un délai d’un an après que l’objet de la plainte a été porté ou aurait dû raisonnablement être porté à leur attention. De plus, les institutions seront tenues de conserver un registre de chaque vol, perte ou utilisation ou divulgation non autorisée de renseignements personnels signalés. Le CIPVP sera habilité à obliger les institutions à produire une copie de ce registre sur demande.
Pouvoirs élargis de la CPI
Le projet de loi 194 confère au CIPVP le pouvoir formalisé d’examiner les pratiques d’une institution en matière d’information sur la base d’une plainte ou si le CIPVP estime qu’une institution n’a pas respecté les mesures de protection de la vie privée obligatoires.
Avant de procéder à un examen, le CIPV peut tenter de résoudre le problème par la médiation, la conciliation ou tout autre moyen informel de résolution des différends que le CIPV considère approprié. Si, après avoir donné à l’institution la possibilité d’être entendue, le CIPV détermine qu’une pratique en matière d’information contrevient à la protection de la vie privée des personnes, il peut ordonner à l’institution de prendre l’une des mesures suivantes, à condition que cela ne dépasse pas ce qui est nécessaire pour se conformer :
- Cesser ou modifier la pratique en matière d’information ;
- Restituer, transférer ou détruire les renseignements personnels recueillis ou conservés dans le cadre de la pratique relative aux renseignements;
- Mettre en œuvre une pratique d’information différente; et
- Faire une recommandation sur la manière dont la pratique de l’information pourrait être améliorée.
Consentement à la conservation et à l’utilisation des « informations sur le service client »
Le projet de loi 194 exige le consentement pour la conservation et l’utilisation des « renseignements sur le service à la clientèle » recueillis, dont la définition est élargie pour inclure :
- Informations individuelles telles que le sexe, l’identité de genre, la langue préférée, la date de naissance, l’adresse e-mail ou d’autres informations de contact ;
- Informations fournies par le prestataire de services, y compris le statut de la commande, le statut de l’expédition, le numéro d’identification du produit et la date d’expiration ; et
- Communication entre l’organisme prestataire de services et l’individu.
Prochaines étapes
Le gouvernement de l’Ontario sollicite actuellement des commentaires sur le projet de loi 194. La période de commentaires restera ouverte jusqu’au 11 juin 2024.