Vie privée et IA au Canada, en clair
Des définitions courtes et fiables des termes de conformité que rencontrent les entreprises canadiennes.
Lois et organismes
PIPA de l’Alberta
La PIPA de l’Alberta est la loi provinciale sur la protection des renseignements personnels dans le secteur privé, qui régit la façon dont les organisations de la province traitent les renseignements personnels; elle fut la première loi canadienne à exiger la notification obligatoire des atteintes.
PIPA de la Colombie-Britannique
La PIPA de la Colombie-Britannique est la loi provinciale sur la protection des renseignements personnels dans le secteur privé, qui encadre la façon dont les organisations de la province recueillent, utilisent et communiquent les renseignements personnels; elle est reconnue comme essentiellement similaire à la LPRPDE.
Projet de loi C-27 (Loi de mise en œuvre de la Charte du numérique)
Le projet de loi C-27 était la Loi de mise en œuvre de la Charte du numérique, un ensemble contenant la LPVPC, un tribunal de protection des données et la première loi canadienne sur l’IA (LIAD); il est mort lors de la prorogation de janvier 2025.
LCAP (CASL)
La LCAP est la loi canadienne anti-pourriel, qui exige le consentement, l’identification de l’expéditeur et un mécanisme de désabonnement avant l’envoi de messages électroniques commerciaux, avec des sanctions pouvant atteindre 10 millions de dollars.
Commission d’accès à l’information (CAI)
La CAI est l’organisme québécois de réglementation de l’accès à l’information et de la protection des renseignements personnels, qui applique la Loi 25 et peut imposer d’importantes sanctions administratives et pénales aux organisations.
LPVPC (Loi sur la protection de la vie privée des consommateurs)
La LPVPC était la loi fédérale proposée pour remplacer les règles de la LPRPDE dans le secteur privé par un consentement renforcé, de nouveaux droits individuels et des pouvoirs d’ordonnance et de sanction; elle est morte avec le projet de loi C-27 en janvier 2025.
CANAFE (FINTRAC)
CANAFE est l’organisme canadien du renseignement financier et de lutte contre le blanchiment d’argent, dont les règles de tenue de dossiers et de déclaration expliquent pourquoi certains renseignements personnels doivent être conservés — et ne doivent pas être anonymisés ni supprimés.
RGPD (GDPR)
Le RGPD est la loi européenne sur la protection des données, qui peut s’appliquer aux entreprises canadiennes offrant des biens ou des services aux personnes dans l’UE, ou surveillant celles-ci, avec des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
Commissariat à la protection de la vie privée du Canada (CPVP)
Le CPVP est l’organisme fédéral canadien de réglementation de la vie privée, qui surveille l’application de la LPRPDE et de la Loi sur la protection des renseignements personnels, enquête sur les plaintes et publie des lignes directrices pour les entreprises et les institutions gouvernementales.
PHIPA (Ontario)
La PHIPA est la loi ontarienne sur la protection des renseignements sur la santé, qui établit les règles que les hôpitaux, cliniques et autres dépositaires de renseignements sur la santé doivent suivre pour recueillir, utiliser et communiquer les renseignements personnels sur la santé.
LPRPDE (PIPEDA)
La LPRPDE est la loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé, qui encadre la façon dont les entreprises recueillent, utilisent et communiquent les renseignements personnels dans le cadre d’activités commerciales.
Loi 25 du Québec
La Loi 25 est la loi québécoise modernisée sur la protection des renseignements personnels dans le secteur privé, qui impose des obligations strictes de consentement, de transparence et de gouvernance, ainsi que des sanctions pouvant atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial.
Notions de vie privée
Anonymisation
L’anonymisation est la transformation irréversible d’une donnée de sorte qu’aucune personne ne puisse jamais être réidentifiée; c’est un seuil plus exigeant que la dépersonnalisation, qui sort la donnée du champ de la loi.
Consentement
Le consentement est l’accord valable d’une personne à la collecte, à l’utilisation ou à la communication de ses renseignements personnels; en droit canadien, il doit être éclairé et, pour les données sensibles, exprès.
Transfert transfrontalier de données
Un transfert transfrontalier de données est tout déplacement de renseignements personnels hors de la juridiction où ils ont été recueillis; au Québec, il déclenche une évaluation obligatoire avant que les données ne quittent.
Résidence des données
La résidence des données désigne l’emplacement physique ou géographique où les données personnelles sont stockées et traitées — une priorité croissante pour les organisations canadiennes qui veulent conserver leurs données au Canada.
Dépersonnalisation
La dépersonnalisation consiste à retirer ou masquer les identifiants directs pour qu’une donnée ne nomme plus directement une personne, tout en admettant qu’une réidentification demeure possible.
Renseignements personnels
Les renseignements personnels désignent tout renseignement concernant une personne physique identifiable, seul ou combiné à d’autres données permettant de l’identifier.
PII (renseignements permettant d’identifier une personne)
Les « PII » (renseignements permettant d’identifier une personne) désignent toute donnée pouvant identifier une personne précise; le terme, d’origine américaine, correspond largement aux « renseignements personnels » au Canada.
Notification d’incident de confidentialité
La notification d’incident de confidentialité est l’obligation légale de signaler à l’autorité et aux personnes touchées un incident de sécurité touchant des renseignements personnels lorsqu’il présente un risque sérieux de préjudice.
Protection de la vie privée dès la conception
La protection de la vie privée dès la conception consiste à intégrer la protection des données dans les produits et processus dès le départ, plutôt que de l’ajouter après coup.
Évaluation des facteurs relatifs à la vie privée (ÉFVP)
L’évaluation des facteurs relatifs à la vie privée (ÉFVP) est une analyse structurée de la façon dont un projet traite les renseignements personnels et des risques qu’il crée; c’est désormais une obligation légale au Québec pour les initiatives à risque élevé.
Registre des activités de traitement
Le registre des activités de traitement est l’inventaire des renseignements personnels qu’une organisation recueille : quoi, pourquoi, où ces données résident et avec qui elles sont partagées.
Numéro d’assurance sociale (NAS)
Le numéro d’assurance sociale (NAS) est l’identifiant fédéral à neuf chiffres que les Canadiens utilisent pour travailler et recevoir des prestations gouvernementales; c’est l’un des renseignements personnels les plus sensibles qu’une organisation puisse détenir.
Gouvernance de l’IA
Gouvernance de l’IA
La gouvernance de l’IA désigne l’ensemble des politiques, des rôles, des contrôles et de la supervision qu’une organisation met en place pour concevoir et déployer l’intelligence artificielle de façon responsable, sécuritaire et conforme à la loi.
Inventaire des systèmes d’IA
Un inventaire des systèmes d’IA (ou registre d’IA) est un relevé tenu à jour de tous les systèmes d’IA qu’une organisation conçoit, achète ou utilise — l’artefact fondamental qui rend possibles la gouvernance de l’IA, l’évaluation des risques et la conformité.
LIAD (Loi sur l’intelligence artificielle et les données)
La LIAD était le projet de Loi sur l’intelligence artificielle et les données du Canada, présenté dans le cadre du projet de loi C-27 — mais elle est morte au feuilleton lors de la prorogation du Parlement en janvier 2025 et n’a pas force de loi.
Évaluation de l’incidence algorithmique (EIA)
L’évaluation de l’incidence algorithmique du Canada est un outil de questionnaire obligatoire que les institutions fédérales doivent remplir pour mesurer l’incidence d’un système décisionnel automatisé, en vertu de la Directive sur la prise de décisions automatisée du Conseil du Trésor.
Règlement européen sur l’IA
Le Règlement européen sur l’IA (Règlement (UE) 2024/1689) est la première loi complète au monde sur l’IA ; il repose sur une approche fondée sur le risque et s’applique à toute organisation — y compris les exportateurs canadiens — dont les systèmes d’IA sont mis sur le marché ou utilisés dans l’UE.
Analyse d’impact sur les droits fondamentaux (AIDF)
Une analyse d’impact sur les droits fondamentaux est une évaluation que certains déployeurs de systèmes d’IA à haut risque doivent réaliser en vertu du Règlement européen sur l’IA afin de repérer et d’atténuer l’incidence du système sur les droits fondamentaux des personnes avant sa mise en service.
IA à usage général (IAUG) / modèles de fondation
L’IA à usage général (IAUG), aussi appelée modèle de fondation, est un modèle d’IA entraîné sur des données vastes et adaptable à de nombreuses tâches en aval — et, selon le Règlement européen sur l’IA, ses fournisseurs sont soumis à des obligations précises de transparence et de documentation.
Système d’IA à haut risque
Un système d’IA à haut risque est, selon le Règlement européen sur l’IA, un système susceptible de nuire de façon importante à la santé, à la sécurité ou aux droits fondamentaux des personnes — comme l’IA utilisée en recrutement, en crédit, en éducation ou dans les infrastructures critiques — et il est donc soumis aux obligations les plus strictes de la loi.
ISO/IEC 42001
ISO/IEC 42001:2023 est la première norme certifiable au monde pour un système de management de l’IA ; elle fournit aux organisations un cadre vérifiable pour encadrer la conception et l’utilisation de l’intelligence artificielle.
Cadre de gestion des risques liés à l’IA du NIST
Le cadre de gestion des risques liés à l’IA du NIST (AI RMF 1.0) est un cadre volontaire américain qui aide les organisations à repérer, à évaluer et à gérer les risques liés à l’IA au moyen de quatre fonctions : Govern, Map, Measure et Manage.
IA fantôme
L’IA fantôme désigne l’utilisation d’outils d’IA par des employés à l’insu de l’organisation, sans son approbation ni sa supervision — ce qui crée des risques cachés en matière de vie privée, de sécurité et de conformité que la gouvernance vise à maîtriser.
Code de conduite volontaire sur l’IA générative avancée
Le Code de conduite volontaire du Canada visant un développement et une gestion responsables des systèmes d’IA générative avancés, lancé en septembre 2023, est un ensemble d’engagements non contraignants que les entreprises peuvent signer pour démontrer des pratiques responsables en matière d’IA générative avant toute loi contraignante.