Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique

l.o. 2024, CHAPITRE 24
annexe 1

Période de codification : du 29 janvier 2025 à la date à laquelle Lois-en-ligne est à jour.

Aucune modification.

SOMMAIRE

 

Interprétation

Définitions

1 (1) Les définitions qui suivent s’appliquent à la présente loi.

«conseil scolaire» Conseil ou conseil scolaire au sens de la définition donnée à ce terme au paragraphe 1 (1) de la Loi sur l’éducation. («school board»)

«cybersécurité» La sécurité, la continuité, la confidentialité, l’intégrité et la disponibilité de l’information numérique et de l’infrastructure servant à stocker et à transmettre l’information numérique, y compris l’ensemble des technologies, des processus, des pratiques, des mesures d’intervention et d’atténuation dont la raison d’être est de protéger les réseaux, les ordinateurs, les programmes et les données des attaques, des dommages, ou d’accès non autorisé. («cyber security»)

«entité du secteur public» S’entend de ce qui suit :

a)  une institution, autre que l’Assemblée, au sens du paragraphe 2 (1) de la Loi sur l’accès à l’information et la protection de la vie privée;

b)  une institution au sens du paragraphe 2 (1) de la Loi sur l’accès à l’information municipale et la protection de la vie privée;

c)  une société d’aide à l’enfance;

d)  un conseil scolaire. («public sector entity»)

«ministre» Le ministre des Services au public et aux entreprises et de l’Approvisionnement ou l’autre membre du Conseil exécutif qui est désigné aux termes de la Loi sur le Conseil exécutif pour appliquer la présente loi. («Minister)

«prescrit» Prescrit par les règlements pris en application de la présente loi. («prescribed»)

«société d’aide à l’enfance» Société au sens de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille. («children’s aid society»)

«système d’intelligence artificielle» S’entend de ce qui suit :

a)  un système automatisé qui, pour des objectifs explicites ou implicites, fait des déductions à partir d’entrées qu’il reçoit afin de générer des résultats tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels;

b)  les autres systèmes prescrits. («artificial intelligence system»)

Système d’intelligence artificielle

(2) Il est entendu que pour l’application de la présente loi, l’utilisation d’un système d’intelligence artificielle par une entité du secteur public comprend l’utilisation d’un système qui, selon le cas :

a)  est mis à la disposition du public;

b)  est élaboré ou obtenu par l’entité du secteur public;

c)  est élaboré par un tiers pour le compte de l’entité du secteur public.

Information numérique

(3) Il est entendu que pour l’application de la présente loi, la collecte, l’utilisation, la conservation ou la divulgation d’information numérique par une entité du secteur public comprend la collecte, l’utilisation, la conservation ou la divulgation d’information numérique par un tiers pour le compte de cette entité.

Cybersécurité

Règlements pris par le lieutenant-gouverneur en conseil

2 (1) Le lieutenant-gouverneur en conseil peut, par règlement, régir la cybersécurité des entités du secteur public prescrites, notamment :

a)  exiger que les entités du secteur public élaborent et mettent en œuvre des programmes pour assurer la cybersécurité;

b)  régir les programmes visés à l’alinéa a), ce qui peut comprendre la prescription d’éléments à inclure dans les programmes;

c)  exiger que les entités du secteur public présentent des rapports au ministre ou à un particulier déterminé à l’égard d’incidents liés à la cybersécurité, ce qui peut comprendre des exigences différentes selon le type d’incident;

d)  prescrire le type de rapports et leur fréquence.

Règlements : programmes

(2) Sans préjudice de la portée générale de l’alinéa (1) b), un règlement pris en vertu de cet alinéa peut exiger que le programme d’une entité du secteur public comprenne ce qui suit :

a)  les rôles et responsabilités de particuliers déterminés au sein de l’entité du secteur public pour ce qui est d’assurer la cybersécurité;

b)  la présentation de rapports sur les progrès de l’entité du secteur public pour ce qui est d’assurer la cybersécurité;

c)  des mesures d’éducation et de sensibilisation concernant la cybersécurité;

d)  des mesures d’intervention et de rétablissement pour les incidents liés à la cybersécurité;

e)  des mesures de surveillance pour la mise en œuvre du programme.

Règlements du ministre : normes

3 Le ministre peut, par règlement, établir des normes techniques auxquelles les entités du secteur public prescrites par le ministre doivent se conformer en ce qui concerne la cybersécurité.

Directives du ministre

4 (1) Le ministre peut donner des directives aux entités du secteur public relativement à la cybersécurité.

Idem

(2) La directive donnée peut avoir une portée générale ou particulière et peut prévoir différentes catégories.

Statut

(3) La partie III (Règlements) de la Loi de 2006 sur la législation ne s’applique pas à l’égard des directives.

Conformité

(4) Les entités du secteur public auxquelles des directives sont données s’y conforment.

Utilisation des systèmes d’intelligence artificielle

Utilisation réelle et prévue

Application

5 (1) Le présent article s’applique aux entités du secteur public prescrites pour l’application du présent article si elles utilisent ou prévoient utiliser un système d’intelligence artificielle dans des circonstances prescrites.

Renseignements destinés au public

(2) L’entité du secteur public à laquelle le présent article s’applique fournit, conformément aux règlements, des renseignements au public au sujet de son utilisation du système d’intelligence artificielle.

Cadre de responsabilisation

(3) L’entité du secteur public à laquelle le présent article s’applique établit et met en œuvre, conformément aux règlements, un cadre de responsabilisation relativement à son utilisation du système d’intelligence artificielle.

Gestion des risques

(4) L’entité du secteur public à laquelle le présent article s’applique prend les mesures prescrites pour gérer les risques associés à son utilisation du système d’intelligence artificielle.

Exigences

(5) L’entité du secteur public à laquelle le présent article s’applique utilise le système d’intelligence artificielle conformément aux exigences prescrites.

Utilisation interdite

(6) L’entité du secteur public à laquelle le présent article s’applique ne doit pas utiliser un système d’intelligence artificielle si les règlements en interdisent l’utilisation.

Utilisations particulières

Champ d’application

6 (1) Le présent article s’applique à l’égard des entités du secteur public prescrites pour l’application du présent article.

Obligations

(2) Lorsqu’elle utilise un système d’intelligence artificielle dans des circonstances prescrites, l’entité du secteur public à laquelle le présent article s’applique fait ce qui suit :

a)  elle divulgue des renseignements, conformément aux règlements, relativement à l’utilisation du système d’intelligence artificielle;

b)  elle veille à ce qu’un particulier :

(i)  assure la surveillance de l’utilisation du système d’intelligence artificielle, conformément aux règlements,

(ii)  fournisse des renseignements supplémentaires, conformément aux règlements, relativement à l’utilisation du système d’intelligence artificielle.

Règlements pris par le lieutenant-gouverneur en conseil

7 Le lieutenant-gouverneur en conseil peut, par règlement, régir l’utilisation des systèmes d’intelligence artificielle par les entités du secteur public, notamment :

a)  prescrire des entités du secteur public auxquelles l’article 5 ou 6 s’applique;

b)  prescrire des circonstances pour l’application du paragraphe 5 (1);

c)  régir la fourniture de renseignements prévue au paragraphe 5 (2), notamment :

(i)  prescrire la manière dont les renseignements doivent être fournis,

(ii)  prescrire les renseignements qui doivent être fournis,

(iii)  prescrire les renseignements dont la fourniture n’est pas exigée,

(iv)  indiquer le moment auquel les renseignements doivent être fournis et mis à jour,

(v)  dispenser des entités du secteur public de l’exigence de fournir des renseignements dans des circonstances particulières;

d)  régir l’établissement des cadres de responsabilisation prévus au paragraphe 5 (3), notamment :

(i)  prescrire le type de cadres de responsabilisation et leur contenu,

(ii)  indiquer le moment auquel les cadres de responsabilisation doivent être élaborés et mis à jour,

(iii)  prescrire les rôles et les responsabilités de particuliers déterminés au titre des cadres de responsabilisation,

(iv)  exiger des documents au sujet de l’utilisation du système d’intelligence artificielle, y compris au sujet des différentes phases de son utilisation, de son rendement et de sa surveillance;

e)  prescrire les étapes à suivre pour l’application du paragraphe 5 (4), y compris la présentation de rapports et la tenue de dossiers;

f)  prescrire des exigences pour l’application du paragraphe 5 (5), ce qui peut comprendre d’exiger qu’un système d’intelligence artificielle ne soit utilisé qu’à certaines fins;

g)  interdire, pour l’application du paragraphe 5 (6), l’utilisation d’un système d’intelligence artificielle;

h)  prescrire des circonstances pour l’application du paragraphe 6 (2);

i)  régir la divulgation de renseignements prévue à l’alinéa 6 (2) a), notamment :

(i)  prescrire la manière dont les renseignements doivent être divulgués,

(ii)  prescrire les renseignements qui doivent être divulgués,

(iii)  prescrire les renseignements dont la divulgation n’est pas exigée,

(iv)  indiquer le moment auquel les renseignements doivent être divulgués et mis à jour,

(v)  dispenser des entités de l’exigence de divulguer des renseignements dans des circonstances particulières;

j)  régir la réalisation de la surveillance pour l’application du sous-alinéa 6 (2) b) (i);

k)  régir la fourniture de renseignements supplémentaires pour l’application du sous-alinéa 6 (2) b) (ii), ce qui peut comprendre d’exiger la fourniture de renseignements sur la façon de s’informer de l’utilisation du système d’intelligence artificielle.

Règlements du ministre : normes

8 Le ministre peut, par règlement, établir des normes techniques auxquelles les entités du secteur public prescrites par le ministre doivent se conformer dans le cadre de leur utilisation des systèmes d’intelligence artificielle.

Technologie numérique touchant les particuliers âgés de moins de 18 ans

Règlements pris par le lieutenant-gouverneur en conseil

9 Le lieutenant-gouverneur en conseil peut, par règlement, relativement aux sociétés d’aide à l’enfance et aux conseils scolaires prescrits :

a)  exiger que l’information numérique prescrite concernant des particuliers âgés de moins de 18 ans qui est recueillie, utilisée, conservée ou divulguée le soit d’une manière prescrite;

b)  exiger que des rapports soient présentés au ministre ou à un particulier déterminé relativement à la collecte, l’utilisation, la conservation et la divulgation de l’information visée à l’alinéa a);

c)  interdire la collecte, l’utilisation, la conservation ou la divulgation de l’information numérique prescrite concernant des particuliers âgés de moins de 18 ans, ce qui peut comprendre une interdiction de telles activités dans des circonstances prescrites, à des fins prescrites ou sous réserve de conditions prescrites.

Règlements du ministre : normes

10 Le ministre peut, par règlement, établir des normes techniques auxquelles les sociétés d’aide à l’enfance et les conseils scolaires qu’il prescrit doivent se conformer concernant ce qui suit :

a)  la collecte, l’utilisation, la conservation et la divulgation d’information numérique concernant des particuliers âgés de moins de 18 ans;

b)  la technologie numérique mise à la disposition des particuliers âgés de moins de 18 ans.

Directives du ministre

11 (1) Le ministre peut donner des directives aux sociétés d’aide à l’enfance et aux conseils scolaires relativement à la technologie numérique mise à la disposition des particuliers âgés de moins de 18 ans.

Idem

(2) La directive donnée peut avoir une portée générale ou particulière et peut prévoir différentes catégories.

Statut

(3) La partie III (Règlements) de la Loi de 2006 sur la législation ne s’applique pas à l’égard des directives.

Conformité

(4) La société d’aide à l’enfance ou le conseil scolaire auquel une directive est donnée s’y conforme.

Dispositions générales

Aucune obligation de diligence de droit privé

12 La Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public, la présente loi ou un règlement pris ou une directive donnée en vertu de la présente loi n’a pas pour effet de créer une obligation de diligence de droit privé envers quelque personne que ce soit.

Effet du défaut de se conformer

13 Le défaut de se conformer à la présente loi ou à tout règlement pris ou directive donnée en vertu de la présente loi n’a pas pour effet d’invalider quelque politique, loi, règlement, directive, acte ou décision que ce soit.

Incompatibilité : disposition générale

14 Les dispositions de toute autre loi ou règlement l’emportent sur les dispositions incompatibles de la présente loi ou des règlements pris ou des directives données en vertu de la présente loi.

Directives : incompatibilité

15 Les exigences énoncées dans une directive du Conseil de gestion du gouvernement l’emportent sur les exigences incompatibles énoncées dans une directive donnée en vertu de la présente loi.

Règlements : disposition générale

16 Le lieutenant-gouverneur en conseil peut, par règlement, prescrire toute question que la présente loi mentionne comme étant prescrite par les règlements ou régie autrement par ceux-ci, autre que les questions à l’égard desquelles le ministre est autorisé à prendre des règlements ou qui sont mentionnées comme étant prescrites par le ministre.

17 Omis (entrée en vigueur de dispositions du présent de la présente loi).

18 Omis (édiction du titre abrégé de la présente loi).