Propositions stratégiques aux fins de la réforme de la LPRPDE élaborées en réponse au rapport sur l’intelligence artificielle

Auteur : Ignacio Cofone, professeur adjoint à la faculté de droit de l’Université McGill

Novembre 2020

Avertissement : Les opinions exprimées dans ce document sont celles de l’auteur et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada.

1. Introduction

Le 28 janvier 2020, le Commissariat à la protection de la vie privée (Commissariat) a lancé une consultation publique sur la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), dans le but de réglementer adéquatement l’intelligence artificielle (IA)^{Note de bas de page 1}. Les responsables de la consultation publique ont expliqué que, dans le cadre de l’analyse politique du Commissariat concernant la réforme législative, le Commissariat cherchait à obtenir l’avis d’experts quant à la question de savoir comment les principes visant à protéger la vie privée pouvaient et devraient encadrer le développement responsable de l’IA.

Aux fins de la consultation, des commentaires ont été sollicités au sujet de onze propositions qui ont fait l’objet de quatre-vingt-cinq mémoires de la part d’individus et d’institutions. Les commentaires émanaient d’un large éventail d’intervenants, y compris du secteur à but non lucratif, du secteur privé, du milieu universitaire, ainsi que d’hôpitaux et de barreaux. Ils apportaient des avis éclairants sur la mise en œuvre, le soutien et les éventuelles préoccupations dont le Parlement devrait tenir compte au moment de modifier la Loi.

Adoptée en 2001, la LPRPDE est la pierre angulaire du régime fédéral canadien de protection des renseignements personnels dans le secteur privé. Le Commissariat affirme depuis longtemps que cette loi doit être modernisée^{Note de bas de page 2}. La LPRPDE nécessite effectivement une réforme urgente susceptible de moderniser ce principal instrument législatif qui protège et réglemente les renseignements personnels des Canadiens dans le secteur privé. Depuis son adoption en 2001, un grand nombre de changements sont intervenus sur les plans technologique, social et juridique.

Sur le plan technologique, comme l’explique le Commissariat dans les propositions formulées durant la consultation, la LPRPDE doit être aménagée pour répondre aux nouveaux risques posés par l’IA, dont le développement et les utilisations peuvent avoir au demeurant une grande valeur sociale; le Canada doit donc se doter d’une réglementation adaptée qui lui permette de tirer profit des avantages sociaux découlant de l’IA tout en protégeant les droits de la personne des Canadiens.

Sur le plan social, la manière dont les gens utilisent la technologie a beaucoup changé. La protection de la vie privée n’est plus une valeur secondaire^{Note de bas de page 3}. Nous comprenons mieux son lien avec d’autres droits de la personne, comme l’égalité et la non-discrimination^{Note de bas de page 4}. La communication de renseignements personnels est bien plus ancrée dans nos vies quotidiennes qu’elle ne l’était en 2001, notamment à l’égard des outils et des services auxquels les gens ne peuvent renoncer s’ils veulent continuer à fonctionner normalement dans notre société, comme le courriel et les téléphones cellulaires. Les données inférées et agrégées nous concernant ont pris davantage de valeur et posent de plus grands risques que presque n’importe quel type de renseignement personnel partagé. L’agrégation et les inférences sont particulièrement consolidées par l’IA.

Sur le plan juridique, cette proposition de réforme de la LPRPDE fait suite à une vague de réformes en matière de protection des données et de protection des renseignements personnels partout dans le monde. Au cours des deux dernières années seulement, 30 États ont adopté de nouvelles lois sur la protection des données et la protection des renseignements personnels ou ont modifié des lois existantes^{Note de bas de page 5}, qui s’ajoutent à plusieurs autres depuis l’adoption de la LPRPDE. Nombre de partenaires commerciaux du Canada ont consacré la dernière décennie à élaborer des régimes robustes de protection des données et du droit à la protection de la vie privée^{Note de bas de page 6}. Une réforme est nécessaire pour maintenir le statut d’adéquation à l’égard du Règlement général sur la protection des données (RGPD) et pour continuer à commercer avec l’Union européenne, ce qui n’est guère trivial^{Note de bas de page 7}.

Le présent rapport a été rédigé à l’invitation du Commissariat. Il s’appuie sur les propositions formulées par le Commissariat pour lancer la consultation, sur les commentaires contenus dans les nombreux mémoires qu’elle a suscitées, sur les années de travail que le Commissariat a consacrées à la réforme de la LPRPDE ainsi que sur les recherches effectuées par des juristes en droit à la vie privée et des experts sur le sujet. Il tient compte de précédents législatifs provinciaux et internationaux, dans l’optique de maintenir le statut d’adéquation du Canada, et au vu des contraintes constitutionnelles inhérentes à la LPRPDE. Ce rapport formule des recommandations pour l’élaboration d’une LPRPDE moderne qui protège les droits de la personne et le droit à la vie privée tout en reconnaissant les intérêts légitimes des entreprises au regard de l’IA. Les recommandations sont regroupées en quatre modules : une approche fondée sur les droits, des mesures de souplesse, la prise de décision automatisée et la responsabilité.

2. Une approche fondée sur les droits

Les modifications recommandées dans la présente section s’appuient sur les propositions 2 (Adopter une approche fondée sur les droits dans la loi, selon laquelle les principes de protection des données sont mis en œuvre comme moyen de protéger un droit plus général à la vie privée — reconnu comme un droit fondamental de la personne et comme fondement de l’exercice d’autres droits de la personne) et 11 (Donner au Commissariat le pouvoir d’émettre des ordonnances exécutoires et d’imposer des sanctions financières aux organisations qui ne se conforment pas à la loi) de la consultation, et étayent toutes les recommandations subséquentes.

a. Une approche fondée sur les droits de la personne

La LPRPDE devrait adopter une approche explicitement fondée sur les droits qui ancre la protection des données dans le droit fondamental des Canadiens à la protection de leur vie privée, une telle approche étant essentielle à la protection d’autres droits de la personne au regard des activités commerciales. Cette recommandation étaye toutes les recommandations subséquentes du présent rapport.

Cette recommandation concrétisera les garanties fondamentales que prévoit le droit canadien en les énonçant dans la LPRPDE. La Charte garantit une protection contre certaines fouilles, perquisitions ou saisies^{Note de bas de page 8}; le Canada a signé et ratifié des instruments internationaux reconnaissant le droit à la vie privée comme un droit de la personne fondamental^{Note de bas de page 9}; et comme l’a précisé la Cour suprême, le droit des individus à la vie privée est intrinsèquement lié à d’autres droits reconnus^{Note de bas de page 10}. Par conséquent, la LPRPDE s’est vu reconnaître un statut quasi constitutionnel, ce que confirment les positions du Commissariat^{Note de bas de page 11}.

L’adoption explicite dans la LPRPDE d’une approche fondée sur les droits est particulièrement importante dans le contexte de l’IA, qui expose les droits fondamentaux (comme le droit de ne pas subir de discrimination) à des risques accrus^{Note de bas de page 12}. Cette recommandation, appuyée par le Commissariat^{Note de bas de page 13}, a reçu le soutien d’une majorité d’intervenants de tous les secteurs lors de la consultation et concrétise dans la LPRPDE, à laquelle la Cour suprême a déjà reconnu un statut quasi constitutionnel, des garanties préexistantes en droit canadien^{Note de bas de page 14}. Elle concorde également avec des précédents internationaux modernes, comme le Règlement général sur la protection des données (RGPD) de l’Union européenne^{Note de bas de page 15}, la California Consumer Privacy Act (CCPA)^{Note de bas de page 16}, le Personal Data Protection Bill récemment proposé en Inde^{Note de bas de page 17}, ainsi que des lois adoptées au Brésil et au Pérou^{Note de bas de page 18}. Une approche fondée sur les droits de la personne étant recommandée et du fait de la légitimité des intérêts commerciaux, les principes de nécessité, de proportionnalité et d’ingérence minimale, essentiels à l’application des critères canadiens de pondération fondés sur les droits, inspirent les modifications recommandées à la LPRPDE^{Note de bas de page 19}.

b. Préambule et disposition de déclaration d’objet

L’approche de la LPRPDE fondée sur les droits devrait être énoncée explicitement à deux reprises dans la loi : dans un préambule et dans une déclaration d’objet modifiée.

Le préambule de la LPRPDE remplirait une fonction axée sur la communication qui peut favoriser la confiance à l’égard du droit canadien en matière de protection des renseignements personnels. Les préambules peuvent contribuer à communiquer des idées et des principes essentiels en présentant des éléments explicatifs et en mettant l’accent sur les objectifs de la loi plus aisément que les dispositions législatives^{Note de bas de page 20}. Un préambule peut exprimer une approche fondée sur les droits de la personne mieux que ne le ferait une déclaration d’objet seulement^{Note de bas de page 21}. Une formulation claire du sens, de la portée et de l’importance des droits énoncés dans la LPRPDE en matière de protection de la vie privée est primordiale pour souligner que le droit à la vie privée énoncé à l’article 3 de la Loi est plus qu’un simple intérêt^{Note de bas de page 22}, et qu’il n’est donc pas sur le même pied d’égalité que des intérêts commerciaux^{Note de bas de page 23}. Un préambule peut également servir à préciser en quoi une approche fondée sur les droits tient compte des contraintes constitutionnelles inhérentes à la LPRPDE.

Par ailleurs, le projet de loi n^o 64 du Québec^{Note de bas de page 24} et la Freedom of Information and Protection of Privacy Act de l’Alberta^{Note de bas de page 25} comportent des dispositions d’introduction détaillées semblables à un préambule. Qui plus est, l’ajout d’un préambule concorde avec la tendance canadienne à inscrire des préambules dans les lois de politique publique de grande envergure^{Note de bas de page 26} et la législation étrangère y a déjà recours (c’est le cas du RGPD qui comprend 173 considérants)^{Note de bas de page 27}.

En termes de libellé législatif, le préambule proposé dans le rapport annuel au Parlement de 2018-2019 du Commissariat remplit ces objectifs^{Note de bas de page 28}. En particulier, ce préambule précise que le droit à la vie privée et l’innovation technologique ne sont pas nécessairement opposés. En d’autres termes, comme le soulignait le Commissariat dans ce rapport, la technologie qui protège les droits de la personne et le droit à la vie privée est essentielle pour préserver et favoriser la confiance du public et défendre les intérêts commerciaux^{Note de bas de page 29}. Le préambule reconnaît par ailleurs le statut quasi constitutionnel de la LPRPDE^{Note de bas de page 30} et indique clairement qu’à l’instar des autres droits de la personne, le droit à la vie privée n’est pas absolu^{Note de bas de page 31}.

L’approche fondée sur les droits que préconise la LPRPDE devrait être reprise dans une déclaration d’objet modifiée, laquelle facilite une interprétation téléologique des lois parce qu’elle précise la volonté du législateur et contribue à une mise en balance appropriée des droits de la personne et de la protection de la vie privée lors des exercices de pondération^{Note de bas de page 32}. L’interprétation téléologique est particulièrement utile pour la LPRPDE vu l’importance accordée à la volonté du législateur lorsqu’il s’agit d’interpréter des lois quasi constitutionnelles^{Note de bas de page 33}.

La déclaration d’objet remplit une fonction clé même si un préambule est ajouté. Premièrement, une déclaration d’objet nuancée permettrait de fournir des applications pratiques d’une approche fondée sur les droits, ce que réclamaient les auteurs des commentaires à la suite de la consultation. Deuxièmement, elle confère une autorité directe en matière d’interprétation, car contrairement au préambule, elle est contraignante^{Note de bas de page 34}. Les préambules sont parfois exclus des compilations réalisées subséquemment au sujet des lois, ce qui renforce l’importance d’une déclaration d’objet^{Note de bas de page 35}. Enfin, la présence d’une telle déclaration concorde avec l’approche actuelle de la LPRPDE ainsi qu’avec divers exemples internationaux^{Note de bas de page 36}.

c. Droits et obligations clairs à l’égard des renseignements personnels

S’agissant de mettre en œuvre cette approche fondée sur les droits, les dispositions de la LPRPDE devraient surtout établir dans leur libellé des droits et des obligations, plutôt que des recommandations : i) en révisant les dispositions de la partie 1 de la Loi afin de remplacer les recommandations par des obligations, s’il y a lieu (en particulier pour ce qui est des nouveaux droits et obligations évoqués dans le présent rapport) et ii) en abrogeant l’annexe 1 pour remplacer les principes qu’elle énonce par des droits (par exemple, modifier le principe 4 en remplaçant la « limitation de la collecte » par un « droit à la minimisation des données »). Cette approche est reprise dans les recommandations contenues dans le présent document; par exemple, le droit de faire un signalement et de déposer une plainte devant le Commissariat, le droit à ce que la collecte et le traitement des données soient justifiés, le droit à une explication, le droit au respect du principe de responsabilité démontrable, le droit à la traçabilité des données et le droit à un processus conçu dans le respect de la vie privée et des droits de la personne. La Loi devrait être mise à jour en conséquence, en remplaçant les suggestions par des indications claires soulignant l’importance des droits individuels^{Note de bas de page 37}.

Comme le confirment les positions antérieures du Commissariat, il est essentiel que la LPRPDE établisse des droits et des obligations clairs pour mettre en œuvre une approche fondée sur les droits de la personne^{Note de bas de page 38}. Ainsi, les exigences aux fins de la conformité seront plus claires que la liste actuelle des pratiques exemplaires et recommandations prévue par la LPRPDE. Comme l’a déclaré le Commissariat, « [a]lors que cette loi est appréciée parce qu’elle est axée sur des principes et est neutre à l’égard de la technologie et ce sont des qualités qui doivent être conservées, la LPRPDE a fait l’objet de critiques, car son interprétation semble être difficile. Les particuliers, les organisations et les tribunaux ont de la difficulté à interpréter cette loi, car les droits et les obligations se trouvent dans son annexe 1 et non dans le texte de la loi et ces éléments sont présentés dans un langage non juridique en mélangeant les obligations et les pratiques exemplaires (doit et devrait)^{Note de bas de page 39} ».

S’agissant de cette approche fondée sur les droits de la personne, la définition des renseignements personnels contenue dans la LPRPDE devrait être modifiée de manière à préciser que ces renseignements s’entendent des renseignements personnels recueillis concernant un individu et aussi des inférences le concernant^{Note de bas de page 40}. Cette définition cadre avec la position du Commissariat à l’égard des cotes de crédit (selon laquelle les cotes de crédit sont visées par la définition des renseignements personnels et font intervenir les exigences en matière d’exactitude et d’accès^{Note de bas de page 41}). De même, le Commissariat a estimé, dans le cadre d’une plainte déposée en vertu de la Loi sur la protection des renseignements personnels, que les inférences constituaient des renseignements personnels^{Note de bas de page 42}. Le fait de préciser que les inférences sont visées par la définition des renseignements personnels énoncée dans la LPRPDE concorde avec la protection des renseignements personnels telle qu’elle est entendue par la Cour suprême et qui englobe les inférences et les postulats tirés à partir de renseignements^{Note de bas de page 43}. Enfin, une telle approche s’harmonise avec des lois modernes comme la CCPA^{Note de bas de page 44}, dont on applaudit le fait qu’elle inclut explicitement les inférences dans sa définition des renseignements personnels^{Note de bas de page 45}.

La protection des renseignements inférés est essentielle à la défense des droits de la personne, car comme l’a reconnu la Cour suprême^{Note de bas de page 46}, les inférences peuvent être aussi préjudiciables aux individus et aux groupes que les renseignements recueillis^{Note de bas de page 47}. Le Groupe de travail « Article 29 » sur la protection des données (GT art. 29) — un groupe de travail européen — a fait les remarques suivantes : [TRADUCTION] « La plupart du temps, ce ne sont pas les renseignements recueillis eux-mêmes qui sont sensibles, ce sont plutôt les inférences qui en sont tirées, et la manière dont elles le sont, qui peuvent donner matière à préoccupation^{Note de bas de page 48}. » Ces remarques sont d’autant plus vraies dans le cas de l’IA, qui peut produire des inférences concernant des groupes et des individus, lesquelles sont difficiles à anticiper et posent donc d’importants risques pour les droits de la personne si elles ne sont pas visées par la LPRPDE.

S’agissant de cette recommandation, la LPRPDE devrait prévoir un droit explicite de corriger les renseignements personnels inexacts, y compris les inférences (article 4.9 de la LPRPDE). Cet ajout donnerait effet au droit à l’exactitude des renseignements, déjà présent dans la Loi (principes 4.6, 4.9.5) — dans le contexte de l’IA, ce qui témoignerait de l’importance accrue des renseignements inférés. La LPRPDE devrait préciser que l’obligation d’exactitude est continue et que la responsabilité de veiller à ce que des documents demeurent exacts ne peut être transférée aux individus, comme l’indique la jurisprudence^{Note de bas de page 49}.

d. Application de la loi par des moyens publics

La LPRPDE devrait conférer au Commissariat le pouvoir de délivrer des ordonnances exécutoires et d’imposer des sanctions financières, afin de garantir la conformité et de protéger les droits de la personne. Le Commissariat a réclamé un tel pouvoir^{Note de bas de page 50}, et les réponses à la consultation l’appuient largement (74 %). Ces pouvoirs d’exécution se déploieraient de concert avec le principe de responsabilité démontrable pour conférer à la LPRPDE un effet dissuasif et créer des mesures d’incitation à la conformité^{Note de bas de page 51}. Ces pouvoirs permettraient par exemple d’éviter que des organisations refusent de se conformer au droit canadien, comme l’a récemment fait Facebook^{Note de bas de page 52}.

Les pouvoirs de rendre des ordonnances assorties de sanctions sont déjà prévus dans de nombreux instruments étrangers, comme le RGPD^{Note de bas de page 53}, la Data Protection Act du Royaume-Uni (R.-U.)^{Note de bas de page 54}, la CCPA^{Note de bas de page 55}, et la Personal Data Protection Act de Singapour^{Note de bas de page 56}. Ils concordent également avec ceux des autorités provinciales en Alberta^{Note de bas de page 57}, en Colombie-Britannique^{Note de bas de page 58} et au Québec sous le régime du projet de loi n^o 64^{Note de bas de page 59}. Suivant le projet de loi C-58^{Note de bas de page 60}, le commissaire à l’information a aussi le pouvoir de délivrer des ordonnances exécutoires sous le régime de la Loi sur l’accès à l’information. De plus, d’autres agences de réglementation canadiennes jouissent déjà de tels pouvoirs, comme le Bureau de la concurrence du Canada^{Note de bas de page 61}, le Conseil de la radiodiffusion et des télécommunications canadiennes^{Note de bas de page 62}, l’Agence canadienne d’inspection des aliments^{Note de bas de page 63}, la Régie de l’énergie du Canada^{Note de bas de page 64} et la Commission canadienne de sûreté nucléaire^{Note de bas de page 65}. Ces pouvoirs sont essentiels à la gestion des risques inhérents à l’IA, tels qu’ils ont été décrits dans d’autres propositions de réforme de la Loi^{Note de bas de page 66}, ainsi qu’au maintien du statut d’adéquation^{Note de bas de page 67}. À un niveau plus abstrait, le pouvoir de rendre des ordonnances et celui d’effectuer des inspections proactives, évoqué en détail ci-après, sont nécessairement complémentaires, puisque ces inspections sont nécessaires pour détecter les cas de non-conformité.

Les ordonnances exécutoires du Commissariat et l’imposition des sanctions financières devront être conformes au principe de l’équité procédurale. Il est crucial que ces ordonnances et sanctions soient assujetties au contrôle judiciaire de la Cour d’appel fédérale. Cependant, les garanties procédurales devraient être étendues. La LPRPDE devrait exiger que les amendes soient 1) effectives, 2) proportionnées et 3) dissuasives pour chaque cas particulier, comme c’est le cas des garanties procédurales prévues dans le RGPD^{Note de bas de page 68}. À ces fins, l’inclusion dans la loi d’une liste de critères à considérer pour rendre une décision (comme le fait que la violation a été commise délibérément, le défaut de prendre des mesures pour atténuer les dommages subis, l’absence de coopération avec les autorités) pourrait également s’avérer utile^{Note de bas de page 69}. Enfin, le Commissariat pourrait créer des mécanismes d’examen internes pour éviter tout biais, semblables aux mécanismes instaurés par la Loi canadienne anti-pourriel^{Note de bas de page 70}.

La LPRPDE devrait prévoir des sanctions allant jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’organisation, en choisissant le plus élevé des deux, comme le prévoit le projet de loi n^o 64^{Note de bas de page 71}. Le Commissariat disposerait ainsi d’outils adéquats, semblables à ceux conférés par le RGPD aux autorités chargées de la protection des données^{Note de bas de page 72}, mais adaptés au contexte canadien. Ces dispositions prennent en considération les besoins des petites et moyennes entreprises (PME) en accordant au décideur le pouvoir discrétionnaire d’imposer une amende, sans prévoir de montant minimal, et en fixant un plafond en fonction du chiffre d’affaires. Toutes les amendes devraient être des sanctions financières de nature administrative plutôt que pénale. Les sanctions administratives évitent qu’une procédure pénale vienne se greffer à l’imposition d’une amende et confèrent au Commissariat le pouvoir discrétionnaire nécessaire en matière d’exécution. Plus généralement, elles permettent d’échapper aux restrictions des autres lois fédérales qui, contrairement à la LPRPDE, requièrent une dimension pénale pour pouvoir relever du pouvoir législatif fédéral, mais dont les sanctions sont rarement appliquées.

Ces pouvoirs obligeraient le Commissariat à passer d’un modèle d’ombudsman à celui d’un organisme de réglementation. Cette transformation a reçu un large soutien dans les réponses à la consultation (74 %) et comme l’a fait valoir le commissaire à la protection de la vie privée, elle s’inscrit dans une approche réglementaire modernisée qu’il est important d’adopter pour rétablir la confiance des citoyens^{Note de bas de page 73}. Ces pouvoirs supposeraient deux changements fondamentaux. Premièrement, il faudrait conférer au Commissariat le pouvoir discrétionnaire de décider à quelle plainte donner suite, lesquelles abandonner, ce qui compléterait son pouvoir d’entamer des enquêtes en l’absence d’une plainte, comme il le suggérait dans son rapport au Parlement^{Note de bas de page 74}. Deuxièmement, il faudrait accorder au Commissariat le pouvoir d’émettre des lignes directrices ou des règlements ayant force exécutoire qui lui permettront de faire connaître comment il entend appliquer les exigences de la Loi et d’offrir aux individus comme aux organisations plus de certitude quant aux droits et aux obligations établis, comme le préconisait le rapport au Parlement de 2018-2019^{Note de bas de page 75}. La prévisibilité juridique en serait favorisée et la neutralité technologique de la Loi, renforcée, étant donné que le Commissariat aurait la possibilité de formuler « une loi fondée sur des principes et formulée de façon très générale^{Note de bas de page 76} », conformément à ce qu’il avait proposé. Ce deuxième pouvoir concorderait avec les pouvoirs proposés d’imposition d’amendes ainsi qu’avec ceux existants du Commissariat en matière d’enquête. Ces deux pouvoirs s’accorderaient avec ceux d’autres agences canadiennes de réglementation^{Note de bas de page 77}. Comme l’a estimé le Commissariat, les organismes de réglementation devraient avoir « des pouvoirs proportionnels au risque croissant d’atteinte à la vie privée que présentent les nouvelles technologies révolutionnaires^{Note de bas de page 78} ». Ces risques sont bien plus importants qu’ils ne l’étaient en 2001, particulièrement en ce qui touche les utilisations liées à l’IA.

e. Application de la loi par des moyens privés

L’approche recommandée, fondée sur les droits de la personne, et la reconnaissance des pouvoirs restreints du Commissariat attribuables à ses ressources limitées rendent également nécessaire de prévoir des droits d’action privés en cas d’atteinte aux obligations prévues par la LPRPDE^{Note de bas de page 79}. Cela peut se faire en étendant la portée de l’alinéa 16c) de la LPRPDE. Les droits d’action privés découlent de l’approche fondée sur les droits^{Note de bas de page 80}. L’application de la loi deviendrait plus efficace, car les pouvoirs et les ressources du Commissariat en la matière sont à eux seuls insuffisants pour assurer une conformité optimale^{Note de bas de page 81}. De tels droits rendraient aussi l’application de la loi plus dynamique puisqu’ils permettraient la multiplication des ressources afférentes, allégeant ainsi les contraintes pesant sur les budgets gouvernementaux — comme le font souvent remarquer les juristes en matière de réglementation, les restrictions budgétaires sont une contrainte récurrente sur la capacité des organismes publics à faire appliquer les lois^{Note de bas de page 82}.

Il est possible d’atténuer la crainte que les droits d’action privés n’augmentent les coûts des entreprises en limitant la portée de ces droits. L’adoption de mesures telles que l’octroi aux entreprises d’un délai de trente jours pour remédier à une présumée violation avant de pouvoir exercer pareil droit, ou l’obligation pour les plaignants d’assumer les frais de justice des entreprises en cas de réclamation infondée, conformément aux précédents internationaux, permettrait de limiter les coûts en question^{Note de bas de page 83}, tout comme le fait de prévoir dans la loi une fourchette de dommages-intérêts pour chaque violation. Un intervalle possible irait de 100 $ à 10 000 $ par violation^{Note de bas de page 84}, ce qui correspond à la réparation maximale prévue dans la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario^{Note de bas de page 85}. Même si le plafond des dommages-intérêts sera souvent trop bas pour justifier l’introduction d’une demande, il pourrait s’avérer utile dans le cas de violations généralisées, en particulier si les tribunaux décident de faire droit à des demandes de certification de recours collectifs^{Note de bas de page 86}.

Les droits d’action privés vont de pair avec une plus grande souplesse accordée au Commissariat qui pourra décider à quelles demandes donner suite. Ils viennent renforcer les mécanismes d’application de la loi par les pouvoirs publics dans la perspective d’une approche valable fondée sur les droits, telle que la recommande le présent rapport. Dans le rapport au Parlement du Commissariat de 2016-2017, les droits d’action privés étaient défendus à titre de mécanisme offrant aux particuliers des solutions de rechange au modèle actuel de plainte et comme évolution raisonnable du régime de protection de la vie privée dans le secteur privé au Canada^{Note de bas de page 87}. Ils étaient également défendus dans le rapport au Parlement pour 2017-2018 compte tenu de la capacité restreinte du Commissariat à donner suite à toutes les demandes en raison de ses ressources limitées^{Note de bas de page 88}; et dans le rapport au Parlement de 2018-2019 à titre de moyen permettant de s’assurer que les individus ne sont pas laissés sans recours^{Note de bas de page 89}. Compte tenu de la modification préconisée du rôle du Commissariat, qui deviendrait un organisme de réglementation plutôt qu’un ombudsman et disposerait et même temps d’un pouvoir discrétionnaire en matière d’application de la loi, les intéressés ne devraient pas être tenus d’avoir fait faire enquête par le Commissariat avant de pouvoir se présenter devant les tribunaux. Cela dit, eu égard au montant maximum envisagé de dommages-intérêts prévu par la loi, l’étape de la communication préalable serait coûteuse, de sorte que la plupart des personnes concernées demanderont quand même à ce que le Commissariat fasse d’abord enquête.

Enfin, ces droits d’action privés seraient compatibles avec des lois canadiennes connexes qui combinent l’utilisation de mesures publiques d’application de la loi par un organisme de réglementation avec le droit des individus d’intenter des poursuites en cas de violations à la loi. Citons à titre d’exemple la Loi sur les télécommunications^{Note de bas de page 90}, la Loi sur la concurrence^{Note de bas de page 91} et un certain nombre de lois provinciales^{Note de bas de page 92}. Ces droits concordent également avec les dispositions législatives provinciales sur les délits d’atteinte à la vie privée et avec la common law canadienne^{Note de bas de page 93}. Ils sont également conformes à la législation moderne, comme le projet de loi n^o 64 du Québec^{Note de bas de page 94}, la CCPA pour les infractions de cybersécurité^{Note de bas de page 95}, et la Personal Data Protection Act de Singapour^{Note de bas de page 96}. Le RGPD prévoit également le droit d’intenter une action privée^{Note de bas de page 97}, mais ces dispositions sont de portée plus étroite que celles contenues dans des lois plus modernes^{Note de bas de page 98}. La LPRPDE devrait aussi explicitement indiquer qu’elle ne supplante pas le droit provincial en matière de responsabilité délictuelle, en raison surtout de considérations liées au fédéralisme, comme l’a établi la jurisprudence^{Note de bas de page 99}.

3. Mesures de souplesse

Les mesures de souplesse recommandées dans la présente section concernent les exceptions relatives au consentement, les renseignements désidentifiés, le principe de finalité et les mesures de protection appropriées. Les modifications recommandées s’appuient sur les propositions 6 (Faire en sorte que le respect des principes de la finalité et de la minimisation des données dans le contexte de l’IA soit à la fois réaliste et efficace), 7 (Inclure dans la loi d’autres motifs de traitement et des solutions pour protéger la vie privée lorsqu’il n’est pas possible d’obtenir un consentement valable) et 8 (Établir des règles qui permettent une certaine souplesse dans l’utilisation des renseignements qui ont été rendus non identifiables, tout en s’assurant qu’il existe des mesures plus rigoureuses pour assurer une protection contre la réidentification) de la consultation.

a. Consentement et intérêt du public

Même si le consentement est une composante essentielle de la protection de la vie privée et qu’il devrait le rester, les experts en droit à la vie privée ont maintes fois remis en cause sa capacité à répondre aux risques en la matière^{Note de bas de page 100}. Il n’est ni réaliste ni raisonnable de s’attendre à ce que les individus fassent des choix éclairés dans l’économie moderne de l’information. L’évaluation des coûts et des avantages liés à leurs renseignements personnels est une tâche quasi impossible et l’asymétrie de pouvoirs entre les organisations et les individus est énorme^{Note de bas de page 101}. Le préjudice en cas d’atteinte à la vie privée est difficile à évaluer, car les données personnelles inférées, que le traitement par l’IA consolide, sont imprévisibles^{Note de bas de page 102}. La plupart des intéressés lisent donc rarement les énoncés de confidentialité^{Note de bas de page 103} ou modifient peu les paramètres de confidentialité par défaut^{Note de bas de page 104}. En outre, même si les individus étaient en mesure de prendre des décisions optimales en matière de protection de la vie privée, la seule présence du consentement ne suffit pas pour prendre la mesure des conséquences qu’une décision prise par un individu concernant la protection de sa vie privée aura sur les plans collectif et social^{Note de bas de page 105}. Le paradigme du consentement est donc largement reconnu comme étant insuffisant pour faire face aux problèmes contemporains en matière de protection de la vie privée tels que ceux posés par l’IA. Le consentement peut être utilisé pour donner un caractère légitime à des activités déraisonnables ou contraires aux valeurs ou aux droits canadiens. Les mesures de protection de la vie privée ne peuvent reposer uniquement sur le consentement.

La LPRPDE devrait préciser que lorsqu’il n’est visé par aucune exception, le consentement doit être valable au sens des lignes directrices applicables du Commissariat^{Note de bas de page 106}. S’agissant de la recommandation visant à énoncer que les données inférées sont des données personnelles, la LPRPDE devrait prévoir un droit de s’opposer à la collecte, à l’utilisation ou à la communication de renseignements personnels, sous réserve d’un préavis raisonnable. À l’heure actuelle, la LPRPDE prévoit le droit de retirer son consentement en tout temps, sous réserve de restrictions légales ou contractuelles et d’un préavis raisonnable^{Note de bas de page 107}. L’ajout recommandé comblerait les lacunes du droit actuel qui permet de retirer son consentement, en particulier à l’égard des renseignements inférés. Toutes les exceptions à l’exigence du consentement et les mesures de souplesse s’y rapportant devraient aussi s’appliquer à ce droit d’opposition, ce qui pourrait aussi se faire en appliquant le droit de retirer son consentement aux renseignements inférés.

Afin de faciliter le développement de l’IA par les organisations, la LPRPDE devrait prévoir de nouvelles exceptions au consentement qui autorisent plus de souplesse dans les cas où il est impossible d’obtenir un consentement valable. Cette recommandation a été endossée dans les réponses à la consultation et concorde avec le cadre recommandé, fondé sur les droits.

La LPRPDE devrait prévoir une exception aux exigences du consentement dans les cas où la collecte ou le traitement des données personnelles est nécessaire pour le bien collectif, en imposant la désidentification comme condition. C’est ce qui était suggéré dans le rapport du Commissariat sur le consentement^{Note de bas de page 108}. L’exigence de la désidentification pour cette exception concorde avec l’approche du RGPD à l’égard du traitement à des fins de recherche, laquelle prévoit la désidentification comme condition^{Note de bas de page 109}.

La possibilité d’invoquer cette exception devrait être soumise à une évaluation des facteurs relatifs à la vie privée et à une pondération sous la forme d’un critère de nécessité et de proportionnalité, comme nous l’expliquons en détail ci-après. Cette recommandation préconise une approche semblable à celle des intérêts légitimes prévue dans le RGPD, laquelle est soumise à un exercice de pondération^{Note de bas de page 110}, alors que le consentement devrait être maintenu comme condition principale de collecte et de traitement des renseignements dans la LPRPDE^{Note de bas de page 111}. De plus, l’utilisation de l’exception fondée sur le bien collectif doit faire l’objet de vérifications ponctuelles, conformément à la recommandation visant à raffermir les pouvoirs du Commissariat en matière d’application de la loi, afin d’évaluer si l’exception est appliquée correctement par l’organisation et empêcher les utilisations abusives des critères de pondération. Cette condition renvoie à la responsabilité démontrable, qui sera essentielle pour garantir que les critères de pondération ne sont pas utilisés de manière abusive.

La LPRPDE devrait ajouter une définition de l’intérêt du public au titre de cette exception. La raison en est que [TRADUCTION] « sans véritable transparence, sans dispositions relatives au consentement et sans mécanismes de recours, les vagues arguments reposant sur le "bien collectif" ne résisteront sans doute pas à d’éventuelles contestations fondées sur la Charte ou à un examen approfondi au regard du droit international^{Note de bas de page 112} ». Un tel risque est particulièrement prédominant pour la LPRPDE, car la plupart des définitions du bien collectif ou de l’intérêt public dans des lois comparables renvoient à des activités qui relèvent au Canada de la Loi sur la protection des renseignements personnels et non de la LPRPDE (comme les définitions énoncées dans le RGPD et la Data Protection Act du R.-U.); la LPRPDE prévoirait donc une exception hors du commun au consentement. Cette exception est désirable, car le secteur privé peut également lancer des initiatives dans l’intérêt du public, comme l’a été le partenariat avec le secteur public pour les applications de traçage des contacts liés à la COVID-19. Une définition semblable à celle retenue par le Mexique devrait être mise en œuvre^{Note de bas de page 113}, laquelle mentionne des activités bien définies et relevant de la LPRPDE. Le libellé suivant pourrait être retenu : [TRADUCTION] Les renseignements sont recueillis ou traités pour le bien collectif lorsque l’activité présente un avantage pour la société et non simplement pour un intérêt ou un gain individuel ou commercial.

b. Exceptions liées à la recherche

La LPRPDE devrait ajouter de la souplesse à la collecte, à l’utilisation et à la diffusion de renseignements désidentifiés à des fins de recherche et de statistiques, tout en protégeant la vie privée et les droits fondamentaux. Pour ce faire, elle devrait soustraire les données suffisamment désidentifiées (sous réserve des mesures de protection décrites en détail ci-après) à des fins de recherche ou de production de statistiques des exigences suivantes : i) principe de finalité; ii) minimisation des données; et iii) contraintes liées au consentement pour la collecte, l’utilisation ou la diffusion.

La majorité des participants à la consultation étaient favorables à cette plus grande flexibilité. Les avis divergeaient cependant suivant les secteurs, le secteur privé étant fortement favorable et la société civile, le secteur à but non lucratif et le milieu universitaire manifestant une certaine opposition. La nécessité de veiller à ce que les données désidentifiées restent dans le champ d’application de la LPRPDE tout en ménageant une certaine marge de manœuvre explique les arguments en faveur de la proposition et les préoccupations soulevées à son sujet.

Les exceptions concernent notamment les utilisations à des fins statistiques de manière à englober clairement l’entraînement de l’IA, sans égard à la question de savoir si la collecte, l’utilisation, ou la diffusion des données sont effectuées à des fins publiques ou commerciales, tout en conservant la neutralité technologique. Par conséquent, cette exception prend en compte d’une part, les commentaires aux propositions présentées dans le cadre de la consultation, puisqu’elle permettra l’entraînement de l’IA, et d’autre part, les commentaires minoritaires en faveur d’un allègement des exigences au stade de l’entraînement de l’IA. Par conséquent, des exigences souples pour le traitement de données désidentifiées à des fins statistiques seront favorables à l’innovation en IA au Canada. Cette recommandation permet une plus grande souplesse dans les situations à faible risque, les renseignements désidentifiés étant favorables aux activités à faible risque lorsqu’ils sont assortis de mesures de protection semblables à celles recommandées dans le présent module.

La première exception (principe de finalité) permet une grande souplesse, car comme l’indiquaient les commentaires reçus à la suite de la consultation, il arrive souvent que les organisations ne trouvent de finalité utile qu’après avoir recueilli et traité des données. Cette question est particulièrement pertinente au regard de la plus grande capacité de traitement que suppose l’IA. Pour la phase d’entraînement de l’IA, il est fréquent que les données recueillies à une fin donnée s’avèrent utiles ou qu’elles deviennent valables lorsqu’elles sont combinées à d’autres données^{Note de bas de page 114}. Des dispositions semblables se retrouvent dans des lois comparables, notamment la Act on the Protection of Personal Information du Japon^{Note de bas de page 115}, certaines lois sur la protection des renseignements personnels sur la santé^{Note de bas de page 116} et le projet de loi n^o 64^{Note de bas de page 117}.

La deuxième exception (minimisation des données) répond à une préoccupation soulevée dans les commentaires reçus à la suite de la consultation : si les organisations ne peuvent recueillir de grandes quantités de données, la phase d’entraînement de l’IA s’effectuera avec de plus petits échantillons. On craint, ce faisant, que pour se conformer à l’exigence de minimisation de données, le développement et l’innovation en matière d’IA pourraient être entravés et son exactitude réduite en fin de compte. L’exception recommandée à la minimisation des données répond à cette préoccupation.

La minimisation des données est réaliste dans le contexte de l’IA, par exemple en réduisant l’identifiabilité^{Note de bas de page 118}. Le commissariat à l’information (ICO) du R.-U. faisait les remarques suivantes dans son cadre de vérification : [TRADUCTION] « Un certain nombre de techniques permettent à la fois la minimisation des données ainsi que le développement et le déploiement efficaces de l’IA^{Note de bas de page 119}. » La minimisation des données ne justifie donc aucune modification pour tenir compte de l’IA, en particulier lorsqu’elle est assortie de mesures de souplesse applicables à des situations à faible risque recommandées dans le présent rapport pour accélérer le développement de l’IA au Canada. L’idée selon laquelle la minimisation des données peut coexister avec l’IA a été avalisée dans les réponses reçues à la suite de la consultation, en plus d’être compatible avec des précédents législatifs internationaux et les positions d’autres autorités chargées de la protection des données, notamment en Australie, en Irlande, en Norvège, en Corée du Sud, et au R.-U.^{Note de bas de page 120}. De plus, la minimisation des données donne la priorité à la proportionnalité, qui étaye l’exercice de pondération fondé sur les droits, comme l’a noté l’autorité norvégienne chargée de la protection des données^{Note de bas de page 121}. Le droit protège les droits individuels, puisqu’il mitige le risque de préjudice en empêchant les organisations de recueillir et de traiter l’information plus que nécessaire. La minimisation des données peut également remplir un rôle de communication publique en expliquant aux individus comment les données les concernant doivent être recueillies et traitées dans le respect de leurs droits de la personne.

La formulation de la troisième exception (consentement) s’applique à la collecte, à l’utilisation et à la diffusion de renseignements désidentifiés, mais échappe aux exigences de l’alinéa 7(2)c) de la LPRPDE, qui énonce une exception liée à la recherche applicable aux renseignements identificatoires. Cette troisième exception devrait opérer en conjonction avec celles déjà prévues à l’article 7 de la LPRPDE en ce qui concerne les renseignements identificatoires. Cette exception recommandée répond indirectement aux commentaires recueillis lors de la consultation selon lesquels la LPRPDE devrait permettre une plus grande souplesse en vue du traitement subséquent des renseignements qui n’étaient pas visés par la finalité initiale, en accordant une plus grande marge de manœuvre à l’exception relative au principe de finalité. Elle est d’ailleurs conforme aux textes législatifs internationaux en vigueur, notamment le RGPD^{Note de bas de page 122}. Cette troisième exception devrait englober la communication interne au sein de l’organisation et la communication externe sous réserve d’accords d’échange de données qui interdisent la réidentification.

c. Renseignements désidentifiés

La LPRPDE devrait remplacer le terme pseudonymisation par le terme désidentification. Ce terme est avantageux par rapport à d’autres parce qu’il signale clairement que la réidentification est possible^{Note de bas de page 123}. Le terme désidentification, qui tient également compte des commentaires formulés durant la consultation, est compatible avec la législation internationale moderne^{Note de bas de page 124}.

La LPRPDE devrait interdire la réidentification de données ayant été désidentifiées conformément à l’une des exceptions de la Loi, et prévoir des sanctions financières administratives imposées par le Commissariat en cas de violation de cette interdiction. Cette recommandation revient à reconnaître que la désidentification, même correctement mise en œuvre, ne vient pas à bout de tous les risques. L’interdiction concorde avec d’autres interdits équivalents prévus dans le projet de loi n^o 64^{Note de bas de page 125} et la CCPA^{Note de bas de page 126}, avec l’approche adoptée au R.-U.^{Note de bas de page 127}, en Australie^{Note de bas de page 128}, en Nouvelle-Zélande^{Note de bas de page 129}, au Japon^{Note de bas de page 130} et en Corée du Sud^{Note de bas de page 131}, ainsi qu’avec les commentaires formulés durant la consultation. La LPRPDE devrait préciser que les amendes en cas de réidentification doivent être proportionnelles aux risques qui en découlent et clarifier aussi la fourchette des sanctions afin de fournir des garanties procédurales aux organisations^{Note de bas de page 132}. La LPRPDE devrait suivre l’approche adoptée dans la Data Protection Act du R.-U., en prévoyant des exceptions, comme pour les mesures visant à lutter contre les atteintes à la sécurité^{Note de bas de page 133}, en réponse aux commentaires reçus à la suite de la consultation concernant ces mesures.

La LPRPDE devrait par ailleurs obliger les organisations à mettre en œuvre des mesures de protection techniques pour empêcher les tiers de réidentifier des données désidentifiées. Cette exigence permettrait de s’assurer que les organisations se prévalent de cette exception dans le respect de la vie privée et des droits fondamentaux des Canadiens. Elle suivrait l’approche adoptée par la CCPA^{Note de bas de page 134}, la Personal Information Protection Act^{Note de bas de page 135} sud-coréenne ainsi que par plusieurs autorités chargées de la protection des données lorsque des mesures de protection ne sont pas prévues dans la loi même^{Note de bas de page 136}.

La LPRPDE devrait préciser que parce que toute désidentification est imparfaite, les renseignements désidentifiés demeurent des renseignements identifiables^{Note de bas de page 137}. D’après la jurisprudence et les positions antérieures du Commissariat, les renseignements personnels « concernent » un individu identifiable, ce qui signifie qu’ils intéressent ou concernent l’individu en question^{Note de bas de page 138}. Les données désidentifiées « concernent » toujours une personne identifiable, car les renseignements désidentifiés peuvent être retracés en recoupant différents éléments de données désidentifiées avec des renseignements publics : les données ne sont jamais entièrement désidentifiées et la réidentification est toujours possible^{Note de bas de page 139}. C’est pourquoi les renseignements désidentifiés sont visés par la LPRPDE et échappent à certains droits et obligations établis par cette loi, mais pas tous^{Note de bas de page 140}. Le fait de reconnaître les renseignements désidentifiés comme des renseignements personnels identificatoires protège les droits de la personne tout en autorisant une certaine souplesse^{Note de bas de page 141}.

De plus, les données désidentifiées révèlent encore des renseignements tels que des attributs, des inférences et des tendances à l’égard de groupes de personnes. Des données qui demeurent désidentifiées peuvent donc être préjudiciables aux membres de ces groupes, par exemple si elles sont utilisées de manière discriminatoire, même involontairement, lors de leur traitement par l’IA^{Note de bas de page 142}. Les préjudices causés à la protection des renseignements collectifs ne dépendent pas de la réidentification des individus : des décisions peuvent affecter des individus désidentifiés sur la base d’attributs de groupe (comme le genre, l’orientation sexuelle, la préférence politique)^{Note de bas de page 143}. Les atteintes à la protection des renseignements collectifs peuvent non seulement constituer de la discrimination, mais aussi porter atteinte à d’autres droits protégés par la Charte, comme la liberté d’opinion et d’expression, et la liberté d’association^{Note de bas de page 144}. La réglementation des données désidentifiées est essentielle pour prévenir les biais dans l’IA^{Note de bas de page 145}. L’inclusion des données désidentifiées dans la LPRPDE est donc conforme à la recommandation susmentionnée sur l’importance de reconnaître des droits collectifs dans le préambule et la déclaration d’objet. Cette inclusion a également été proposée dans les commentaires reçus à la suite de la consultation et appuyée par Innovation, Sciences et Développement économique Canada (ISDE)^{Note de bas de page 146} ainsi que par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique^{Note de bas de page 147}.

La désidentification devrait être définie dans la LPRPDE. La LPRPS énonce une définition souhaitable que la LPRPDE pourrait inclure : Relativement à des renseignements personnels sur la santé concernant un particulier, s’entend du fait d’en retirer les renseignements qui permettent de l’identifier ou à l’égard desquels il est raisonnable de prévoir, dans les circonstances, qu’ils pourraient servir, seuls ou avec d’autres renseignements, à l’identifier^{Note de bas de page 148}. Cette définition est conforme à la norme énoncée dans Gordon c Canada (Santé)^{Note de bas de page 149}, mais elle fournit un critère plus clair, celui-ci étant formulé aux fins d’une loi (dans le style du RGPD et de la CCPA^{Note de bas de page 150}). Cette définition a l’avantage supplémentaire de préciser explicitement qu’un règlement du Commissariat fournira d’autres détails.

Cette définition devrait être complétée par une ligne directrice du Commissariat quant aux moyens valables de désidentification. Cette ligne directrice donnerait des orientations aux organisations tout en maintenant la neutralité technologique de la LPRPDE. La proposition tient compte des commentaires formulés durant les consultations en table ronde qui se sont déroulées à Toronto et à Montréal, d’après lesquels les lois ne devraient pas être trop prescriptives quant aux méthodes de désidentification.

d. Mesures de protection relatives aux exceptions recommandées

La LPRPDE devrait imposer des mesures de protection lorsque les nouvelles exceptions liées au bien collectif et à la recherche sont invoquées, afin d’assurer la protection des droits de la personne tout en faisant preuve de souplesse. Les renseignements désidentifiés doivent être protégés, car : i) ils peuvent être réidentifiés; ii) les données désidentifiées agrégées révèlent des renseignements sur les groupes qui créent des risques pour leurs membres; et iii) au-delà des risques individuels, le traitement de renseignements personnels pose des risques sociaux, ce qui renvoie à l’idée que la protection de la vie privée est un droit de la personne^{Note de bas de page 151}. Pensons par exemple aux risques pour la démocratie que le scandale de Cambridge Analytica a révélés.

Suivant la première mesure de protection recommandée, la LPRPDE devrait prévoir un critère de pondération inspiré de l’analyse énoncée dans l’arrêt Oakes sur le fondement de l’article premier de la Charte^{Note de bas de page 152} et compatible avec celle-ci, et exiger sa mise en application lorsque les organisations invoquent les exceptions recommandées. L’exercice de pondération permettra de mitiger le risque de collecte excessive de renseignements personnels lié aux nouvelles exceptions, découlant par exemple d’une interprétation trop libérale du bien collectif. L’exercice de pondération ne doit pas présumer l’existence d’une atteinte à la vie privée, mais plutôt s’assurer de la nécessité et de la proportionnalité quant au recours aux exceptions de manière à protéger les droits de la personne tout en autorisant une certaine souplesse.

Cette prise en compte de la pondération découle de l’approche fondée sur les droits de la personne qui est recommandée et permet d’envisager plus clairement les moyens de sa mise en œuvre tout en reconnaissant les intérêts commerciaux légitimes, en accord avec les positions du Commissariat et les commentaires des intervenants^{Note de bas de page 153}. Pour mettre en œuvre l’exercice de pondération et rester en accord avec le droit à la responsabilité que nous verrons plus loin, il sera essentiel de clarifier la manière dont une exception a été invoquée ou appliquée. Par exemple, le « bien collectif » doit être clairement défini (de manière à permettre l’analyse de la pondération), être urgent et réel, avoir un lien rationnel avec les moyens mis en œuvre pour le réaliser, porter le moins possible atteinte à la vie privée et aux droits de la personne, et être proportionnel aux moyens mis en œuvre pour le réaliser.

Aux termes de la deuxième mesure de protection, la LPRPDE devrait imposer des évaluations des facteurs relatifs à la vie privée lorsque des exceptions relatives au consentement ou aux renseignements désidentifiés sont invoquées. Ces évaluations permettront à la fois au Commissariat et aux organisations de déceler les risques réels de préjudice grave liés à la collecte, au traitement et à la diffusion lorsque les mesures habituelles de protection comme le consentement, la minimisation des données et le principe de finalité sont absentes. Cette exigence sera pratique en ce qu’elle permettra au Commissariat de veiller à la pondération sans entraîner de coûts d’application importants. De même, elle permettra aux organisations de s’acquitter de leurs obligations relatives à la pondération en ayant une idée plus précise des risques et des avantages, notamment pour ce qui est d’évaluer la proportionnalité. Les évaluations des facteurs relatifs à la vie privée deviennent plus pertinentes à l’étape de la conception et du déploiement de l’IA, car les risques d’atteinte à la vie privée deviennent plus imprévisibles. C’est ce qu’a reconnu, par exemple, l’ICO du R.-U. lorsqu’il a invité les responsables du traitement des données à réfléchir aux compromis auxquels ils sont prêts pour recourir à l’IA, notamment en ce qui concerne l’équité et les indicateurs de catégories protégées^{Note de bas de page 154}.

e. Principe de finalité et compatibilité

La LPRPDE devrait préciser que le principe de finalité, lorsqu’il s’applique, constitue un droit de consentement lié à une finalité qui n’autorise pas le regroupement des consentements. Cela est reconnu dans les rapports du Commissariat^{Note de bas de page 155} ainsi qu’à l’étranger, par exemple dans l’Union européenne suivant les dispositions du RGPD^{Note de bas de page 156} et les commentaires provenant des lignes directrices du GT art. 29 sur le consentement^{Note de bas de page 157}, en Australie^{Note de bas de page 158}, en Azerbaïdjan au titre de certaines interprétations^{Note de bas de page 159}, à Hong Kong^{Note de bas de page 160} et à l’échelle nationale dans le projet de loi 64^{Note de bas de page 161}.

Pour laisser plus de marge de manœuvre dans le contexte de l’IA, la LPRPDE devrait permettre plus de souplesse dans l’application du principe de finalité. Plus précisément, la LPRPDE devrait accorder une plus grande marge de manœuvre en vue du traitement subséquent des renseignements qui n’étaient pas visés par la finalité initiale lorsque celle-ci est compatible avec la nouvelle. En d’autres termes, s’il émerge une nouvelle finalité compatible avec celle à l’égard de laquelle les renseignements personnels ont initialement été recueillis, l’obligation d’obtenir à nouveau le consentement devrait être levée. La compatibilité devrait supposer un lien direct et pertinent.

La mise en œuvre de cette recommandation obligera le Commissariat à délivrer des orientations précisant ce qui constitue une finalité compatible et un lien direct et pertinent, ce qui aidera les organisations à évaluer la compatibilité. Les directives pourraient être formulées conformément à celles fournies par le GT art. 29 concernant une disposition semblable^{Note de bas de page 162}. Il est essentiel que cette exception ne soit pas interprétée trop largement, et n’autorise pas une dispense de consentement pour n’importe quel type d’utilisation.

Cette recommandation met en œuvre les propositions de la consultation conformément à la Loi sur la protection des renseignements personnels, aux termes de laquelle il n’est pas nécessaire d’obtenir à nouveau le consentement lorsque les renseignements personnels ont été obtenus « pour les usages qui sont compatibles avec ces fins [initiales]^{Note de bas de page 163} ». Cette recommandation s’appuie également sur des précédents internationaux. Aux termes du RGPD par exemple, les données peuvent être traitées ultérieurement d’une manière qui n’est « [pas] incompatible » avec les finalités initiales^{Note de bas de page 164}. La CCPA mentionne des fins [TRADUCTION] « compatibles dans le contexte où les renseignements personnels ont été recueillis^{Note de bas de page 165} ». Le projet de loi n^o 64 établit à son tour que les données peuvent être utilisées à des fins « compatibles avec celles auxquelles [elles ont] été recueilli[es] » (exception relative aux fins secondaires)^{Note de bas de page 166}.

Cette idée assouplit l’exigence de finalité afin de reconnaître les intérêts commerciaux. Elle a été appuyée, dans les réponses à la consultation, par l’industrie privée, la société civile et le milieu universitaire même si elle ne figurait pas parmi les questions initiales posées par le Commissariat dans le cadre de la consultation. En particulier, la compatibilité des finalités serait extrêmement bénéfique pour les PME, qui n’ont peut-être pas la capacité de recueillir continuellement des données nouvelles à des fins nouvelles. Cette recommandation est liée à la responsabilité, car la vérification de ce que les organisations prétendent être des finalités compatibles suppose un contrôle ponctuel ou une surveillance au moyen de la traçabilité des données. Plus précisément, les organisations devront peut-être procéder à une analyse documentée aux fins de vérification de la conformité. Il convient donc de préciser que le principe de finalité est compris dans les obligations de tenue de registres. Ces exigences relatives au principe de finalité, fixées dans le souci des besoins de l’entreprise, tiennent compte des commentaires minoritaires reçus à la suite de la consultation qui plaidaient pour plus de souplesse dans l’application de ce principe aux stades de l’entraînement de l’IA, tout en assurant le maintien de la neutralité technologique.

Le principe de finalité, comme la minimisation des données, est réaliste dans le contexte de l’IA, surtout s’il est complété par les mesures de souplesse recommandées à l’égard de la recherche, de l’intérêt public et des finalités compatibles. Par conséquent, le principe de finalité devrait être maintenu. Cette idée a reçu le soutien des participants à la consultation. Pour que le consentement soit valable, il est important d’améliorer la prévisibilité et de réduire l’incertitude, ce que permet de faire le principe de finalité. Le maintien de ce principe, comme dans le projet de loi n^o 64 et le RGPD, assure donc un consentement valable lorsque les individus ont un droit au consentement. De plus, le principe de finalité accroît la responsabilité en permettant aux individus d’avoir une idée claire des pratiques des organisations en matière de données.

4. Dispositions propres à la prise de décision automatisée

Les modifications recommandées dans la présente section s’appuient sur les propositions 1 (Inclure dans la loi une définition de l’IA qui servirait à distinguer les règles juridiques qui ne s’appliqueraient qu’à elle, tandis que les autres règles s’appliqueraient à tout type de traitement, y compris l’IA), 3 (La loi devrait prévoir le droit de s’opposer à la prise de décision automatisée et de ne pas être soumis à des décisions fondées uniquement sur un traitement automatisé, sous réserve de certaines exceptions), et 4 (Donner aux personnes le droit à une explication et à une plus grande transparence lorsqu’elles interagissent avec un traitement automatisé ou font l’objet d’un tel traitement) de la consultation.

a. IA et neutralité technologique

La LPRPDE ne devrait pas définir l’IA, sous peine de compromettre sa neutralité technologique, un principe jugé souhaitable par le Commissariat^{Note de bas de page 167}. Cette réforme de la LPRPDE serait la première réforme majeure en 20 ans et elle devrait, à ce titre, prévoir des dispositions qui demeureront vraisemblablement en vigueur pendant des décennies. La majorité des auteurs des commentaires reçus à la suite de la consultation s’opposaient à une définition de l’IA pour cette raison. L’interprétation de la LPRPDE ne devrait pas dépendre des particularités propres aux technologies, qui continueront d’évoluer. La loi devrait plutôt mettre l’accent sur les risques auxquels la technologie expose les droits de la personne^{Note de bas de page 168}. De même, l’IA n’est pas définie ni dans le RGPD ni dans la Data Protection Act du R.-U. ni dans le projet de loi n^o 64, mais tous ces instruments introduisent néanmoins des dispositions utiles pouvant répondre aux nouveaux risques posés par l’IA.

Le maintien de la neutralité technologique n’empêcherait pas d’utiliser une expression telle que « prise de décision automatisée » pour désigner le type d’activité associé à des risques (plutôt que de mentionner des technologies spécifiques comme l’IA). Une telle expression est employée par exemple dans le RGPD et dans le projet de loi n^o 64^{Note de bas de page 169}.

La prise de décision automatisée introduit des risques uniques qui doivent, dans une loi sur les droits de la personne, comme la LPRPDE, être pris en charge différemment que les autres types de traitement de données^{Note de bas de page 170}. [TRADUCTION] « Suivant la prise de décision automatisée, des résultats discriminatoires peuvent survenir même lorsque les décideurs n’ont aucunement l’intention d’agir de manière discriminatoire^{Note de bas de page 171}. » Les processus décisionnels automatisés reflètent et accentuent les biais inhérents aux données qui leur sont fournies (les données qui servent à l’entraînement), ce qui affecte les décisions auxquelles ils aboutissent. Ils reproduisent et amplifient les scénarios nécessairement biaisés au moyen desquels ils ont été entraînés^{Note de bas de page 172}. Les catégories protégées qu’il est interdit aux décideurs de considérer, comme le genre ou la race, sont souvent statistiquement associées à des caractéristiques apparemment inoffensives, comme la taille ou le code postal. La prise de décision basée sur des algorithmes peut aisément conduire à une discrimination indirecte fondée sur le genre ou la race en s’appuyant sur ces caractéristiques à titre d’indicateurs des traits prohibés^{Note de bas de page 173}. Les règles juridiques destinées à régir les systèmes d’IA doivent également reconnaître les risques potentiels pour les droits de la personne, en particulier le droit à la vie privée et à la non-discrimination, dans la manière dont ces systèmes sont conçus. Par exemple [TRADUCTION] « de plus en plus de données [indiquent] que les algorithmes des plateformes sur demande cumulent les préjugés conscients ou inconscients des utilisateurs, ce qui entraîne une discrimination contre des groupes comme les femmes et les travailleurs issus de minorités ethniques^{Note de bas de page 174} ». Les deux droits recommandés ci-après répondent à ces préoccupations.

b. Le droit à une explication

La LPRPDE devrait prévoir un droit d’obtenir une explication valable lorsqu’un individu fait l’objet d’une prise de décision automatisée qui utilise des renseignements personnels le concernant. Cette recommandation favorise les droits en matière de responsabilité en aidant les individus à comprendre les décisions qui les concernent. Elle protège d’autres droits énoncés dans la LPRPDE (y compris des droits recommandés dans le présent rapport), comme le droit à la contestation, au consentement éclairé ainsi que le droit de déceler et de corriger des renseignements personnels erronés, dont les inférences^{Note de bas de page 175}. Le droit à une explication protège également les droits de la personne, comme le droit de ne pas être soumis à des décisions discriminatoires^{Note de bas de page 176}.

De plus, le droit à une explication découle de l’application au contexte de l’IA des principes d’ouverture et de transparence, lesquels sont présents dans la LPRPDE. Ce droit dérive aussi du principe de la communication des renseignements, suivant lequel la responsabilité peut également être invoquée à l’échelle individuelle. Même si les particuliers devraient avoir droit à la transparence sans égard au type de traitement auquel l’information est soumise, la prise de décision automatisée nécessite des dispositions supplémentaires. Comme l’indiquent les auteurs des commentaires reçus à la suite de la consultation, le droit à une explication est lié aux principes de respect de la vie privée, de responsabilité, d’équité, de non-discrimination, de sécurité et de transparence. Les efforts déployés pour garantir ces droits confirment la nécessité d’introduire un droit à une explication.

De bonnes raisons justifient de limiter la portée du droit à une explication à la prise de décision automatisée. Cette formulation maintient la neutralité technologique tout en évitant la difficulté de devoir définir l’IA dans la loi. Le droit à une explication englobe les situations dans lesquelles les droits de la personne sont à risque, sans imposer aux organisations les coûts accrus que supposent les formulations plus larges (comme un droit à une explication pour tous les profilages). Ce champ d’application est particulièrement favorable aux PME, car la mise en conformité demandera moins de ressources. En outre, cela évite d’empiéter sur d’autres domaines du droit, tels que le droit du travail, qui prévoient l’obligation de motiver les décisions. Cela permet donc de s’assurer que la LPRPDE ne déborde pas son champ d’application constitutionnel.

La LPRPDE devrait définir de manière succincte la « prise de décision automatisée » en précisant clairement que cette expression comprend les décisions faisant intervenir des moyens automatisés — pas seulement celles prises exclusivement par de tels moyens. Cette formulation recommandée tient compte des commentaires mixtes reçus durant la consultation, lesquels réclamaient le maintien de la neutralité technologique, mais aussi une définition claire des termes et une déclaration reconnaissant que l’IA introduit des risques particuliers. Par ailleurs, cette définition représenterait une amélioration par rapport aux formulations contenues dans le RGPD et le projet de loi n^o 64^{Note de bas de page 177}, car elle offrirait une protection substantielle en ne limitant pas la portée du droit au traitement uniquement fondé sur des moyens automatisés^{Note de bas de page 178}. Elle évite ainsi l’exception de l’intervention humaine très fortement critiquée et soulevée à titre de préoccupation dans les commentaires reçus à la suite de la consultation. Comme il n’existe pas de décision purement automatisée, il est important de fournir une définition fonctionnelle qui concorde avec l’état actuel de la technologie et peut évoluer avec le temps.

L’expression « prise de décision automatisée » devrait être complétée par des lignes directrices du Commissariat qui préciseraient comment l’expression s’applique au contexte technologique actuel. Ces lignes directrices peuvent préciser les droits et les obligations propres à une technologie, ce qui permettra de s’assurer que la LPRPDE demeure pertinente à long terme, car ce qui constitue une explication adéquate dépend souvent du type de système^{Note de bas de page 179}. Voici comment une ligne directrice du Commissariat pourrait être convenablement libellée : [TRADUCTION] La prise de décision automatisée s’entend d’une décision qui nécessite l’utilisation d’un algorithme d’apprentissage automatique pour suggérer un résultat ou pour restreindre les choix, même avec une intervention humaine. Cette approche — qui réunit l’expression prévue par la loi et une ligne directrice qui en précise le sens — aborde la question de manière semblable au RGPD et au projet de loi n^o 64 (et la directive du SCT sur la prise de décision automatisée^{Note de bas de page 180}), et adopte les suggestions fournies dans les commentaires reçus à la suite de la consultation.

La LPRPDE devrait également définir ce qui constitue une « explication valable ». Le Commissariat devrait publier une ligne directrice ou un règlement qui clarifie le sens et l’ampleur de l’explication requise de manière à préciser les explications qui sont pertinentes pour les différentes technologies. Cette combinaison maintient la neutralité technologique de la LPRPDE (étant donné que la définition d’une explication adéquate dépendra largement de la technologie) tout en créant une certitude maximale pour les organisations et les individus. La ligne directrice ou le règlement en question pourrait décrire ce qui se produit par exemple lorsque les organisations ne peuvent fournir d’explications courantes, ce qui évitera de devoir définir distinctement dans la loi ce qui constitue une explication valable pour les algorithmes de boîte noire. Le libellé suivant est recommandé aux fins de cette définition : [TRADUCTION] Une explication qui permet aux individus de comprendre la nature et les éléments de la décision dont ils font l’objet ou les règles qui définissent le traitement et les caractéristiques principales de la décision. Cette définition tient compte des deux aspects de la discussion théorique intéressant la question de savoir si les explications devraient concerner la décision ou la technologie^{Note de bas de page 181}. Elle suit l’exemple de la Loi pour une république numérique de France et représente une amélioration par rapport au RGPD^{Note de bas de page 182}.

En réponse aux commentaires formulés durant la consultation, le droit à une explication devrait tenir compte du fait que certains types d’explications sont inapplicables à certains systèmes automatisés. Cela dit, il n’existe aucun système pour lequel aucune explication ne pourra être fournie. Par exemple, même avec le modèle d’apprentissage profond le plus impénétrable, une organisation peut présenter les données d’entrée, les données d’entraînement, le modèle et le code s’il n’est pas protégé par la propriété intellectuelle^{Note de bas de page 183}. Elle peut aussi fournir une explication minimale quant à la nature de la décision et aux renseignements traités (indépendamment de la technologie). Il vaut la peine de préciser que seul un droit absolu et strict à une explication (qui empêche le développement de technologies moins explicables) réduirait l’exactitude. Il ne s’agit pas de la version recommandée ici. Cela dit, la complexité d’un système ou d’un processus de prise de décision ne devrait pas servir d’excuse pour ne pas fournir une explication suffisante, peu importe la forme qu’elle prend. Certaines composantes d’une explication devraient toujours être exigées des organisations, sans égard au type de système (par exemple des renseignements lisibles et compréhensibles)^{Note de bas de page 184}. Les explications devraient fournir des détails suffisants pour permettre aux individus de contester la décision.

Les commentaires reçus à la suite de la consultation ont soulevé des préoccupations analogues concernant la conséquence de l’obligation de fournir une explication sur les secrets commerciaux. La communication d’une explication est tout à fait compatible avec la protection de ces secrets. Cependant, les secrets commerciaux ne devraient pas priver les individus de renseignements essentiels concernant une décision. Ce raisonnement découle de l’arrêt Ewert c Canada^{Note de bas de page 185} rendu par la Cour suprême. La détermination de la compatibilité des explications avec la protection des secrets commerciaux obéit aux mêmes considérations que les cas d’incapacité technique évoqués plus tôt. En particulier, les explications fondées sur la décision (pédagogiques) plutôt que sur le modèle (par décomposition) peuvent permettre d’éviter la communication de secrets commerciaux^{Note de bas de page 186}. Des mesures peuvent être prises pour protéger la propriété intellectuelle même lorsque des explications sont fournies à l’égard de renseignements protégés, comme les ordonnances conservatoires ou la mise sous scellé^{Note de bas de page 187}. Cependant, suivant les commentaires reçus à la suite de la consultation et les préoccupations liées aux secrets commerciaux, la LPRPDE ne devrait pas exiger de déclarations publiques pour les algorithmes ni d’évaluations des facteurs liés aux algorithmes, lesquels peuvent réellement compromettre les intérêts légitimes des organisations en raison de leurs coûts sans être nécessaires à la protection des droits individuels.

Lorsque les circonstances l’exigent, la LPRPDE devrait obliger les organisations à informer les individus de leur droit à une explication, sinon ils ne pourront pas l’exercer. Le droit à une explication impose malgré tout un lourd fardeau aux individus qui doivent demander une explication et contester la décision s’ils le souhaitent^{Note de bas de page 188}. Le fait d’être informé de l’existence de ce droit et de recevoir une explication claire allège ce fardeau.

c. Le droit à la contestation

De plus, la LPRPDE devrait créer un droit de contester les décisions prises à l’égard d’un individu sur la base de renseignements personnels le concernant au moyen d’un processus décisionnel automatisé^{Note de bas de page 189}.

Comme le fait remarquer Mulligan, [TRADUCTION] « la capacité de contester des décisions est au cœur des droits conférés par la loi qui permettent que les données personnelles concernant un individu lui soient communiquées et d’avoir une idée des processus de prise de décision utilisés pour les classifier^{Note de bas de page 190} ». Cette capacité concorde avec l’approche fondée sur les droits recommandée dans le présent rapport. Comme le mentionnent les commentaires reçus à la suite de la consultation, la capacité des individus de contester les décisions mitige le risque de discrimination algorithmique dans les décisions automatisées. Le droit à la contestation est donc un complément utile au droit à une explication. Cependant, l’exercice de ce droit est plus simple que l’exercice du droit de s’opposer aux décisions, évoqué dans les propositions de consultation. Selon les commentaires reçus à la suite de la consultation, il n’est pas toujours techniquement possible ou approprié d’un point de vue contextuel d’exercer le droit d’opposition sans que d’importants coûts de conformité n’en découlent; il n’en va pas de même du droit plus limité à la contestation qui est recommandé et suivant lequel il suffit qu’un humain réexamine la décision à la recherche de problèmes systémiques connus liés à la prise de décision algorithmique.

Les raisons favorables à la formulation d’un droit à une explication pour « la prise de décision automatisée » s’appliquent également à celle du droit de contester cette prise de décision. Comme pour le droit à une explication, cette formulation du droit à la contestation évite l’exception de l’intervention humaine prévue dans le RGPD^{Note de bas de page 191}, très fortement critiquée et dont les commentaires reçus à la suite de la consultation étaient défavorables^{Note de bas de page 192}. De plus, le droit à la contestation est étroitement lié à la prise de décision automatisée, puisque le droit de contester une décision devant un décideur humain ne serait pas nécessaire si la décision initiale était déjà prise par un humain. Cette approche est conforme à la portée du droit à la contestation prévu dans le projet de loi n^o 64^{Note de bas de page 193}, dans le RGPD^{Note de bas de page 194} et dans la Data Protection Act du R.-U.^{Note de bas de page 195}, qui le limitent tous aux décisions automatisées^{Note de bas de page 196}. Un droit plus large de contester toute décision — et non seulement les décisions automatisées — empiéterait sur le droit fédéral et provincial car il modifierait les droits d’appel (et les obligations de prévoir un appel) à l’égard des décisions rendues par des entités privées qui relèvent du droit privé, comme le droit en matière d’emploi^{Note de bas de page 197}. De plus, le fait de restreindre le droit en question à la prise de décision automatisée atténue les préoccupations éventuelles concernant l’augmentation des coûts.

5. Responsabilité et conception

Les modifications recommandées dans la présente section s’appuient sur les propositions 5 (Exiger l’application des principes de la protection de la vie privée dès la conception et des droits de la personne dès la conception à toutes les étapes du traitement, y compris la collecte de données), 9 (Exiger des organisations qu’elles assurent la traçabilité des données et des algorithmes, notamment en ce qui concerne les ensembles de données, les processus et les décisions prises pendant le cycle de vie du système d’IA) et 10 (Obliger à faire preuve de responsabilité démontrable pour l’élaboration et la mise en œuvre du traitement par IA) de la consultation.

a. Responsabilité

La LPRPDE devrait prévoir un droit à la responsabilité démontrable pour les individus, lequel imposerait une responsabilité démontrable à l’égard de tout traitement de renseignements personnels. Cela concorde avec l’approche fondée sur les droits de la personne qui est recommandée ainsi qu’avec l’exigence de droits et d’obligations clairs, la responsabilité démontrable faisant partie intégrante de la conformité et de l’application de la loi^{Note de bas de page 198}. Pour reprendre les mots du GT art. 29, la responsabilité démontrable fait passer le respect de la vie privée de [TRADUCTION] « la théorie à la pratique »^{Note de bas de page 199}. Le droit se justifie par la quantité de renseignements personnels recueillis, traités et diffusés chaque jour au Canada; par la valeur de ces données; et par les effets potentiellement néfastes découlant d’une atteinte à la sécurité des renseignements personnels, tous secteurs confondus^{Note de bas de page 200}.

À ce sujet, la LPRPDE devrait adopter une approche semblable à celle du RGPD, lequel prévoit une disposition générale qui énonce le droit et impose aux organisations la responsabilité de démontrer la conformité^{Note de bas de page 201}, tout en exigeant des mesures précises en matière de responsabilité dans les autres dispositions^{Note de bas de page 202}. Les autres lois dotées de dispositions énonçant des mesures précises en matière de responsabilité sont le projet de loi n^o 64^{Note de bas de page 203}, la Data Protection Act de l’Irlande^{Note de bas de page 204}, et la Data Protection Act du R.-U.^{Note de bas de page 205}

Le droit à la responsabilité est déjà explicitement établi, y compris dans la LPRPDE, puisque le Commissariat exige que les organisations fassent la preuve des éléments pertinents de leurs programmes de gestion de la protection de la vie privée dans le cadre de ses enquêtes^{Note de bas de page 206}. Bien que la responsabilité soit importante aux fins de la conformité, sa finalité ne s’arrête pas là. Elle encourage également les organisations à examiner la totalité de leurs pratiques et renforce la confiance du public en signalant aux intervenants (employés, clients, fournisseurs, organismes de réglementation, etc.) que les obligations liées au respect de la vie privée sont prises au sérieux. Elle favorise un changement culturel vers la transparence et l’élaboration de politiques et de procédures à jour en matière de données, comme pour la formation des employés^{Note de bas de page 207}.

La LPRPDE devrait prévoir un droit à la traçabilité des données comme mesure de responsabilité. En particulier, elle devrait exiger que tous les systèmes de traitement de renseignements consignent et retracent la collecte et l’utilisation de données et que des documents afférents soient fournis sur demande au Commissariat pour démontrer la conformité. La traçabilité est nécessaire pour que les organisations démontrent leur conformité et remplissent les obligations existantes et nouvelles que la loi leur impose. Cet avis était partagé par les participants à la consultation durant laquelle la traçabilité a reçu un large soutien (67 % des participants). Certains auteurs des commentaires reçus à la suite de la consultation ont décrit la traçabilité des données comme étant [TRADUCTION] « la [garantie] la plus importante et la plus réalisable sur le plan pratique ». La traçabilité qui s’inscrit dans une architecture transparente de traitement des données^{Note de bas de page 208} est étroitement liée à la responsabilité et à l’explicabilité.

L’inclusion de la traçabilité selon cette modalité respecte les précédents nationaux et internationaux. Au Canada, le projet de loi n^o 64 prévoit des droits de traçabilité liés à la prise de décision automatisée pour les individus qui en font la demande. Ces individus ont notamment le droit de connaître les renseignements personnels, les motifs ou les facteurs ayant été pris en compte dans les processus décisionnels automatisés ainsi que celui de demander la source des renseignements^{Note de bas de page 209}. D’autres dispositions connexes du projet de loi n^o 64 exigent notamment des évaluations des facteurs relatifs à la vie privée et établissent le droit à la portabilité des données^{Note de bas de page 210}. De même, la LPRPS de l’Ontario récemment modifiée exige des vérifications dans le contexte des renseignements personnels électroniques sur la santé^{Note de bas de page 211}. Pour effectuer ces vérifications, les organisations doivent maintenir un certain degré de traçabilité des données. L’ajout concorde avec l’usage suivi dans une variété d’industries qui pratiquent une traçabilité minutieuse (par exemple, en médecine, en droit, en comptabilité et en génie mécanique)^{Note de bas de page 212}. À l’échelle internationale, le droit est tacite, par exemple tout au long du RGPD^{Note de bas de page 213}, dans la Algorithmic Accountability Act proposée aux États-Unis (qui prévoit la traçabilité pour la prise de décision automatisée)^{Note de bas de page 214}, et dans les positions adoptées par l’autorité chargée de la protection des données à Singapour. Le RGPD ne prévoit pas d’exigence explicite en matière de traçabilité, mais à certains égards, le règlement impose la traçabilité. Par exemple, aux termes de ce Règlement, les organisations doivent mettre en œuvre un large éventail de mesures liées à la gouvernance et à la responsabilité en matière de données, comme des évaluations des risques pour la sécurité des données^{Note de bas de page 215} et des dossiers sur les activités de traitement^{Note de bas de page 216}. Dans la Algorithmic Accountability Act proposée aux États-Unis, la Commission fédérale du commerce se verrait accorder des pouvoirs pour obliger les organisations du secteur privé à évaluer ou à vérifier les systèmes à la recherche de biais et de discrimination^{Note de bas de page 217}. De même, la commission chargée de la protection des données personnelles à Singapour recommande (mais ne l’a pas encore officiellement mis en œuvre) le recours au [TRADUCTION] « lignage des données » et à des « registres de provenance des données » qui serviraient d’outil de traçage des données et des algorithmes^{Note de bas de page 218}.

Les mêmes considérations concernant la manière dont le droit à une explication entre en jeu avec les secrets commerciaux s’appliquent à la compatibilité des secrets commerciaux et du droit à la traçabilité des données, ce qui permet de dissiper les éventuelles préoccupations concernant la confidentialité des renseignements commerciaux. De même, les considérations relatives aux limitations techniques du droit à une explication, lesquelles sont pertinentes pour ce qui est d’assurer la compatibilité de ce droit avec l’IA, sont applicables à la traçabilité des données^{Note de bas de page 219}. Qui plus est, la traçabilité peut favoriser l’exhaustivité des explications données aux intéressés lorsque le droit à une explication est invoqué, mais que le secret commercial empêche d’autres divulgations.

Conformément au droit à la traçabilité des données, la responsabilité devrait être mise en œuvre par une tenue active de registres, ce qui suppose des exigences en matière de consignation. L’obligation doit imposer la conservation appropriée des données pertinentes pour éviter les risques raisonnables de dégradation ou d’altération ainsi que leur stockage pendant une période de temps raisonnable. Cette recommandation, qui préconise une approche semblable à celle prévue par le RGPD^{Note de bas de page 220} et le projet de loi n^o 64^{Note de bas de page 221}, encourage des enquêtes plus vigoureuses du Commissariat afin d’assurer la conformité. Elle permettra aux individus de consulter et de comprendre les données personnelles à l’origine des décisions prises par des algorithmes de l’IA de manière à pouvoir déceler et contester les décisions injustifiées ou discriminatoires^{Note de bas de page 222}.

La LPRPDE devrait autoriser le Commissariat, comme autre mesure de responsabilité, à effectuer des inspections proactives : des requêtes sur demande visant à examiner la responsabilité et la conformité à la LPRPDE. Cette recommandation, qui met en œuvre les propositions 10 et 11 de la consultation, est étroitement liée au changement de statut du Commissariat, qui d’ombudsman deviendrait un organisme de réglementation, et à son pouvoir éventuel de rendre des ordonnances exécutoires et d’imposer des sanctions financières, attendu que les inspections sont nécessaires pour déterminer si les règles ont été enfreintes et avec quelle gravité. Ce pouvoir est essentiel pour veiller à ce que le Commissariat soit mieux à même de faire respecter les droits individuels prévus dans la LPRPDE. Il pourrait sinon être problématique d’obtenir suffisamment de renseignements pour assurer la conformité : il est difficile de déceler les lacunes en s’appuyant seulement sur des plaintes^{Note de bas de page 223}. Le pouvoir en question est également lié au pouvoir discrétionnaire, recommandé précédemment, de décider à quelle plainte donner suite, étant donné que les inspections proactives pourraient être coûteuses. Le pouvoir d’effectuer de telles inspections pourrait s’avérer particulièrement utile pour maintenir le statut d’adéquation, attendu qu’il rend possibles des mesures d’application de la loi^{Note de bas de page 224}.

Cette approche concorde avec d’autres régimes réglementaires canadiens mentionnés dans la section 2 (comme les normes en matière d’emploi, de salubrité alimentaire, de santé et de valeurs mobilières) ainsi qu’avec les pouvoirs du Commissariat au titre de la Loi sur la protection des renseignements personnels^{Note de bas de page 225}. Le Commissariat a estimé que les inspections proactives i) [TRADUCTION] « n’avaient rien d’extraordinaire » et qu’elles ii) étaient « beaucoup plus susceptible[s] d’assurer la conformité à la LPRPDE » qu’il ne l’était lui-même en tant qu’ombudsman, à condition d’être assorties d’une responsabilité démontrable^{Note de bas de page 226}. De plus, ces inspections sont aussi compatibles avec l’approche adoptée par les provinces et d’autres pays^{Note de bas de page 227}. Parmi les autres autorités chargées de la protection de la vie privée et disposant de pouvoirs d’examen et de délivrance d’orientations figurent notamment à l’échelle nationale les commissariats à l’information et à la protection de la vie privée de l’Alberta^{Note de bas de page 228} et de la Colombie-Britannique^{Note de bas de page 229}; et à l’échelle internationale, la commission de protection des données personnelles de Singapour^{Note de bas de page 230}, la commission de protection des données d’Irlande^{Note de bas de page 231} et la commission de protection des données de Corée^{Note de bas de page 232}. Ces inspections sont également conformes au projet de loi n^o 64^{Note de bas de page 233}.

b. Conception

La conception est au cœur de la responsabilité et du cadre fondé sur les droits de la personne. La LPRPDE devrait obliger les organisations à tenir compte, dès la conception, des droits de la personne et de protection de la vie privée en mettant en œuvre des mesures techniques et organisationnelles appropriées qui appliquent les principes de la Loi avant et pendant toutes les phases de collecte et de traitement. Ces mesures devraient être mises en œuvre dans le respect de la vie privée et d’autres droits fondamentaux. Cette recommandation renvoie à la responsabilité, attendu que la conception est cruciale pour que les individus puissent faire valoir leur droit à la protection de la vie privée^{Note de bas de page 234}.

Cette approche a été recommandée par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes. Le Comité recommande que la conception de systèmes compatibles avec le respect de la vie privée soit basée sur une approche centrée sur l’utilisateur qui privilégie les intérêts des individus, approche qu’il définit comme un jeu à somme positive plutôt qu’à somme nulle (ce qui signifie qu’« il ne devrait pas être nécessaire de nuire à la mise en œuvre d’autres fonctionnalités afin de réaliser cet objectif »)^{Note de bas de page 235}. Cet ajout concorde avec le droit contemporain. Par exemple, le droit est prévu dans le RGPD^{Note de bas de page 236}, la Data Protection Act du R.-U.^{Note de bas de page 237}, et le projet de loi n^o 64^{Note de bas de page 238}. L’idée a reçu du soutien durant la consultation.

Une expression propre à la LPRPDE, comme la protection de la vie privée et des droits de la personne dès la conception serait le meilleur moyen de formuler ce droit. La mention des droits de la personne appuie l’approche recommandée fondée sur de tels droits. L’utilisation d’une expression unique indique plus clairement que la LPRPDE prévoirait sa propre norme conforme à cette approche et que les exigences ne sont pas nécessairement identiques à celle que suppose l’expression « respect de la vie privée dès la conception », qui renvoie à des pratiques précises et parfois plus exigeantes. L’emploi d’une expression unique concorde également avec les meilleures pratiques internationales, comme le RGPD et la Data Protection Act du R.-U. : ces deux instruments ont adapté l’expression de manière à refléter la finalité de leurs projets respectifs en parlant de « protection des données dès la conception et [de] protection des données par défaut^{Note de bas de page 239} ». Un certain nombre de participants à la consultation provenant de l’industrie privée ont de la même façon appuyé l’utilisation d’une expression unique.

La LPRPDE devrait formuler le droit en obligeant les organisations à « mettre en œuvre des mesures techniques et organisationnelles appropriées ». Afin que les organisations sachent exactement à quoi s’en tenir, la LPRPDE devrait expliciter ce qui constitue des mesures organisationnelles et techniques appropriées pour que la protection de la vie privée et les droits de la personne soient pris en compte dès la conception. Ceci permet de formuler l’obligation d’une manière neutre sur le plan technologique. En formulant le droit de cette manière, la LPRPDE établirait une norme qui maintient la neutralité technologique, étant donné que les évolutions technologiques finiraient par rendre obsolète toute règle axée sur la conception. Une telle norme concorderait avec l’approche adoptée dans le RGPD^{Note de bas de page 240}, la Data Protection Act du R.-U.^{Note de bas de page 241} et, au Canada, avec le projet de loi n^o 64^{Note de bas de page 242}.

La LPRPDE devrait prévoir une norme de risque-fonction aux termes de laquelle les fabricants devront adopter des précautions de conception proportionnelles à l’ampleur du risque attendu^{Note de bas de page 243}. Un produit, comme un système d’IA, ne satisferait pas à cette norme lorsque le risque prévisible de préjudice aurait pu être diminué ou évité par une autre conception raisonnable et que le défaut d’y recourir rend le produit déraisonnablement risqué. Une telle norme concorde avec le cadre fondé sur les droits de la personne recommandé dans le présent rapport et tient compte de la préférence de l’industrie privée pour une approche législative moins prescriptive, exprimée dans les commentaires reçus à la suite de la consultation menée par le Commissariat. Cette norme assure une certaine souplesse puisqu’elle permet une approche fondée sur le risque, tout en assurant la protection des droits de la personne. Elle permet ainsi d’atteindre un équilibre semblable à celui observé dans d’autres domaines de droit privé relevant de la compétence provinciale, comme le droit de la protection du consommateur et le droit délictuel^{Note de bas de page 244}.

Pour plus de clarté, la LPRPDE devrait fournir des exemples non exhaustifs de précautions à prendre lors de la conception, lesquels proposeraient des moyens différents de se conformer au cadre risque-fonction, comme la désidentification, le chiffrement, la confidentialité par défaut et le consentement préalable^{Note de bas de page 245}. Cette clarification devrait être complétée par des règles énoncées dans un instrument contraignant du Commissariat, afin de nuancer davantage la norme et ses interprétations. Cette idée est apparue dans les réponses à la consultation^{Note de bas de page 246}. Une plus grande clarté faciliterait la conformité et limiterait les risques d’abus du pouvoir discrétionnaire, qui peuvent survenir lorsque les lignes directrices sont de portée trop large. Les règles énoncées dans des instruments du Commissariat devraient être adaptées au contexte et aux technologies particulières. Par exemple, le caractère approprié des mesures à appliquer lors de la conception d’un site Web pourrait différer à l’égard des ordinateurs de bureau et de la technologie portable.

La LPRPDE devrait préciser que l’obligation de respecter les droits de la personne et la vie privée dès la conception suppose l’interdiction des conceptions trompeuses. Cette mise en jeu de la protection de la vie privée et des droits de la personne dès la conception permet de corriger les échecs des politiques de confidentialité reconnus par les spécialistes de ce domaine du droit^{Note de bas de page 247}, puisque les travaux empiriques montrent que la conception a une incidence sur les choix des personnes en matière de protection de la vie privée^{Note de bas de page 248}. Le consentement valable est ainsi protégé (lorsqu’il n’est pas visé par une exception)^{Note de bas de page 249}, ce qui est un aspect fondamental de la LPRPDE. Ce souci de la protection de la vie privée et des droits de la personne dès la conception pourrait également améliorer la confiance du public quant à la protection de la vie privée dans le secteur privé, puisque les engagements intégrés dès la conception sont plus visibles que les politiques de confidentialité, les intéressés pouvant réagir davantage aux premiers qu’aux secondes^{Note de bas de page 250}. Les mécanismes de conception trompeuse, comme les motifs obscurs, sont aussi de plus en plus analysés par la société civile^{Note de bas de page 251}. Cette interprétation fait concorder davantage l’application des lois protégeant la vie privée au Canada avec la protection des consommateurs canadiens et les pratiques américaines, où l’outil réglementaire le plus efficace et le plus fréquemment utilisé par la Commission fédérale de commerce en matière de droit à la vie privée est son pouvoir de protection contre les pratiques trompeuses^{Note de bas de page 252}. De même, d’autres pays prennent des mesures pour réglementer les conceptions trompeuses^{Note de bas de page 253}. Les théories reconnues en matière de prévention des pratiques trompeuses déjà appliquées par les organismes de réglementation et les tribunaux au Canada, comme les délits que sont la fraude et la déclaration inexacte faite par négligence, peuvent servir de fondement à l’application de cette idée^{Note de bas de page 254}.

La LPRPDE devrait préciser que le caractère obligatoire dès la conception des droits de la personne et de la vie privée suppose la reconnaissance des attentes raisonnables des individus en matière de protection de la vie privée créées par les choix en matière de conception. La conception peut souvent être perçue comme un engagement à respecter une certaine pratique à l’égard des renseignements^{Note de bas de page 255}. La reconnaissance des droits de la personne et de la protection de la vie privée dès la conception suppose de tenir les organisations responsables de ces engagements. À l’instar de l’interdiction des conceptions trompeuses, la reconnaissance des promesses intégrées à la conception remédie aux lacunes des politiques de confidentialité relevées par les spécialistes de ce domaine du droit. La protection des attentes raisonnables des individus favorise un consentement valable (s’il n’est pas visé par une exception) et l’autonomie en évitant les pratiques trompeuses et les abus. Cette protection améliore également la confiance du public puisque les engagements intégrés dès la conception sont plus visibles que les politiques en matière de confidentialité et les intéressés réagissent davantage aux premières qu’aux secondes^{Note de bas de page 256}. Enfin, les engagements pris dès la conception sont conformes aux principes du droit contractuel canadien (par exemple, en l’absence de contrat, la préclusion promissoire permet de faire appliquer les promesses qui ont été invoquées de manière préjudiciable)^{Note de bas de page 257}.

c. Évaluations des facteurs relatifs à la vie privée

Les évaluations des facteurs relatifs à la vie privée constituent un moyen complémentaire de mettre en œuvre la responsabilité, ainsi que le respect des droits fondamentaux et de la vie privée dès la conception. Cependant, la LPRPDE devrait éviter d’énoncer une obligation générale d’effectuer de telles évaluations — celles-ci ne devraient être obligatoires que lorsque les exceptions recommandées précédemment sont invoquées, car les évaluations en question peuvent entraîner des coûts administratifs importants et produire des avantages incertains en termes de droits de la personne. La LPRPDE devrait plutôt mentionner que les évaluations des facteurs relatifs à la vie privée sont un moyen convaincant de démontrer la responsabilité, comme nous l’expliquons plus loin. Il est justifié de tenir compte de considérations semblables aux fins de la mise en œuvre de la responsabilité et du respect des droits de la personne et de la vie privée dès la conception par le biais de vérifications par des tierces parties. De telles vérifications ne devraient pas être obligatoires dans tous les cas. Cette mesure serait extrêmement coûteuse pour les organisations et a donc suscité l’opposition des participants à la consultation. Cette mesure coûteuse risque de devenir inefficace pour ce qui est de protéger les droits de la personne si elle aboutit à une situation dans laquelle les tierces parties vérificatrices font de leur approbation une simple formalité. La LPRPDE devrait plutôt prévoir les vérifications par des tierces parties comme un moyen par lequel les organisations peuvent démontrer la responsabilité, comme nous l’expliquons plus loin.

Au lieu d’imposer des mesures administratives, comme l’évaluation des facteurs relatifs à la vie privée et la vérification par des tierces parties sous peine de sanction, la LPRPDE devrait plutôt faire en sorte que la mise en œuvre du cadre de cette évaluation et de cette vérification repose sur une norme de responsabilité et de protection des droits fondamentaux et de la vie privée dès la conception. La LPRPDE devrait établir que les organisations seront reconnues responsables et sanctionnées en cas d’atteinte, non pas si elles omettent d’effectuer une évaluation des facteurs relatifs à la vie privée ou une vérification par des tierces parties, mais plutôt si elles ne prennent pas de mesures préventives et que des individus en subissent un préjudice. Les évaluations des facteurs relatifs à la vie privée ou les vérifications par des tierces parties constitueraient donc des mesures préventives que les organisations pourraient décider d’adopter. La LPRPDE peut mettre en œuvre cette obligation en incluant une disposition telle que celle-ci : Les organisations doivent protéger les intérêts des individus lorsqu’elles traitent des renseignements personnels les concernant en mettant en œuvre des mesures qui réduisent le risque de préjudice et en traitant les données d’une manière qui soit proportionnée aux risques en jeu, afin de créer un équilibre entre les avantages découlant des activités et les risques pour les droits de la personne des individus. Parmi les moyens de mise en application, mentionnons les évaluations des facteurs relatifs à la vie privée, les vérifications effectuées par des tierces parties, des codes de conduite contraignants, des mécanismes volontaires de certification et la protection démontrable dès la conception des droits de la personne et de la vie privée. Si les organisations ne prennent pas de mesures et que survient un préjudice matériel ou non matériel, elles en sont responsables sous réserve des droits d’action privés des intéressés. Ce libellé permet aux organisations d’économiser les coûts associés à de telles mesures pour les activités peu susceptibles selon elles d’entraîner des préjudices.

L’idée précédente renvoie aux recommandations sur l’application tout en incluant les commentaires reçus à la suite de la consultation, attendu qu’elle est nettement moins importune que les évaluations des facteurs relatifs à la vie privée ou les vérifications par des tierces parties. Elle rend surtout l’obligation de conformité plus souple, et protège les droits de la personne en utilisant explicitement les deux mesures comme outils pour veiller au respect de la responsabilité et des droits de la personne. Cette approche sera beaucoup moins coûteuse pour les organisations que les solutions de rechange prévues dans certaines lois qui imposent des évaluations des facteurs relatifs à la vie privée et des vérifications par des tierces parties pour tous les types de traitement^{Note de bas de page 258}. En même temps, elle protège les individus d’une manière qui concorde avec une approche fondée sur les droits de la personne et prévoit des évaluations des facteurs relatifs à la vie privée à la mesure du niveau de risque d’atteinte à la vie privée décelé.

Cette approche s’inspire d’un modèle bien rodé qui est prévu dans la Loi canadienne sur les sociétés par actions^{Note de bas de page 259}. Ce modèle établit des obligations fiduciaires et met à la disposition du conseil d’administration différents moyens non obligatoires de s’acquitter de ces obligations. Un tel système volontaire de vérification par des tierces parties, combiné à des droits d’action privée suffirait à compléter les pouvoirs d’enquête du Commissariat, la nécessité des vérifications obligatoires par des tierces parties étant modérée par l’inclusion d’inspections dynamiques. De plus, les lois modernes appuient cette approche. Par exemple, la directive britannique sur l’IA précise que les organisations doivent, suivant le principe de responsabilité, considérer les [TRADUCTION] « risques pour les droits et les libertés des individus » découlant du traitement des données personnelles les concernant^{Note de bas de page 260}. Pour ce qui est des lois comparables, cette approche se situe entre les lois qui ne prévoient aucune vérification par des tierces parties ni obligations en termes d’évaluation des facteurs relatifs à la vie privée, par exemple la Personal Information Protection Act de la Colombie-Britannique et la CCPA et celles qui en imposent une, comme le fait le projet de loi 64 à l’égard des évaluations des facteurs relatifs à la vie privée^{Note de bas de page 261}. Le RGPD propose, de manière semblable à l’approche recommandée, des vérifications par des tierces parties comme mesure éventuelle pour démontrer la responsabilité^{Note de bas de page 262}.

d. Petites et moyennes entreprises

Comme l’a proposé le Commissariat, la LPRPDE devrait alléger pour les PME les coûts administratifs associés aux mesures recommandées grâce à une certaine souplesse, mais aussi conserver les protections essentielles en matière de droits de la personne^{Note de bas de page 263}. Cet objectif est réalisable par l’adoption à l’intention des PME de mesures d’extensibilité qui allègent les obligations de tenue de registres imposées au titre du principe de la responsabilité, à moins qu’elles ne se livrent à des activités qui comportent d’importants risques d’atteinte à la vie privée des individus. En particulier, deux mesures devraient être adoptées. Premièrement, les PME devraient être dispensées de la tenue de registres soutenue. [TRADUCTION] « Normalement, les PME se servent de systèmes de planification et de contrôle qui sont simples et qui reposent sur des règles et des procédures informelles. Elles ont en général des processus opérationnels qui sont moins normalisés^{Note de bas de page 264} ». Ce type de mesure de souplesse est compatible avec certaines lois modernes, en particulier le RGPD^{Note de bas de page 265}. Deuxièmement, les PME devraient être dispensées de toute exigence en matière d’évaluation des facteurs relatifs à la vie privée, comme lorsque des renseignements désidentifiés sont manipulés. Puisque les exigences en matière d’évaluation des facteurs relatifs à la vie privée posent un fardeau administratif, il est proportionné d’en dispenser les PME compte tenu du risque moins important qu’elles peuvent présenter en général^{Note de bas de page 266}.

Ces deux exceptions s’intègrent bien à une définition modifiée des PME qui va au-delà du nombre d’employés pour inclure le risque d’atteinte aux droits de la personne que présentent ces entreprises, et l’applicabilité de ces exceptions devrait être assujettie à une telle définition. La définition modifiée est nécessaire pour empêcher que la plus grande souplesse accordée aux PME soit un moyen de contourner la conformité, où les organisations pourraient se lancer dans d’importants échanges de données et de pratiques risquées et faire l’objet d’une surveillance réduite en conservant le nombre de leurs employés à moins de 250. Pour cette raison, la LPRPDE devrait renoncer à une définition des PME qui limite à 250 le nombre de ses employés^{Note de bas de page 267} pour adopter une définition moderne basée sur les risques. Une telle approche est décrite dans la CCPA^{Note de bas de page 268}. À moins que les « PME » soient définies avec prudence, certaines organisations (ayant peu d’employés, mais des revenus importants et se livrant à des traitements à haut risque) seraient incluses à tort dans cette catégorie, alors que d’autres (qui ont plusieurs employés, mais dont les revenus, le traitement des données et les risques sont faibles) devraient subir des coûts disproportionnés de conformité. La LPRPDE devrait considérer qu’une organisation se qualifie comme une PME si i) son revenu annuel brut est inférieur à 25 millions de dollars; ii) elle achète, reçoit, vend ou échange les renseignements personnels de moins de 50 000 individus ou appareils annuellement à des fins commerciales; iii) moins de la moitié de son revenu annuel provient du traitement de la vente de renseignements personnels et iv) elle ne contrôle une entreprise ni n’est contrôlée par une entreprise qui remplit les critères précédents et partage sa marque. Cette approche peut tenir compte d’un cadre fondé sur les risques et des droits de la personne tout en accordant une plus grande souplesse aux petites entreprises.

Au-delà de ces deux exceptions, les propositions précédentes accordent de la souplesse aux PME. Par exemple, celles-ci peuvent considérer le coût associé à la mise en œuvre de mesures techniques et organisationnelles au moment de décider de la manière de veiller dès la conception à la protection des droits de la personne et de la vie privée et à leur traçabilité. Cette approche est semblable à celle retenue dans le RGPD, qui accorde aux contrôleurs la possibilité de considérer les coûts de mise en œuvre, la portée et les fins du traitement, les risques et leur accorde davantage de latitude pour déterminer quelles mesures mettre en œuvre à quel moment^{Note de bas de page 269}. Les autres avantages offerts aux PME sont compris dans les différentes mesures de souplesse recommandées dans ce rapport, telles que celles ayant trait au consentement, aux renseignements désidentifiés et au principe de finalité.

6. Conclusion

L’IA est la technologie la plus prometteuse de notre époque. Elle recèle un énorme potentiel pour améliorer le mieux-être, l’efficacité, les interventions en cas de pandémie et la durabilité environnementale. Les changements technologiques observés au cours des 20 dernières années, et en particulier les utilisations novatrices de l’IA, sont extrêmement précieux pour le Canada. Mais l’IA pose également de graves risques à l’égard des droits de la personne et de la vie privée des Canadiens. En particulier, elle affecte la vie quotidienne des gens dans des domaines aussi essentiels que les soins de santé, les finances, le logement, l’embauche et l’incarcération.

Un tel impact sur les droits crée un besoin urgent de réforme législative au Canada. Le droit canadien doit fournir un terreau fertile pour l’innovation en IA tout en réduisant le risque et l’impact sur les droits des Canadiens. Les règles élaborées il y a 20 ans ne sont tout simplement plus à la hauteur. L’IA, si elle est réglementée de manière responsable, peut être très bénéfique pour la société comme le montre le traçage des contacts. Le Canada ne devrait ni interdire des technologies qui peuvent s’avérer bénéfiques ni autoriser leur mise en œuvre sans surveillance. Il doit plutôt élaborer des règlements pour atténuer les dangers qui leur sont associés tout en récoltant les avantages qui en découlent.

Les modifications que nous avons recommandées, qui s’inspirent des nombreuses années de travail du Commissariat, des commentaires de douzaines d’intervenants et des travaux de douzaines d’experts universitaires sur le sujet, doteraient le Canada d’une loi moderne sur la protection des renseignements personnels dans le secteur privé. Elles assureraient la protection des droits de la personne individuels tout en créant un milieu propice à une IA florissante au Canada.

Les modifications issues de ce rapport augmentent également l’interopérabilité entre la LPRPDE et les lois adoptées par les partenaires commerciaux clés du Canada, comme les États Unis et l’Union européenne. L’interopérabilité facilite et réglemente ces échanges tout en s’avérant profitable pour les organisations en réduisant les coûts de conformité. Cette interopérabilité permet de s’assurer par exemple que le Canada maintient son statut d’adéquation à l’égard de l’Union européenne, ce qui est fondamental pour favoriser le commerce.

Les recommandations présentées précédemment se complètent les unes les autres. Leur mise en œuvre à la lumière d’une approche fondée sur les droits est essentielle à la protection des droits de la personne et de la vie privée tout en s’adaptant efficacement à l’innovation en matière d’IA et en l’encourageant.

Annexe

Liste des recommandations

1. La LPRPDE devrait adopter une approche explicite fondée sur les droits et énoncée dans un préambule et dans une disposition de déclaration d’objet.
2. La LPRPDE devrait établir des droits et des obligations plutôt que de fournir des recommandations.
3. La définition des renseignements personnels contenue dans la LPRPDE devrait être modifiée de manière à préciser que ces renseignements s’entendent des renseignements personnels recueillis concernant un individu et aussi des inférences le concernant.
4. La LPRPDE devrait conférer au Commissariat le pouvoir de délivrer des ordonnances exécutoires et d’imposer des sanctions financières assorties d’un pouvoir discrétionnaire d’exécution. Le modèle du Commissariat devrait passer de celui d’un ombudsman à celui d’un organisme de réglementation ayant la capacité de délivrer des lignes directrices contraignantes.
5. La LPRPDE devrait prévoir des droits d’action privés en cas de violation des obligations qui y sont énoncées.
6. La LPRPDE devrait prévoir une exception au consentement lorsque la collecte ou le traitement sert le bien commun.
7. La LPRPDE devrait ajouter de la souplesse à la collecte, l’utilisation et la diffusion de renseignements désidentifiés à des fins de recherche tout en protégeant les droits de la personne et de la vie privée.
8. La LPRPDE devrait accorder une plus grande souplesse en vue du traitement subséquent des renseignements qui n’étaient pas visés par la finalité initiale lorsque celle ci est compatible avec la nouvelle.
9. La LPRPDE devrait imposer des mesures de protection lorsque des exceptions au consentement ou des mesures de souplesse afférentes sont invoquées : i) critères de pondération et ii) évaluations des facteurs relatifs à la vie privée.
10. La LPRPDE ne devrait pas définir l’IA et devrait maintenir sa neutralité technologique.
11. La LPRPDE devrait prévoir un droit pour les individus d’obtenir une explication valable lorsqu’ils font l’objet d’une prise de décision automatisée et que des renseignements personnels les concernant sont utilisés.
12. La LPRPDE devrait créer un droit de contester les décisions prises à l’égard d’un individu sur la base de renseignements personnels le concernant recueillis au moyen d’un processus décisionnel automatisé.
13. La LPRPDE devrait prévoir un droit à la responsabilité démontrable pour les individus, y compris un droit à la traçabilité des données.
14. La LPRPDE devrait obliger les organisations à mettre en œuvre des mesures techniques et organisationnelles appropriées pour veiller au respect des droits de la personne et de la vie privée dès la conception avant les phases de collecte et de traitement et durant leur déroulement, ce qui comprend l’interdiction des conceptions trompeuses.
15. La LPRPDE devrait mettre en œuvre l’évaluation des facteurs relatifs à la vie privée et le cadre de vérification par des tierces parties en établissant que les entreprises seront responsables d’une violation à la LPRPDE et sanctionnées si celles-ci ne prennent pas de mesures préventives et que les individus en subissent un préjudice.
16. La LPRPDE devrait dispenser les petites et moyennes entreprises de la tenue de registres soutenue, de la vérification par des tierces parties et de l’évaluation des facteurs relatifs à la vie privée.