Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Consultation sur les propositions du Commissariat visant à assurer une réglementation adéquate de l’intelligence artificielle

La présente vise à solliciter le point de vue d’experts sur les recommandations à être émises par le Commissariat au gouvernement /au Parlement

Date limite : 13 mars 2020

Introduction

Le Commissariat à la protection de la vie privée (le Commissariat) procède actuellement à une analyse des politiques dans le cadre de la réforme législative des deux lois fédérales sur la protection des renseignements personnels. Nous examinons l’intelligence artificielle (IA) dans le contexte de ces travaux en lien en particulier avec la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Nous sommes d’avis que la LPRPDE est inadéquate en ce qui concerne son application aux systèmes d’AI et nous avons relevé plusieurs domaines dans lesquels la LPRPDE pourrait être renforcée. Nous cherchons donc à consulter des experts dans le domaine afin de valider notre compréhension de la façon dont les principes de protection de la vie privée devraient s’appliquer à l’élaboration et au déploiement de ces systèmes, et de déterminer si nos propositions seraient compatibles avec la conception et le déploiement responsables de ces systèmes.

Nous accordons une attention particulière aux systèmes d’IA compte tenu de leur rapide adoption pour le traitement et l’analyse de grandes quantités de renseignements personnels. Leur utilisation à des fins de prévision et de prise de décision qui touchent les personnes peut entraîner des risques pour la vie privée ainsi que des biais illégaux et de la discrimination.

Il est indéniable que l’IA offre de nombreuses utilisations bénéfiques. Par exemple, l’IA offre de grandes possibilités d’amélioration au chapitre de la prestation de services publics et privés, et a contribué à stimuler de nouvelles avancées dans les secteurs médical et énergétique, entre autres. Toutefois, les répercussions sur la vie privée, la protection des données et, par extension, les droits de la personne seront considérables si des règles claires ne sont pas enchâssées dans les lois pour protéger ces droits contre les effets négatifs possibles de l’IA et des processus d’apprentissage automatique.

Dans la déclaration des ministres du G20 sur le commerce et l’économie numérique de juin 2019, ceux-ci se sont engagés à adopter une approche plus humaine de l’IA qui reconnaît le besoin de promouvoir la protection de la vie privée et des données personnelles conformément aux cadres applicablesNote de bas de page 1. De plus, un rapport publié en 2019 par Deloitte prévient que « les entreprises et les gouvernements ne disposent pas de beaucoup de temps pour agir et répondre aux risques perçus de l’IA avant que les Canadiens ne tournent le dos à cette nouvelle technologie »Note de bas de page 2.

D’après notre propre évaluation, l’IA présente des défis fondamentaux pour tous les principes de protection de la vie privée formulés dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). À titre d’exemple, le principe consistant à limiter la collecte des données pourrait être incompatible avec les fonctionnalités de base des systèmes d’IA. Certaines personnes ont souligné que les systèmes d’IA s’appuient généralement sur de grandes quantités de données personnelles pour former et mettre à l’essai les algorithmes, soutenant que limiter la collecte des données en tout ou en partie pourrait entraîner une diminution de la qualité et de l’utilité des résultatsNote de bas de page 3.

D’autres ont aussi fait remarquer que les organisations qui comptent sur l’IA pour mener des analyses de données avancées ou pour prendre des décisions importantes ne savent pas nécessairement à l’avance comment l’information traitée par les systèmes d’IA sera utilisée ou quelles connaissances en seront tiréesNote de bas de page 4. Ce constat a amené certains à remettre en question le caractère pratique du principe de finalité qui exige d’une part, de préciser les fins pour lesquelles les données seront utilisées au moment de la collecte et, d’autre part, de limiter l’utilisation et la communication des renseignements personnels aux fins pour lesquelles ils ont été recueillis au départNote de bas de page 5.

Pour reprendre les mots de feu Ian Kerr, ancien titulaire de la Chaire de recherche du Canada en éthique, droit et technologie et ancien membre du Conseil consultatif en matière d’intelligence artificielle du Canada, « nous sommes au bord du précipice d’une société qui interagit de plus en plus avec les machines, dont beaucoup seront plus des agents que de simples appareils mécaniques. Si c’est le cas, nos lois doivent refléter cette étonnante nouvelle réalité [traduction] »Note de bas de page 6.

À cette fin, nous avons élaboré ce que nous croyons être des propositions clés sur la façon dont la LPRPDE pourrait être réformée afin de renforcer la protection de la vie privée et de parvenir à une innovation responsable en matière d’IA en cette ère numérique. Selon nous, l’innovation responsable dans le domaine des systèmes d’IA doit se faire dans un environnement réglementaire qui respecte les droits fondamentaux et crée les conditions qui engendreront la confiance dans l’économie numérique.

Nous considérons que nos propositions sont interdépendantes et qu’elles forment un ensemble qui devrait être adopté dans la loi. Pour faciliter une discussion approfondie avec les experts sur ces sujets, nous posons un certain nombre de questions pour obtenir leurs commentaires sur les améliorations que nous proposons d’apporter à la LPRPDE. Nous invitons les experts à nous faire part de tout commentaire pouvant nous aider à orienter notre travail à cet égard.

Propositions à examiner

Proposition 1 : Incorporer dans la loi une définition de l’IA qui servirait à distinguer les règles juridiques qui ne s’appliqueraient qu’à elle, tandis que les autres règles s’appliqueraient à tout type de traitement, y compris l’IA

La LPRPDE est neutre sur le plan technologique et constitue une loi d’application générale. À ce titre, elle ne comprend pas de définition relative à l’IA, à la prise de décision automatisée ou au traitement automatisé. Toutefois, tel que nous le suggérons dans certaines autres propositions de ce document, il pourrait être nécessaire d’établir des règles particulières pour certaines utilisations de l’IA, ce qui justifierait de la définir dans la loi pour préciser quand ces règles s’appliqueraient.

Les Principes sur l’intelligence artificielle de l’OCDE, adoptés en mai 2019 par 42 pays, dont le Canada, définissent un système d’IA comme « un système automatisé qui, pour un ensemble donné d’objectifs définis par l’homme, est en mesure d’établir des prévisions, de formuler des recommandations, ou de prendre des décisions influant sur des environnements réels ou virtuels. Les systèmes d’IA sont conçus pour fonctionner à des degrés d’autonomie divers »Note de bas de page 7. Cependant, l’Initiative mondiale sur l’éthique des systèmes autonomes et intelligents (Global Initiative on Ethics of Autonomous and Intelligence Systems) de l’Institute of Electrical and Electronics Engineers (IEEE) est d’avis que le terme « IA » est trop vague et utilise plutôt « systèmes autonomes et intelligents »Note de bas de page 8.

Le Règlement général sur la protection des données (RGPD) de l’Union européenne traite explicitement de l’IA en parlant de « décision individuelle automatisée » et de « profilage » à l’article 22. Dans son document d’orientation de 2017, Big data, artificial intelligence, machine learning and data protection, le Commissariat à l’information du Royaume-Uni (UK Information Commissioner’s Office ou ICO) établit une distinction entre les termes clés d’IA, d’apprentissage machine et d’analytique des mégadonnées, faisant remarquer qu’ils sont souvent utilisés de manière interchangeable, mais qu’ils présentent des différences subtilesNote de bas de page 9. Par exemple, l’ICO parle de l’IA comme de la clé pour libérer la valeur des données massives, de l’apprentissage machine comme de l’un des mécanismes techniques qui facilitent l’IA, et de l’analytique des mégadonnées comme étant la somme des processus d’IA et d’apprentissage machine.

Questions aux fins de discussion

  1. L’IA devrait-elle être régie par les mêmes règles que les autres formes de traitement, qui pourraient être améliorées comme le recommande le présent document (ce qui signifie qu’il n’y aurait pas besoin d’une définition et que les principes de neutralité technologique seraient préservés) ou certaines règles devraient-elles être limitées à l’IA en raison des risques particuliers qu’elle pose pour la vie privée et, par conséquent, pour les autres droits de la personne?
  2. Si certaines règles ne devaient s’appliquer qu’à l’IA, comment devrait-on définir l’IA dans la loi pour aider à clarifier l’application de ces règles?

Proposition 2 : Adopter une approche fondée sur les droits dans la loi, selon laquelle les principes de protection des données sont mis en œuvre comme moyen de protéger un droit plus général à la vie privée – reconnu comme un droit fondamental de la personne et comme fondement de l’exercice d’autres droits de la personne

Paul Nemitz, conseiller principal à la Direction générale de la justice de la Commission européenne, explique avec justesse pourquoi l’IA a besoin d’une attention juridique particulière et l’importance de s’assurer qu’elle respecte les droits de la personne et la primauté du droit :

Dans de nombreux domaines de la vie, l’IA prendra ou préparera des décisions ou des choix qui étaient auparavant faits par les humains, conformément à certaines règles. Ainsi, si l’IA incorpore maintenant et applique les règles d’après lesquelles nous vivons, nous devrons nous habituer au fait que l’IA doit toujours être traitée comme la loi elle-même. Et il est normal qu’une loi soit régie par une loi supérieure, et par les principes fondamentaux de la démocratie constitutionnelle. Le test que chaque loi doit passer est de savoir si elle respecte les droits fondamentaux, si elle n’est pas en contradiction avec le principe de la démocratie, donc en particulier si elle a été adoptée selon une procédure légitime, et si elle est conforme au principe de la primauté du droit, donc si elle n’entre pas en contradiction avec une autre loi antérieure, si elle est suffisamment claire et si elle est proportionnelle au but poursuivi [traduction]Note de bas de page 10.

Le but de la loi devrait être de protéger la vie privée au sens le plus large du terme, compris comme un droit de la personne en soi et comme fondement de l’exercice des autres droits de la personne. Cette approche fondée sur les droits de la personne est conforme à la récente Résolution des commissaires fédéral, provinciaux et territoriaux à l’information et à la protection de la vie privée de 2019, selon laquelle les technologies d’IA et d’apprentissage machine doivent être « conçues, développées et utilisées dans le respect des droits fondamentaux de la personne et des principes relatifs à la protection des renseignements personnels comme la transparence, la responsabilité et l’équité »Note de bas de page 11.

De même, la 40e Conférence internationale des commissaires à la protection des données et de la vie privée (ICDPPC), dans sa résolution sur l’IA (2018), affirme que « la création, le développement et l’utilisation de systèmes d’intelligence artificielle doivent respecter entièrement les droits de l’homme, particulièrement ceux relatifs à la protection des données à caractère personnel et de la vie privée, ainsi que la dignité humaine, la non-discrimination et les valeurs fondamentales »Note de bas de page 12. La récente Résolution internationale sur la protection de la vie privée en tant que droit humain fondamental et condition préalable à l’exercice d’autres droits fondamentaux de l’ICDPPC (2019) réaffirme un engagement ferme à l’égard de la vie privée en tant que droit et valeur en soi, et demande des protections juridiques adéquates pour prévenir les atteintes à la vie privée et les répercussions sur les droits de la personne, étant donné les progrès des nouvelles technologies comme l’IANote de bas de page 13.

Afin d’assurer la protection des droits, nous sommes d’avis que la LPRPDE devrait être fondée sur les droits de façon à reconnaître la protection de la vie privée dans toute son ampleur et sa portée, et fournir une orientation sur la manière dont les autres dispositions de la Loi devraient être interprétées. Une telle approche serait compatible avec de nombreux instruments internationaux, dont le RGPD, qui a intégré une approche de la protection de la vie privée fondée sur les droits de la personne dans la législation sur la protection des données de l’UE. Dans ses attendus, le RGPD mentionne à plusieurs reprises les droits fondamentaux des personnes dans le contexte du traitement des données.

La nécessité d’enchâsser fermement et de clarifier les droits dans la LPRPDE est de plus en plus pressante dans un contexte numérique où les ordinateurs peuvent prendre des décisions pour nous et à notre sujet avec peu ou pas de participation humaine.

Question aux fins de discussion

  1. À quels défis les organisations seraient-elles confrontées, le cas échéant, si la loi était modifiée afin d’exiger plus clairement que la création de tout système d’IA s’assure d’abord de respecter la vie privée, les droits de la personne et les principes fondamentaux de la démocratie constitutionnelle?

Proposition 3 : La loi devrait prévoir le droit de s’opposer à la prise de décision automatisée et de ne pas être soumis à des décisions fondées uniquement sur un traitement automatisé, sous réserve de certaines exceptions

Si nous voulons protéger efficacement la vie privée en tant que droit de la personne dans un contexte numérique où des systèmes d’IA sont actifs, l’un des droits qui doit être envisagé est la capacité de s’opposer aux décisions prises par les ordinateurs et de demander une intervention humaine. Les lois de plusieurs pays prévoient le droit de ne pas être soumis à la prise de décision automatisée, ou un droit analogue de contester le traitement automatisé des données personnelles, ainsi qu’un droit de ne pas être soumis à des décisions fondées uniquement sur l’automatisation.

Par exemple, l’article 22 du RGPD accorde aux personnes le droit de ne pas être soumises à la prise de décision automatisée, y compris le profilage, sauf lorsqu’une décision automatisée est nécessaire pour un contrat ou autorisée par la loi ou qu’un consentement explicite est obtenu. L’article 22 prévoit également l’exception selon laquelle lorsque des décisions automatisées importantes sont prises sur le fondement d’un motif légitime de traitement, la personne concernée a toujours le droit d’obtenir une intervention humaine, de contester la décision et d’exprimer son point de vue.

Il est à noter que l’article 21 du RGPD permet aux personnes de s’opposer à tout profilage ou autre traitement effectué pour des motifs d’intérêts légitimes ou fondé sur l’exécution d’une mission d’intérêt public ou relevant de l’exercice d’une autorisation publiqueNote de bas de page 14. Si un droit d’opposition à un tel traitement est exercé, le traitement ne peut se poursuivre que s’il est démontré qu’il existe des motifs impérieux de le faire, motifs qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

L’article 21 confère également à la personne concernée le droit de s’opposer au traitement de ses données à caractère personnel à des fins de prospection directe (marketing), et tout profilage ou traitement connexe doit cesser dès la réception de la signification de l’oppositionNote de bas de page 15. Il n’existe pas d’exemptions ni de motifs permettant de refuser l’objection d’une personne à l’égard de la prospection directe.

En cette matière, nous sommes en faveur de l’incorporation dans la LPRPDE d’un droit d’opposition limité, semblable à celui que l’on trouve dans le RGPD.

Actuellement, le principe 4.3.8 de la LPRPDE stipule qu’une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable. Nous considérons l’ajout d’un droit de s’opposer aux décisions automatisées et d’être libre d’exercer ce droit comme analogue au droit de refuser le consentement.

Questions aux fins de discussion

  1. La LPRPDE devrait-elle prévoir un droit d’opposition tel qu’il est formulé dans cette proposition?
  2. Dans l’affirmative, quels devraient être les paramètres et conditions pertinents pour son application?

Proposition 4 : Donner aux personnes le droit à une explication et à une plus grande transparence lorsqu’elles interagissent avec un traitement automatisé ou font l’objet d’un tel traitement

La transparence est un principe fondamental de la LPRPDE et une condition préalable à la confiance. Toutefois, tel qu’il est formulé actuellement, ce principe n’a pas la spécificité requise pour relever correctement les défis de transparence posés par les systèmes d’IA, car il ne prévoit pas explicitement de droit à l’explication pour les personnes qui interagissent avec des traitements automatisés ou qui sont soumises à de telles opérations.

Le comité consultatif du Conseil de l’Europe suggère dans ses Lignes directrices sur l’intelligence artificielle et la protection des données que : « Les personnes concernées devraient être informées si elles interagissent avec des applications de l’IA et ont le droit de connaître le raisonnement qui sous-tend les opérations de traitement des données qui les concernent. Ceci devrait inclure les conséquences de ce raisonnement »Note de bas de page 16.

En Europe, il y a un débat sur l’interprétation du RGPD quant à savoir si la loi exige une explication de la fonctionnalité du système ou plutôt la justification de la logique, de l’importance et des conséquences des décisions particulièresNote de bas de page 17. La France et la Hongrie font partie des États membres de l’UE qui garantissent un droit à la lisibilité et à l’explication des décisions algorithmiques dans leurs lois nationales relatives à la protection des donnéesNote de bas de page 18. Par exemple, la loi française prévoit que les personnes concernées ont le droit d’obtenir du responsable du traitement des renseignements sur la logique du traitement algorithmiqueNote de bas de page 19.

Le gouvernement du Canada a exprimé son appui à la transparence algorithmiqueNote de bas de page 20. Dans son livre blanc sur la LPRPDE, le ministère fédéral de l’Innovation, des Sciences et du Développement économique du Canada propose de modifier la loi afin de prévoir des mécanismes de contrôle plus efficaces et d’accroître la transparence vis-à-vis des personnes en ce qui a trait à l’IA. Il suggère qu’une LPRPDE réformée devrait « exiger que les individus soient informés de l’utilisation de processus décisionnels automatisés, des facteurs ayant une incidence sur la décision et de sur quoi la décision a une incidence, ainsi que de la logique sur laquelle la décision est fondée »Note de bas de page 21.

Nous croyons que le principe de transparence de la LPRPDE devrait comprendre un droit d’explication qui fournirait aux personnes qui interagissent avec les systèmes d’IA le raisonnement qui sous-tend tout traitement automatisé de leurs données et les conséquences de ce raisonnement pour leurs droits et intérêts. Cela contribuerait également à satisfaire aux obligations actuelles de la LPRPDE qui consistent à donner aux personnes le droit d’accéder aux renseignements les concernant détenus par les organisations et de les corriger.

En outre, nous serions potentiellement en faveur d’un renforcement des exigences de transparence prévues par la loi de façon à mandater :

  • La réalisation et la publication d’évaluations des facteurs relatifs à la vie privée (EFVP), y compris des évaluations relatives aux répercussions du traitement par IA sur la vie privée et les droits de la personne. Le contenu publié serait fondé sur un ensemble minimal d’exigences qui seraient élaborées en consultation avec le Commissariat.
  • Des dépôts publics d’algorithmes, semblables à ceux de la Securities and Exchange Commission des États-Unis, assortis de sanctions pour non-divulgation et non-conformité. Le député Nathaniel Erskine-Smith a soulevé la question du dépôt obligatoire des algorithmes au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI). Il a déclaré : « Si nous sommes sérieux quant à ce niveau de transparence et d’explicabilité, cela pourrait signifier l’obligation d’effectuer des évaluations d’impacts algorithmiques dans le secteur privé, comme dans le cas d’un dépôt auprès de la SEC, où la non-conformité serait assortie de sanctions si l’information n’était pas incluse »Note de bas de page 22.

Questions aux fins de discussion

  1. En quoi devrait consister le droit à une explication?
  2. Des mesures de transparence accrues amélioreraient-elles de manière significative la protection de la vie privée des individus, ou est-ce que des mesures plus traditionnelles, comme des vérifications et d’autres mesures d’application de la loi prises par les organismes de réglementation, seraient suffisantes?

Proposition 5 : Exiger l’application des principes de la protection de la vie privée dès la conception et des droits de la personne dès la conception à toutes les étapes du traitement, y compris la collecte de données

À l’échelle internationale, il existe un certain nombre d’instruments juridiques et non contraignants selon lesquels les organisations devraient concevoir leurs produits, systèmes ou programmes de manière à éviter les conséquences négatives possibles sur la vie privée, les droits de la personne et les libertés fondamentales. Dans ses Lignes directrices sur l’intelligence artificielle et la protection des données le Comité consultatif de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe affirme que :

« Les développeurs, fabricants et prestataires de service en IA devraient, à tous les stades du traitement des données, y compris lors de la collecte, adopter une approche des droits de l’Homme dès la conception (by-design) et éviter tout biais potentiel, y compris les biais non intentionnels ou cachés, ainsi que les risques de discrimination ou d’autres effets négatifs sur les droits de l’Homme et libertés fondamentales des personnes concernées »Note de bas de page 23.

« Protection des données dès la conception et protection des données par défaut » est le titre significatif de l’article 25 du RGPD, dont l’application ne se limite pas qu’aux systèmes d’IA. L’article 25 traite d’un certain nombre d’éléments de cette obligation, notamment la mise en place de mesures techniques et organisationnelles appropriées destinées à mettre en œuvre les principes de protection des données et à protéger les droits et libertés individuels. L’article 25 dit en outre qu’un « mécanisme de certification approuvé » peut être utilisé pour démontrer la conformitéNote de bas de page 24.

La Directive sur la prise de décision automatisée du Secrétariat du Conseil du Trésor du Canada exige que le gouvernement du Canada, avant d’amorcer la production, élabore des processus visant à s’assurer de l’absence de biais imprévus dans les données et d’autres facteurs qui pourraient influencer injustement les résultatsNote de bas de page 25. La directive exige également la réalisation d’une évaluation de l’impact algorithmique avant la production de tout système automatisé de prise de décisions. L’évaluation doit également être mise à jour lorsque la fonctionnalité du système ou la portée du système automatisé de prise de décisions change afin de surveiller et de prévenir continuellement de tels impacts négatifs.

Nous estimons que chacun de ces textes est instructif et que leurs exigences respectives méritent d’être ajoutées à la LPRPDE.

Questions aux fins de discussion

  1. La protection de la vie privée dès la conception devrait-elle être une exigence légale en vertu de la LPRPDE?
  2. Serait-il faisable ou souhaitable de créer, comme condition préalable à l’accès au marché, une obligation pour les fabricants de mettre à l’essai les produits et les procédures d’IA pour en évaluer l’incidence sur la vie privée et les droits de la personne?

Proposition 6 : Faire en sorte que le respect des principes de la finalité et de la minimisation des données dans le contexte de l’IA soit à la fois réaliste et efficace

L’Association canadienne de la technologie de l’information a fait savoir au Comité ETHI que « l’accès à de grandes quantités de données est essentiel à l’amélioration du potentiel de l’intelligence artificielle au Canada »Note de bas de page 26. Cet objectif semble s’opposer aux principes juridiques importants de la finalité et de la minimisation des données, qui s’appliquent à l’élaboration et à la mise en œuvre des systèmes d’IA en vertu de la LPRPDE actuelle.

Il peut être difficile de préciser des fins qui ne deviennent apparentes qu’une fois qu’une machine a déterminé des liens. Par exemple, l’Information Accountability Foundation soutient que, puisque « les connaissances que les données permettent d’obtenir ne sont pas révélées tant qu’elles ne sont pas analysées, le consentement au traitement ne peut être obtenu pour une fin précise [traduction] »Note de bas de page 27. Sans être en mesure de déterminer les fins au départ, il est tout aussi difficile de limiter la collecte à ce qui est nécessaire pour les fins déterminées par l’organisation, comme l’exige la LPRPDE.

Certaines autorités chargées de la protection des données font valoir que les principes de finalité et de minimisation des données sont toujours applicables dans le contexte de l’IA. Par exemple, concernant la minimisation des données dans les systèmes d’IA, l’ICO relève que « le fait que certaines données pourraient, plus tard dans le processus, être jugées utiles pour faire des prévisions ne suffit pas à établir leur nécessité aux fins en question, et il ne justifie pas rétroactivement leur collecte, utilisation ou conservation »Note de bas de page 28. L’ICO fait en outre remarquer que les données peuvent également être minimisées pendant la phase de formation en partant de l’hypothèse que « toutes les caractéristiques d’un ensemble de données ne seront pas nécessairement pertinentes pour la tâche »Note de bas de page 29. L’autorité norvégienne de protection des données indique que chercher activement à minimiser les données aide à se conformer au principe de la proportionnalité, qui exige que l’on cherche à réaliser l’objectif du traitement par IA d’une manière qui soit la moins invasive pour la personneNote de bas de page 30.

Le rapport d’un comité parlementaire canadien valide le bien-fondé du principe de la minimisation des données dans le contexte de l’éthique et de l’IA. Plus précisément, en juin 2019, le Comité ETHI a recommandé que le gouvernement modernise les lois canadiennes sur la protection des renseignements personnels et s’engage « à respecter la minimisation des données, à désidentifier tous les renseignements personnels à la source lorsqu’ils sont recueillis à des fins de recherche ou à des fins semblables et à clarifier les règles de consentement concernant l’échange de renseignements personnels entre ministères et agences gouvernementales »Note de bas de page 31.

La détermination des finalités et la minimisation des données demeurent des enjeux complexes, et les défis potentiels liés au respect de ces principes juridiques dans un contexte d’IA méritent qu’on se demande s’il y a lieu d’explorer d’autres motifs de traitement.

Questions aux fins de discussion

  1. Les principes juridiques de la finalité et de la minimisation des données peuvent-ils fonctionner dans un contexte d’IA et peuvent-ils être conçus de façon à s’y appliquer dès le départ?
  2. Dans l’affirmative, est-ce que cela limiterait les bienfaits sociaux potentiels de l’utilisation de l’IA?
  3. Dans la négative, quelles sont les solutions de rechange ou les mesures de protection à envisager?

Proposition 7 : Inclure dans la loi d’autres motifs de traitement et des solutions pour protéger la vie privée lorsqu’il n’est pas possible d’obtenir un consentement valable

Le concept de consentement est un pilier central de plusieurs lois sur la protection des données, dont l’actuelle LPRPDE. Toutefois, l’expérience démontre que le modèle de consentement actuel n’est peut-être pas viable dans toutes les situations, y compris pour certaines utilisations de l’IA. Cela s’explique en partie par l’incapacité d’obtenir un consentement valable lorsque les organisations ne peuvent informer les personnes des fins auxquelles les renseignements les concernant sont recueillis, utilisés ou communiqués de façon suffisamment détaillée pour consentir de façon éclairée. Comme l’indiquent nos Lignes directrices pour l’obtention d’un consentement valable, l’identification précise des finalités est l’un des éléments clés sur lesquels les organisations doivent mettre l’accent pour obtenir un consentement valable.

Dans d’autres lois, telles que le RGPD, le consentement n’est qu’un motif juridique de traitement parmi d’autresNote de bas de page 32. Les autres motifs de traitement en vertu du RGPD comprennent notamment le fait que le traitement est nécessaire à l’exécution d'une mission d’intérêt public et le fait que le traitement est nécessaire aux fins des « intérêts légitimes » poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée (notamment les enfants).

Nous croyons que le consentement peut continuer de jouer un rôle dans l’utilisation de l’IA lorsqu’il est valable et, dans cette veine, nous encourageons le gouvernement fédéral à promouvoir le développement de modèles de consentement novateurs. Par exemple, de nouvelles technologies de consentement et de nouveaux systèmes de gestion des renseignements personnelsNote de bas de page 33 permettent de préserver le droit des personnes de contrôler leurs renseignements personnels, après avoir été informées de façon suffisante de la façon dont ils seront utilisés lors de l’élaboration et du déploiement des systèmes d’IA. Ces approches devraient être optimisées pour faciliter le consentement dans la mesure du possible.

Cela dit, et comme nous l’avons souligné dans notre Rapport sur le consentementNote de bas de page 34, nous reconnaissons que d’autres motifs de consentement peuvent être acceptables dans certaines circonstances, particulièrement lorsqu’il n’est pas possible d’obtenir un consentement valable et que certaines conditions préalables sont remplies. Dans notre rapport, nous avons proposé que le Parlement envisage d’ajouter à la LPRPDE de nouvelles exceptions au consentement pour permettre des activités socialement bénéfiques que les rédacteurs originaux de la LPRPDE n’avaient pas envisagées. Ces autres motifs de consentement ne viseraient pas à assouplir les règles de protection de la vie privée, mais plutôt à reconnaître que le consentement peut ne pas être efficace dans toutes les circonstances et que des mesures plus efficaces doivent être adoptées pour mieux protéger la vie privée.

Ultimement, nous proposons que dans une future LPRPDE et dans le contexte de l’IA, les organisations, pour des fins de transparence et de contrôle, devraient généralement obtenir le consentement valable des personnes concernées. D’autres motifs de traitement, tels que décrits ci-haut, ne devraient être applicables que lorsqu’il est impossible d’obtenir un consentement valable, que cette impossibilité est démontrée, et que d’autres conditions prescrites sont remplies, comme la réalisation et la publication d’une EFVP.

L’utilisation de données non identifiables, par exemple par l’application de méthodes d’anonymisation, pourrait également être un facteur à prendre en compte pour déterminer si certains autres motifs de traitement tels que l’intérêt légitime ou public devraient être autorisés en vertu de la Loi.

Une nouvelle exception au consentement de cette nature devrait nécessairement être subordonnée à des pouvoirs d’application renforcés qui autoriseraient l’organisme de réglementation en matière de la protection de la vie privée, le cas échéant, à déterminer si l’utilisation des renseignements personnels est effectivement faite à des fins sociales plus générales et si elle respecte les conditions juridiques prescrites.

Questions aux fins de discussion

  1. Si une nouvelle loi ajoutait des motifs de traitement au-delà du consentement, assortis de conditions de protection de la vie privée, devrait-elle obliger les organisations à chercher à obtenir le consentement en premier lieu, notamment au moyen de modèles novateurs, avant de se tourner vers d’autres motifs?
  2. Est-il juste pour les consommateurs de créer un système dans lequel, à l’aide du modèle de consentement, ils auraient à assumer conjointement le fardeau de donner l’autorisation à l’IA plutôt qu’un système dans lequel la loi accepterait qu’il n’est souvent pas pratique d’obtenir le consentement et que d’autres formes de protection doivent être identifiées?
  3. Le fait d’exiger le consentement sous-entend que les organisations sont en mesure de définir les fins pour lesquelles elles ont l’intention d’utiliser les données avec suffisamment de précision pour que le consentement soit valable. Les diverses fins inhérentes au traitement par IA sont-elles suffisamment connaissables pour qu’on puisse les expliquer clairement à une personne au moment de la collecte de données afin d’obtenir un consentement valable?
  4. Le consentement devrait-il être réservé aux situations où les fins sont claires et directement pertinentes pour le service, laissant ainsi certains traitements de données être autorisés par d’autres motifs juridiques? Selon vous, quelles sont les situations qui devraient être autorisés par d’autres motifs?
  5. Comment les nouveaux motifs de traitement dans la LPRPDE devraient-ils être formulés : comme des fins socialement bénéfiques (où l’intérêt public l’emporte nettement sur les atteintes à la vie privée) ou plus largement, comme les intérêts légitimes du RGPD (qui comprennent les intérêts commerciaux légitimes)?
  6. Que pensez-vous de l’adoption de mesures incitatives qui encourageraient l’utilisation de modèles de consentement valable pour l’utilisation des renseignements personnels à des fins d’innovation commerciale?

Proposition 8 : Établir des règles qui permettent une certaine souplesse dans l’utilisation des renseignements qui ont été rendus non identifiables, tout en s’assurant qu’il existe des mesures plus rigoureuses pour assurer une protection contre la réidentification

La désidentification s’effectue au moyen de processus qui éliminent l’information permettant d’identifier les personnes d’un ensemble de données, de sorte que les risques de réidentification et de divulgation sont réduits à de faibles niveaux. Il faut toutefois noter que, dans les faits, il subsiste toujours un risque, même faible, de réidentification.

Différents points de vue existent à l’échelle mondiale quant à savoir si l’information désidentifiée entre dans le champ d’application des lois sur la protection des données. De nombreux pays considèrent les données désidentifiées ou rendues anonymes comme des renseignements non personnels hors du champ d’application de la loi. Par exemple, le Privacy Act 1988 de l’Australie ne s’appliquera pas aux renseignements qui ont fait l’objet d’une désidentification tant qu’il n’y a pas de probabilité raisonnable de réidentificationNote de bas de page 35. De même, la loi de Hong Kong sur la protection de la vie privée ne s’appliquera pas aux données à caractère personnel rendues anonymes tant que les personnes concernées ne pourront être identifiées directement ou indirectementNote de bas de page 36.

Le régime du Japon diffère considérablement en ce sens que sa loi sur la protection des renseignements personnels s’applique à la catégorie des « renseignements traités de façon anonyme » et énonce des obligations à l’endroit des organisations qui rendent anonymes les données et/ou utilisent des données rendues anonymes (y compris les avis)Note de bas de page 37. En vertu de cette loi, le consentement n’est pas requis pour l’utilisation ou la divulgation de données traitées de manière anonyme.

Puisque dans les faits, il existe toujours un risque de réidentification, nous croyons que la LPRPDE devrait continuer de s’appliquer, mais qu’il pourrait y avoir une certaine souplesse permettant d’utiliser des renseignements désidentifiés (ou des renseignements rendus non identifiables) en vertu d’une nouvelle loi. Grâce à cette souplesse, certains principes de la LPRPDE (comme le consentement) pourraient ne pas s’appliquer ou leur application pourrait être assouplie. Comme nous l’avons mentionné, la désidentification pourrait être un facteur à prendre en compte pour décider si d’autres motifs de traitement, comme les intérêts légitimes, devraient être autorisés.

Nous serions également favorables à l’ajout dans la loi de sanctions en cas de négligence ou d’actes malveillants entraînant la réidentification de renseignements personnels à partir d’ensembles de données désidentifiées. Cette approche à l’égard de la réidentification comprenant des conséquences financières est conforme à celle d’autres administrations. Par exemple, la loi japonaise sur la protection des données interdit expressément la réidentification des données désidentifiées, ce qui peut entraîner une peine d’emprisonnement ou une amendeNote de bas de page 38, et le Privacy Amendment (Re-identification Offence) Bill 2016 de l’Australie prévoit des infractions pénales et des sanctions civiles en cas de réidentification de renseignements personnels désidentifiés ou de divulgation de tels renseignementsNote de bas de page 39.

Questions aux fins de discussion

  1. Quel pourrait être le rôle de la désidentification ou d’autres techniques de pointe comparables (p. ex. données synthétiques, confidentialité différentielle) dans l’atteinte à la fois des intérêts commerciaux légitimes et de la protection de la vie privée?
  2. Quels principes de la LPRPDE feraient l’objet d’exceptions ou d’assouplissements?
  3. Quelles mesures pourraient être améliorées dans le cadre d’une loi réformée pour prévenir la réidentification?

Proposition 9 : Exiger des organisations qu’elles assurent la traçabilité des données et des algorithmes, notamment en ce qui concerne les ensembles de données, les processus et les décisions prises pendant le cycle de vie du système d’IA

Une exigence de traçabilité des algorithmes faciliterait l’application de plusieurs principes, notamment la responsabilité, l’exactitude, la transparence, la minimisation des données ainsi que l’accès et la correction. En effet, plusieurs organisations internationales sont d’avis qu’il est à la fois possible et hautement souhaitable de pouvoir retracer la source des données d’un système d’IA. Par exemple, les Principes sur l’intelligence artificielle de l’OCDE stipulent que « les acteurs de l’IA devraient veiller à la traçabilité, notamment pour ce qui est des ensembles de données, des processus et des décisions prises au cours du cycle de vie des systèmes d’IA, afin de permettre l’analyse des résultats produits par lesdits systèmes d’IA et le traitement des demandes d’information, compte tenu du contexte et de l’état de l’art de la technologie »Note de bas de page 40.

L’IEEE souligne que :

Les technologues et les entreprises doivent faire preuve de diligence éthique raisonnable avant de déployer une technologie de système d’IA […].Tout comme un enregistreur de données de vol dans le domaine de l’aviation, la traçabilité des algorithmes peut fournir des renseignements sur les calculs ayant conduit à des comportements douteux ou dangereux. Même lorsque ces processus demeurent quelque peu opaques, les technologues devraient chercher des moyens indirects de valider les résultats et de détecter les préjudices [traduction] »Note de bas de page 41.

Plusieurs autorités chargées de la protection des données se sont penchées sur cette question. Par exemple, le Commissariat à la protection des données personnelles de Singapour a recommandé de mettre en œuvre à la fois la « lignée des données » et des « dossiers de provenance des données » dans A Proposed Model Artificial Intelligence Governance FrameworkNote de bas de page 42. Le document définit la « lignée des données » ainsi : « Savoir d’où proviennent les données à l’origine, comment elles ont été recueillies, conservées et déplacées au sein de l’organisation, et comment leur exactitude est maintenue dans le temps. La lignée de données peut être représentée visuellement afin de retracer comment les données se déplacent de leur source à leur destination, comment les données sont transformées en cours de route, où elles interagissent avec d’autres données, et comment les représentations changent. » Il explique qu’un « dossier de provenance des données » permet à « une organisation de s’assurer de la qualité des données en fonction de leur origine et de leur transformation ultérieure, de repérer les sources potentielles d’erreurs, de mettre à jour les données et d’attribuer les données à leurs sources [traduction] ».

La Commission nationale de l’informatique et des libertés de France a recommandé la création d’une « plateforme nationale » d’audit des algorithmesNote de bas de page 43. Cette proposition est conforme au projet d’Algorithmic Accountability Act (AAA), qui donnerait à la Federal Trade Commission (FTC) des États-Unis de nouveaux pouvoirs pour exiger des entreprises qu’elles évaluent leurs systèmes d’apprentissage machine pour y déceler les biais et la discriminationNote de bas de page 44. Les règlements devant être adoptés par la FTC dans les deux ans suivant l’entrée en vigueur de la loi obligeraient les organisations à effectuer des évaluations automatisées des répercussions des décisions et des évaluations de l’impact sur la protection des données, « dans la mesure du possible », en consultation avec des tiers, notamment des vérificateurs indépendants et des experts techniques indépendants.

PwC Australia, un cabinet d’experts-conseils du secteur privé, a également formulé des recommandations sur la gouvernance de l’IA, estimant que « les plans d’IA devraient (…) commencer par donner une idée claire de la provenance des données, de leur fiabilité et de toute sensibilité réglementaire qui pourrait s’appliquer à leur utilisation, avant leur approbation. Les processus de préparation des données et d’« étiquetage » des données devraient être traçables. Autrement dit, il devrait être possible de montrer une piste de vérification de tout ce qui est arrivé aux données au fil du temps, au cas où il y aurait une vérification ou une enquête ultérieure [traduction] »Note de bas de page 45.

Les juristes Danielle Citron et Frank Pasquale affirment : « Les consommateurs lésés pourraient se voir garantir un préavis raisonnable si les systèmes de notation comprenaient des pistes de vérification enregistrant les corrélations et les inférences faites de façon algorithmique dans le processus de prédiction. Grâce aux pistes de vérification, les personnes auraient les moyens de comprendre leurs résultats. Ils pourraient contester les fausses interprétations et les déductions erronées qui ont conduit à leurs résultats [traduction] »Note de bas de page 46.

De plus, dans son document sur la réforme de la LPRPDE, Innovation, Sciences et Développement économique Canada recommande d’assurer « l’exactitude et l’intégrité des renseignements sur une personne tout au long de la chaîne de possession en exigeant des organisations qu’elles informent toute autre organisation à qui ils ont été communiqués de leur modification ou de leur suppression »Note de bas de page 47.

Compte tenu de ces points de vue d’experts et de l’importance de pouvoir retracer, analyser et valider les résultats du système d’IA pour que les personnes puissent se prévaloir des droits d’accès et de correction existants et pour améliorer la protection des droits de la personne en vertu de la LPRPDE modifiée, nous recommandons l’inclusion d’une exigence en matière de traçabilité des algorithmes des systèmes d’IA.

Question aux fins de discussion

  1. La traçabilité des données est-elle nécessaire, dans un contexte d’IA, pour assurer le respect des principes d’exactitude, de transparence, d’accès et de correction des données ainsi que la responsabilisation, ou existe-t-il d’autres moyens efficaces pour assurer le respect de ces principes?

Proposition 10 : Obliger à faire preuve de responsabilité démontrable pour l’élaboration et la mise en œuvre du traitement par IA

Des lacunes dans la formulation actuelle du principe de responsabilité de la LPRPDE nous ont amenés à conclure qu’une conception plus solide de la responsabilité devrait faire partie d’une loi modernisée. Bien que le principe 4.1 de la LPRPDE exige que les organisations soient responsables des renseignements personnels dont elles ont la gestion, nous proposons que le principe soit reformulé de manière à exiger que les organisations fassent preuve d’une responsabilité « démontrable ». Cette responsabilité démontrable exigerait des organisations qu’elles soient en mesure de prouver, sur demande, qu’elles se conforment aux exigences de la loi. La capacité d’une organisation de faire preuve de responsabilité démontrable devient encore plus importante dans les cas où le consentement n’est pas requis et où l’on s’attend à ce que les organisations comblent cette lacune dans la protection par leur responsabilisation.

Il existe diverses méthodes permettant d’obtenir une responsabilité démontrable, comme l’exigence de traçabilité, le droit à l’explication et l’évaluation des facteurs relatifs à la vie privée et aux droits de la personne, comme nous l’avons déjà mentionnéNote de bas de page 48. Une exigence en matière de tenue de dossiers serait également nécessaire pour permettre au Commissariat d’effectuer des inspections proactives plus facilement. De tels pouvoirs d’inspection existent actuellement au Royaume-Uni et dans plusieurs autres pays dans le monde et constituent un mécanisme essentiel pour une application efficace à l’appui de la protection des droits et de la prévention des atteintes. Comme l’explique Responsible AI: a Global Policy Framework de l’International Technology Law Association, « une IA bénéfique exige une responsabilité humaine. Les principes généraux, même s’ils sont bien intentionnés, sont inutiles sans régime de responsabilité exécutoire et sans modèle de gouvernance efficace [traduction] »Note de bas de page 49.

En vertu de l’article 37 de la Loi sur la protection des renseignements personnels, le commissaire à la protection de la vie privée a le pouvoir discrétionnaire de mener des enquêtes afin de s’assurer qu’une institution fédérale se conforme à des articles précis de la Loi. L’ajout d’une telle disposition dans la LPRPDE, qui permettrait au Commissariat d’inspecter de façon proactive les pratiques des organisations, orienterait la loi vers un modèle de responsabilité démontrable.

Nous proposons que la loi exige également une vérification indépendante par un tiers tout au long du cycle de vie du système d’IA. Les vérificateurs pourraient être passibles de sanctions financières s’ils agissent avec négligence en approuvant des pratiques qui, en fait, ne sont pas conformes.

Nous sommes également favorables à l’ajout dans la LPRPDE d’incitatifs pour que les organisations adoptent des mesures de responsabilité démontrable, comme la prise en compte de ces mesures comme facteurs atténuants au cours d’une enquête, ou l’imposition de sanctions financières en cas de non-conformité.

Enfin, nous sommes d’avis qu’une véritable responsabilisation devrait mener à la responsabilité des humains, et non des machines. Par conséquent, la responsabilité démontrable devrait être étroitement liée à l’attribution de la faute et à la responsabilité civile pour les défaillances de conception qui mènent à des atteintes à la vie privée. Le document intitulé Responsible AI: a Global Policy Framework de l’International Technology Law Association illustre bien les raisons pour lesquelles les humains doivent demeurer responsables :

« Même si l’IA pourrait nous forcer à reconsidérer la responsabilité de certains acteurs, cela devrait se faire d’une manière qui transfère la responsabilité à d’autres acteurs humains et non aux systèmes d’IA eux-mêmes (…). Tenir les systèmes d’IA directement responsables risque de protéger les acteurs humains de toute responsabilité et de réduire les incitations à concevoir et à utiliser l’IA de façon responsable [traduction] »Note de bas de page 50.

Questions aux fins de discussion

  1. Des mesures améliorées comme celles que nous proposons (tenue de dossiers, vérifications par des tiers, inspections proactives par le Commissariat) seraient-elles des moyens efficaces d’assurer une responsabilité démontrable de la part des organisations?
  2. Quelles sont les considérations relatives à la mise en œuvre des diverses mesures recensées?
  3. Quelles mesures supplémentaires devraient être mises en place pour s’assurer que des humains demeurent responsables des décisions relatives à l’IA?

Proposition 11 : Donner au Commissariat le pouvoir d’émettre des ordonnances exécutoires et d’imposer des sanctions financières aux organisations qui ne se conforment pas à la loi

Les systèmes d’IA nécessitent un régime réglementaire dont la rigueur est proportionnelle aux risques importants qu’ils posent à la vie privée et aux droits de la personne. Afin d’encourager le respect de la loi, la LPRPDE doit s’appliquer de manière adéquate et avoir des conséquences réelles pour les organisations qui ne se conforment pas à la loi.

La nécessité de légiférer pour renforcer l’application de la loi en tant que mesure de protection de la vie privée à l’ère numérique a été reprise dans l’étude du Conseil de l’Europe de 2017 intitulée Study on the Human Rights Dimensions of Automated Data Processing Techniques (In Particular Algorithms) and Possible Regulatory Implications, qui affirme que « le respect de la vie privée, comme l’exercice des autres droits fondamentaux, exige une application efficace de la loi [traduction] »Note de bas de page 51.

Les lois canadiennes sur la protection de la vie privée ont malheureusement pris beaucoup de retard par rapport à celles des partenaires commerciaux en ce qui concerne l’application de la loi. En même temps, la plupart des Canadiens croient que leur droit à la vie privée n’est pas respecté par les organisations. Un tel sentiment n’est pas propice à l’établissement de la confiance des consommateurs et n’est pas souhaitable tant du point de vue individuel qu’organisationnel. La loi devrait prévoir des mécanismes d’application de la loi qui garantissent aux personnes l’accès à un recours rapide et efficace pour la protection de leur droit à la vie privée, et qui incitent les organisations commerciales à s’y conformer à grande échelle.

Parmi les améliorations nécessaires à la LPRPDE, mentionnons l’habilitation du Commissariat à rendre des ordonnances exécutoires et à imposer des sanctions corrélatives en cas de non-conformité à la loi. Donner ces pouvoirs à une autorité de premier niveau plutôt que d’obliger les individus à attendre qu’un tribunal, plusieurs années après une violation alléguée, confirme une plainte, est un moyen beaucoup plus efficace d’assurer la jouissance des droits en temps opportun.

Dans d’autres administrations au Canada et à l’étranger, les organismes de réglementation de la protection de la vie privée et des données ont le pouvoir de rendre des ordonnances exécutoires et d’imposer des sanctions financières. L’éventail des pouvoirs de rendre des ordonnances comprend la capacité d’exiger d’une organisation qu’elle cesse de recueillir, d’utiliser ou de communiquer des renseignements personnels, de détruire les renseignements personnels recueillis en contravention de la loi et, plus généralement, d’ordonner l’application des mesures correctives adéquates pour assurer la protection des renseignements personnels, notamment. En ce qui concerne les sanctions financières, en Europe, par exemple, le RGPD permet l’imposition d’amendes « administratives ». Les organisations qui ne respectent pas le RGPD peuvent se voir infliger une amende pouvant aller jusqu’à 4 % de leur chiffre d’affaires annuel global ou 20 millions d’euros (le montant le plus élevé étant retenu).

De véritables pouvoirs de rendre des ordonnances et d’appliquer des sanctions financières permettraient aux Canadiens d’obtenir des règlements plus rapidement et les rassureraient quant à leur capacité de participer en toute confiance au marché numérique. Les mécanismes d’application de la loi devraient se traduire par des recours rapides et efficaces pour les personnes, et par une conformité générale et continue pour les organisations et les institutions. En l’absence d’une application de la loi efficace, les droits deviennent vides et la confiance se perd.

Questions aux fins de discussion

  1. Êtes-vous d’accord pour dire que pour que l’IA soit mise en œuvre dans le respect de la vie privée et des droits de la personne, les organisations doivent être passibles de sanctions exécutoires en cas de non-respect de la loi?
  2. Existe-t-il des mesures supplémentaires ou solutions de rechange qui pourraient permettre d’atteindre les mêmes objectifs?
Date de modification :