Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) concernant la technologie de reconnaissance faciale
Le 10 mai 2021
Ottawa (Ontario)
Déclaration de Daniel Therrien
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)
Je vous remercie de m’avoir invité à prendre la parole aujourd’hui.
La technologie de reconnaissance faciale est devenue un outil très puissant qui, comme nous l’avons vu dans l’affaire Clearview AI, peut identifier une personne dans une banque de milliards de photos. Ou encore parmi des milliers de manifestants. Si elle est utilisée de manière responsable et dans les situations appropriées, elle peut offrir d’importants avantages à la société.
Par exemple, dans le domaine de l’application de la loi, elle peut permettre à la police de résoudre des crimes ou de retrouver des personnes disparues.
Toutefois, elle nécessite de recueillir des renseignements personnels sensibles qui sont propres à chaque individu et qui ont un caractère permanent.
La technologie de reconnaissance faciale peut être extrêmement envahissante au niveau de la vie privée. En plus de favoriser une surveillance généralisée, elle peut produire des résultats biaisés, et miner d’autres droits de la personne.
Clearview AI
L’enquête récente menée conjointement avec mes homologues de trois provinces dans l’affaire Clearview a permis de démontrer la manière dont la technologie de reconnaissance faciale peut donner lieu à une surveillance de masse et à traiter des milliards d’innocents en suspects potentiels.
Malgré nos conclusions à l’effet que les activités de Clearview violaient les lois canadiennes sur la protection des renseignements personnels, l’entreprise a refusé de suivre nos recommandations, comme celle de détruire les photos de Canadiens.
Par ailleurs, le Commissariat mène actuellement une enquête sur l’utilisation par la Gendarmerie royale du Canada de la technologie de Clearview AI. Cette enquête est presque terminée. Nous collaborons aussi avec nos collègues des provinces et des territoires afin d’élaborer un document d’orientation sur l’utilisation de la technologie de reconnaissance faciale par les corps policiers. Nous devrions publier une ébauche de ce document aux fins de consultation au cours des prochaines semaines.
Risques
L’affaire Clearview démontre que le recours à la technologie de reconnaissance faciale rend les citoyens vulnérables à la surveillance de masse.
Tel n’est pas le genre de société dans laquelle nous souhaitons vivre.
La liberté de vivre et de s’épanouir sans surveillance est un droit fondamental de la personne. Les gens ne renoncent pas à leur droit à la vie privée simplement en évoluant dans le monde d’une manière qui peut révéler leur visage à d’autres personnes ou permettre à une caméra de capter leur portrait.
Le droit à la vie privée est une condition préalable à l’exercice d’autres droits de la personne. En plus de poser de graves risques à l’égard du droit à la vie privée, les utilisations de la technologie de reconnaissance faciale qui sont mal réglementées réduisent aussi la capacité d’exercer d’autres droits, comme la liberté d’expression et d’association, l’égalité et la démocratie.
Nous devons nous assurer que nos lois sont à la hauteur et qu’elles imposent des limites qui assurent le respect des droits fondamentaux lorsque cette technologie est utilisée.
Cadre législatif
Afin de réglementer efficacement la technologie de reconnaissance faciale, nous devons prévoir dans nos lois de meilleures mesures de protection. Cela comprend une approche de la protection de la vie privée fondée sur les droits, des mesures de responsabilité véritables et des pouvoirs d’application de la loi accrus.
Le gouvernement fédéral a récemment présenté deux propositions pour moderniser nos lois sur la protection des renseignements personnels. Il s’agit d’opportunités importantes pour mieux réglementer l’utilisation de la technologie de reconnaissance faciale et d’autres nouvelles technologies.
En novembre dernier, le ministère de la Justice a publié un document de consultation exhaustif et prometteur, qui présentait de nombreuses propositions susceptibles d’améliorer la législation sur la protection des renseignements personnels dans le secteur public fédéral. Ce document propose des exigences de responsabilité accrues ainsi que des mesures visant à assurer une véritable surveillance et des recours rapides et efficaces. Il propose aussi un seuil de collecte plus rigoureux qui obligerait les institutions à prendre en compte plusieurs éléments afin de déterminer si la collecte de renseignements personnels est « raisonnablement requise » pour réaliser les fins exactes visées. Par exemple, ces institutions devraient s’assurer que les avantages prévus de la collecte sont évalués par rapport à l’intrusion dans la vie privée de sorte que la collecte soit juste, non arbitraire et proportionnée quant à sa portée.
Dans le secteur privé, le projet de loi C-11 édicterait la Loi sur la protection de la vie privée des consommateurs. À mon avis, ce projet de loi doit faire l’objet d’importantes modifications afin de réduire les risques liés à la technologie de reconnaissance faciale.
Approche fondée sur les droits
Les risques que pose la technologie de reconnaissance faciale démontrent très clairement que les droits et les valeurs des citoyens doivent être protégés par un solide cadre législatif fondé sur des droits.
Le ministère de la Justice propose l’adoption, dans la Loi sur la protection des renseignements personnels, d’une clause d’objet qui précise que l’un des principaux objectifs de la Loi serait de « protéger la dignité humaine, l’autonomie personnelle et l’autodétermination », reconnaissant ainsi la portée large du droit à la protection des renseignements personnels, en tant que droit de la personne.
Or, d’après le projet de loi C-11, il faut trouver un équilibre entre la protection de la vie privée et les intérêts commerciaux, qui constituent des éléments divergents. En fait, par rapport à la loi actuelle dans le secteur privé (la Loi sur la protection des renseignements personnels et les documents électroniques), le projet de loi donne plus de poids aux intérêts commerciaux en introduisant de nouveaux facteurs commerciaux à considérer dans la recherche d’un équilibre, sans prendre en compte, de quelque façon, les leçons des 20 dernières années concernant les atteintes aux droits causées par la technologie.
Clearview AI a été en mesure de s’appuyer sur le libellé de la version actuelle de la loi fédérale pour faire valoir que ses motifs étaient acceptables, affirmant que les intérêts de l’entreprise l’emportaient sur le droit à la vie privée. Bien que nous avons rejeté ces arguments, certains commentateurs juridiques ont fait valoir que nos conclusions seraient une façon de contourner la clause d’objet de la LPRPDE en ne donnant pas suffisamment de poids aux intérêts commerciaux. Si le projet de loi C‑11 était adopté sous sa forme actuelle, Clearview et ces commentateurs pourraient toujours formuler de tels arguments.
Je vous invite à clairement indiquer, par l’entremise du projet de loi C-11, qu’en cas de conflit entre les objectifs commerciaux et la protection de la vie privée, le droit à la vie privée des Canadiens doit prévaloir. Notre mémoire qui analyse le projet de loi apporte des recommandations précises sur le texte qui permettrait d'atteindre cet objectif.
Mesures de responsabilité démontrable
Les mesures de responsabilité démontrable constituent un autre mécanisme fondamental qui permettrait de protéger les Canadiens contre les risques posés par la reconnaissance faciale.
L’obligation de protéger la vie privée dès la conception, d’effectuer des évaluations des facteurs relatifs à la vie privée et d’assurer la « traçabilité » à l’égard de la prise de décisions automatisée sont les principaux éléments d’un cadre de responsabilité véritable.
Même si la plupart de ces mesures de responsabilité font partie des propositions du ministère de la Justice visant à moderniser la Loi sur la protection des renseignements personnels, aucune ne figure dans le projet de loi C‑11.
Pouvoirs d’application de la loi
Les efforts déployés pour réglementer la technologie de reconnaissance faciale doivent aussi comporter de solides mécanismes de conformité qui offrent aux gens des recours rapides et efficaces.
Notre enquête sur Clearview a permis de révéler que l’entreprise avait enfreint deux obligations prévues par nos lois sur la protection des renseignements personnels. L’entreprise a d’une part sans consentement et à des fins inacceptables, recueilli, utilisé et communiqué des renseignements biométriques. Étonnamment – je dirais même de façon choquante – le nouveau régime de pénalités administratives du projet de loi C-11 ne s’appliquerait pas à ces manquements ni à d’autres contraventions importantes à la loi. Un tel régime de pénalités vide de sens les lois censées protéger les citoyens.
Je vous invite donc instamment à modifier le projet de loi pour remédier à cette lacune aussi fondamentale.
Conclusion
La nature des risques liés à la technologie de reconnaissance faciale nous enjoint à réfléchir collectivement aux limites de ce que constitue une utilisation acceptable de cette technologie. Ces limites devraient être définies non seulement par rapport aux risques liés à des initiatives ponctuelles, mais en tenant compte des conséquences sociétales de l’accumulation de ces initiatives au fil du temps.
Dans un contexte où les capacités technologiques d’intrusion dans la vie privée ne cessent d’augmenter, nous devons nous demander quelles sont les attentes que nous devrions établir maintenant pour l’avenir de la protection de vie privée.
Je répondrai volontiers à vos questions.
- Date de modification :