Un cadre réglementaire pour l’IA : recommandations pour la réforme de la LPRPDE

Novembre 2020

Auparavant réservée aux romans de science-fiction, l’intelligence artificielle (IA) est devenue une réalité de l’ère numérique. De nombreux services que les gens utilisent au quotidien s’appuient maintenant sur cette technologie. L’IA marque un tournant dans la société : elle entraîne des transformations importantes et ouvre la voie à de nouvelles façons de traiter les renseignements personnels.

Très prometteuse, l’IA peut notamment servir à résoudre certains des problèmes les plus urgents d’aujourd’hui. Par exemple, elle peut détecter et analyser des formes récurrentes dans les images médicales pour aider les médecins à diagnostiquer les maladies, améliorer l’efficacité énergétique en prévoyant la demande sur les réseaux électriques, offrir un apprentissage hautement individualisé aux étudiants, et gérer les flux de circulation dans les différents modes de transport afin de réduire les accidents et sauver des vies.

L’IA permet aux organisations d’innover dans le domaine des produits de consommation et des opérations commerciales, entre autres en automatisant le contrôle de la qualité et la gestion des ressources. Elle permet d’accroître l’efficacité, la productivité et la compétitivité, facteurs essentiels à la reprise économique et à la prospérité à long terme du pays.

Toutefois, les usages de l’IA fondés sur les renseignements personnels peuvent avoir de graves conséquences sur la vie privée. Les modèles d’IA ont la capacité d’analyser, d’inférer et de prédire de manière saisissante certains aspects du comportement, des intérêts et même des émotions des individus. Les systèmes d’IA peuvent utiliser ces indications pour prendre des décisions automatisées au sujet de ces individus, notamment pour déterminer s’ils devraient recevoir ou non une offre d’emploi, s’ils remplissent les conditions requises pour obtenir un prêt, s’ils doivent payer une prime d’assurance plus élevée ou s’ils sont soupçonnés d’avoir un comportement suspect ou illégal. Ces décisions ont des répercussions réelles sur la vie des gens. La manière dont elles sont prises soulève des préoccupations, ainsi que des questions d’équité, d’exactitude, de partialité et de discrimination. Les systèmes d’IA peuvent également être utilisés pour influencer, microcibler ou infléchir subtilement le comportement des individus à leur insu. De telles pratiques peuvent avoir des effets inquiétants pour la société dans son ensemble, particulièrement quand on y a recours pour influencer le processus démocratique.

En janvier 2020, le Commissariat à la protection de la vie privée du Canada a lancé une consultation publique sur ses propositions visant à assurer que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) règlemente l’IA de manière adéquate. Notre hypothèse de travail était que la LPRPDE doit être modifiée pour que la société puisse tirer avantage de l’IA tout en s’assurant que le droit des personnes à la vie privée est respecté.

Nous avons reçu 86 soumissions au total et avons tenu deux séances de consultation en personne avec des intervenants à Montréal et à Toronto. Afin de formuler nos recommandations, nous avons compilé et analysé les observations des intervenants, et nous nous sommes appuyés sur les connaissances d’experts, dont le professeur Ignacio Cofone, qui a rédigé à la demande du Commissariat le rapport ci-joint.

Le présent document, intitulé « Un cadre réglementaire pour l’IA : recommandations pour la réforme de la LPRPDE », énonce nos recommandations finales. Il s’appuie sur le rapport du professeur Cofone, qui aborde dans les détails ces recommandations ainsi que d’autres mesures et prend en compte les observations faites par les intervenants lors des consultations.

À notre avis, une réglementation appropriée pour l’IA :

permettrait que les renseignements personnels puissent être utilisés aux fins d’une innovation responsable et pour des usages socialement bénéfiques;
permettrait ces usages dans le cadre d’une loi qui enchâsserait la protection de la vie privée comme un droit de la personne et en tant qu’élément essentiel à l’exercice d’autres droits fondamentaux;
établirait des dispositions distinctes pour la prise de décision automatisée qui garantissent la transparence, l’exactitude et l’équité;
exigerait des entreprises qu’elles fassent preuve de responsabilité démontrable à la demande de l’autorité de réglementation, ultimement par l’entremise d’inspections proactives et d’autres mesures d’application de la loi.

Utilisation des données à des fins socialement bénéfiques et à des fins commerciales légitimes

Les renseignements personnels peuvent être utilisés d’une manière qui profite à la société, même lorsqu’ils sont recueillis dans le cadre d’une activité commerciale. Comme nous l’avons vu, l’IA peut être un outil puissant dans la réalisation de cette fin. Sa capacité à générer des prévisions et à dégager des tendances peut réduire l’incertitude ou le risque, et éclairer le choix des mesures visant à résoudre des problèmes sociétaux. Par exemple, elle peut être utilisée pour lutter contre l’insécurité alimentaire^{Note de bas de page 1}, améliorer la navigation^{Note de bas de page 2} et accélérer les découvertes scientifiques^{Note de bas de page 3}.

Le consentement, qui constitue la base de la LPRPDE et de nombreuses autres lois sur la protection des données dans le monde, comporte son lot de défis. Pour les individus, quand les politiques et les ententes sur les conditions d’utilisation sont longues et formulées dans un jargon juridique souvent incompréhensible, il est presque impossible d’exercer un contrôle réel des renseignements personnels ou de prendre des décisions valables concernant le consentement. Pour les organisations, le consentement n’est pas toujours possible dans un environnement numérique de plus en plus complexe, par exemple lorsque les consommateurs n’ont pas de relation avec l’organisation qui utilise leurs données, et lorsque les utilisations des renseignements personnels ne sont pas connues au moment de la collecte, ou sont trop complexes à expliquer. Ces lacunes sont encore plus flagrantes dans le contexte de l’IA, en raison de la complexité du traitement des données et parce que l’IA est conçue pour faire des découvertes à partir de renseignements personnels, y compris des inférences.

L’IA fait ressortir les lacunes du principe du consentement, autant pour ce qui est de la protection de la vie privée des individus que de la matérialisation de ses avantages. En fait, le consentement peut servir à légitimer des usages qui, objectivement, sont complètement déraisonnables et contraires à nos droits et valeurs. De plus, lorsque l’utilisation des données peut profiter à la société, le refus de donner son consentement peut parfois nuire à l’intérêt public.

En 2018, le Commissariat a mené des travaux visant à renforcer le rôle du consentement, puis a publié des Lignes directrices pour l’obtention d’un consentement valable. Ces améliorations sont importantes, mais il est capital de dire qu’en 2020, la protection des renseignements personnels ne peut reposer uniquement sur le consentement.

C’est pourquoi nous recommandons de nouvelles exceptions au consentement pour permettre de mieux tirer avantage de l’IA, mais dans un cadre fondé sur les droits. L’intention ici est de permettre une innovation responsable et socialement bénéfique tout en s’assurant que les droits des personnes sont respectés. Nous recommandons des exceptions au consentement pour l’utilisation de renseignements personnels à des fins de recherche et de statistiques, à des fins compatibles et à des fins d’intérêts commerciaux légitimes.

I. Fins de recherche et de statistiques

En vertu de cette exception, les renseignements personnels désidentifiés seraient exemptés des exigences relatives au consentement, à la finalité et à la minimisation des données lorsqu’ils sont utilisés à des fins de recherche et de statistiques internes au sein d’une organisation. L’objectif de cette exception est de faciliter l’entraînement de l’IA, qui repose sur des fonctions statistiques, et ainsi encourager le développement de l’IA au Canada. Si l’on permet aux organisations de réutiliser les renseignements existants de cette manière, les algorithmes de l’IA pourront apprendre à partir de données plus représentatives, ce qui augmenterait leur capacité de résolution de problèmes et leur précision.

À l’heure actuelle, la LPRPDE prévoit des exceptions au consentement qui peuvent permettre l’utilisation de renseignements personnels à des fins de statistiques ou de recherche universitaire, mais ces exceptions sont très limitées et ne sont pas optimisées pour un environnement d’IA. Cette précision est importante, car les systèmes d’IA productifs nécessitent de grandes quantités de données pour s’entraîner.

II. Fins compatibles

La compatibilité avec l’objectif initial de la collecte est un principe bien connu de la protection des renseignements personnels, présent dans de nombreuses lois internationales sur la protection de la vie privée, ainsi que dans la Loi sur la protection des renseignements personnels du Canada et le projet de loi 64 du Québec (appelé dans ces lois « fin compatible »). Cette exception permettrait l’utilisation de renseignements personnels sans consentement lorsque la nouvelle fin est compatible avec la fin initiale. Cette mesure tient compte des intérêts commerciaux en offrant une plus grande souplesse d’utilisation des renseignements personnels, notamment pour entraîner l’IA.

Dans de nombreuses lois, les « fins compatibles » ne sont pas définies de façon suffisamment précise, ce qui peut laisser place à une interprétation plutôt large et donner lieu à d’éventuels abus. Nous avons constaté que c’est parfois le cas avec la Loi sur la protection des renseignements personnels. Pour résoudre ce problème, il faudrait encadrer l’exception de limites claires pour déterminer ce qui peut être considéré comme compatible. Citons en exemple le critère prévu dans le projet de loi 64, selon lequel la fin doit avoir un lien « pertinent et direct » avec les fins pour lesquelles les renseignements ont été recueillis^{Note de bas de page 4}.

III. Intérêts commerciaux légitimes

Les deux exceptions au consentement que nous proposons, en plus de celles qui existent déjà dans la LPRPDE, ne sont pas suffisantes pour autoriser des utilisations nouvelles, imprévues mais responsables des renseignements qui sont dans l'intérêt de la société ou pour des intérêts commerciaux légitimes. C'est l'un des défis les plus difficiles à relever dans l'élaboration d'une loi moderne sur la protection des renseignements personnels : comment définir les utilisations autorisées des données dans une économie numérique qui évolue rapidement, de manière à permettre une innovation responsable tout en protégeant les droits et les valeurs des citoyens?

Comme il est impossible de prédire tous les usages futurs de la technologie, même à plus ou moins court terme, nous pensons que la meilleure manière de remédier à cette situation est de définir dans la loi les usages autorisés et les droits applicables de façon large, en utilisant des termes généraux qui peuvent ensuite être interprétés, en fonction du contexte au moment voulu.

Compte tenu de ce qui précède, nous pensons que dans le contexte de la LPRPDE, soit une loi qui régit des activités commerciales, le meilleur moyen de circonscrire les usages autorisés est de prévoir une exception au consentement pour des intérêts commerciaux légitimes. Le consentement demeurerait la règle, mais cette exception définie en termes généraux, similaire au libellé du Règlement général sur la protection des données (RGPD) et donc renforçant l'interopérabilité des lois, offrirait la souplesse nécessaire pour autoriser l’utilisation des renseignements personnels à des fins raisonnables imprévues. Il est préférable de procéder ainsi plutôt que d’étirer ou de déformer le concept du consentement implicite au point de lui faire perdre sa pertinence.

Comme il est expliqué dans un document d’orientation du commissariat à l'information du Royaume-Uni : [TRADUCTION] « Les intérêts légitimes du public en général peuvent également jouer un rôle lorsqu’il faut décider si les intérêts légitimes qui donnent lieu au traitement l'emportent ou non sur les intérêts et les droits de l'individu. Si le traitement en question présente un intérêt public plus large pour l’ensemble de la société, cela peut donner du poids à ces intérêts (de l'organisation) quand on les met en balance avec ceux de l'individu^{Note de bas de page 5}. » De cette manière, une clause d'intérêts commerciaux légitimes permettrait de reconnaître qu’il peut y avoir un chevauchement entre les intérêts commerciaux et les intérêts sociétaux.

Il serait impératif qu'une telle exception soit assortie de droits renforcés et des mesures de protection décrites ci-dessous, et qu'on n’y ait recours que dans un cadre juridique qui exige une responsabilité démontrable de la part des organisations et qui accorde à l’autorité de réglementation des mécanismes d’application renforcés.

Mesures de protection

Les exceptions proposées au consentement doivent être accompagnées d’un certain nombre de mesures de protection pour s’assurer que leur utilisation est appropriée. Ces mesures consistent en l’obligation de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) et en un critère de pondération pour s’assurer de la protection des droits fondamentaux. L’utilisation de renseignements désidentifiés serait requise dans tous les cas pour l’exception relative aux fins de recherche et de statistiques, et dans la mesure du possible pour l’exception relative aux intérêts commerciaux légitimes.

Évaluations des facteurs relatifs à la vie privée

Chacune des exceptions recommandées au consentement devrait d’abord nécessiter la réalisation d’une EFVP pour que la conformité à la loi soit évaluée et que les risques pour la vie privée soient recensés et atténués. Les EFVP sont des outils de protection de la vie privée largement reconnus et sont obligatoires pour les institutions du gouvernement fédéral.

Les EFVP sont nécessaires étant donné que les exceptions recommandées sont étroitement liées au contexte. Par exemple, un objectif de recherche proposé doit être soigneusement évalué par rapport aux renseignements utilisés afin d’atténuer adéquatement les risques. Si les risques ne peuvent être suffisamment atténués, l’activité ne devrait pas être poursuivie. Les EFVP permettent également de faire état de la responsabilité démontrable, comme nous le verrons plus loin dans le présent document.

Pour établir clairement ce qu’une EFVP devrait comprendre, il conviendrait de définir de manière détaillée les exigences à cet égard dans un règlement ou un document d’orientation du Commissariat.

Critère de pondération

Il faudrait aussi exiger un critère de pondération semblable à celui prévu dans le RGPD portant sur l’intérêt légitime nécessaire au traitement des données lorsque les organisations invoquent les exceptions recommandées au consentement. Ce critère comporte trois volets : il requiert une évaluation de la finalité, de la nécessité et de la proportionnalité de la mesure, ainsi que la prise en compte des intérêts et des droits et libertés fondamentaux de la personne afin de déterminer si ceux-ci l’emportent sur la mesure. Ce critère peut être évalué et documenté dans le cadre de l’EFVP.

Désidentification

Il faudrait exiger que les renseignements soient d’abord désidentifiés pour pouvoir les utiliser sans consentement à des fins de recherche ou de statistiques, et dans la mesure du possible pour des intérêts commerciaux légitimes.

Dans le cadre de cette exigence, la désidentification devrait être définie dans la LPRPDE. La Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario contient une définition du terme « anonymiser » : « [R]etirer les renseignements qui permettent [d’]identifier [un particulier] ou à l’égard desquels il est raisonnable de prévoir, dans les circonstances, qu’ils pourraient servir, seuls ou avec d’autres renseignements, à l’identifier. » La LPRPDE pourrait intégrer une approche similaire. Ce faisant, il faudrait tenir compte de la notion d’« identifiabilité » établie par la Cour fédérale (Gordon c. Canada (Santé), au paragraphe 34).

Par ailleurs, la loi devrait interdire la réidentification lorsque les renseignements personnels sont désidentifiés conformément à l’une des exceptions prévues dans la LPRPDE, et cette pratique devrait faire l’objet de sanctions pécuniaires, comme ce qui est présenté dans le projet de loi 64. Ces mesures reconnaissent le fait que la désidentification, même correctement mise en œuvre, n’écarte pas tous les risques^{Note de bas de page 6}.

Sauf en ce qui concerne les mesures de souplesse proposées dans le présent document, les renseignements désidentifiés devraient relever du champ d’application de la loi.

Reconnaissance du droit à la vie privée comme droit de la personne

Si la loi doit permettre des usages plus souples des renseignements personnels, elle doit uniquement le faire dans le cadre d’un régime fondé sur les droits qui reconnaît le droit à la vie privée dans toute son ampleur et sa portée. Le droit à la vie privée est un droit fondamental, et il est essentiel à l’exercice d’autres droits de la personne. Cela est particulièrement pertinent dans le contexte de l’IA, où les risques pour les droits fondamentaux, comme le droit à la non-discrimination, sont accrus.

Un régime fondé sur les droits ne ferait pas obstacle à l’innovation responsable. En fait, il contribuerait à soutenir l’innovation responsable et à renforcer la confiance dans le marché, en permettant aux gens de participer pleinement et en toute confiance à l’économie numérique. Dans son Rapport annuel au Parlement de 2018-2019, le Commissariat a présenté un plan directeur de ce que devrait être une approche fondée sur les droits en matière de protection de la vie privée. Cette approche est le fil conducteur de l’ensemble des recommandations formulées dans le présent document.

Comme nous l’avons mentionné, nous proposons que la loi devrait permettre l’utilisation de l’IA à un certain nombre de nouvelles fins, mais nous avons constaté que certaines pratiques facilitées par l’IA sont injustes, discriminatoires et biaisées, très éloignées de ce qui est socialement bénéfique. Compte tenu des risques associés à l’IA, un cadre fondé sur les droits contribuerait à garantir une utilisation de l’IA qui respecte ces droits. La législation sur la protection des renseignements personnels devrait interdire l’utilisation de renseignements personnels d’une manière qui est incompatible avec nos droits et nos valeurs.

Une autre mesure importante de cette approche fondée sur les droits de la personne consisterait à modifier la définition des renseignements personnels dans la LPRPDE afin d’inclure les inférences au sujet d’une personne^{Note de bas de page 7}. Cet élément est important, en particulier à l’ère de l’IA, où les renseignements personnels peuvent être utilisés par les organisations pour créer des profils et faire des prédictions destinées à influencer le comportement des individus. Faire en sorte que les renseignements qui sont le résultat d’inférences soient clairement visés par la loi est essentiel à la protection des droits de la personne, car il est souvent possible de faire des inférences sur un individu à son insu et de les utiliser pour prendre des décisions à son sujet.

Dispositions propres à la prise de décision automatisée

L’une des principales caractéristiques de la LPRPDE est sa neutralité technologique. Cet aspect doit rester intact lorsqu’il s’agit de réglementer l’IA, laquelle continuera d’évoluer. Plutôt que de réglementer la technologie à proprement parler, la LPRPDE devrait s’attaquer à l’incidence de l’IA sur le droit à la vie privée en offrant des mesures de protection à l’égard des décisions automatisées.

La prise de décision automatisée au moyen de systèmes d’IA présente des risques uniques en leur genre, qui justifient que ce processus soit assujetti à un traitement distinct. Le professeur Cofone fait la remarque suivante dans son rapport :

[TRADUCTION] « Suivant la prise de décision automatisée, des résultats discriminatoires peuvent survenir même lorsque les décideurs n’ont aucunement l’intention d’agir de manière discriminatoire^{Note de bas de page 8}. » Les processus décisionnels automatisés reflètent et accentuent les biais inhérents aux données qui leur sont fournies (les données qui servent à l’entraînement), ce qui affecte les décisions auxquelles ils aboutissent. Ils reproduisent et amplifient les scénarios nécessairement biaisés au moyen desquels ils ont été entraînés^{Note de bas de page 9}. Les catégories protégées qu’il est interdit aux décideurs de considérer, comme le genre ou la race, sont souvent statistiquement associées à des caractéristiques apparemment inoffensives, comme la taille ou le code postal. La prise de décision basée sur des algorithmes peut aisément conduire à une discrimination indirecte fondée sur le genre ou la race en s’appuyant sur ces caractéristiques à titre d’indicateurs des traits prohibés^{Note de bas de page 10}.

Les algorithmes utilisés pour prendre une décision concernant une personne peuvent être comme une boîte noire, laissant la personne dans l’ignorance quant à la manière dont la décision a été prise. Il est également admis que les données ne sont pas intrinsèquement objectives, mais qu’elles ne brossent qu’un tableau partiel en fonction de facteurs tels que les modalités de collecte^{Note de bas de page 11}. Les décisions automatisées risquent d’être inéquitables, biaisées et discriminatoires.

Pour parer aux risques que représente la prise de décision automatisée à l’égard du droit à la vie privée, la LPRPDE devra définir la prise de décision automatisée et instituer des mesures de protection précises s’y appliquant. Par ailleurs, contrairement au RGPD ou au projet de loi 64 du Québec, des mots tels qu’« uniquement » et « exclusivement » ne devraient pas être juxtaposés à ce terme, puisque cela aurait pour effet de restreindre considérablement l’applicabilité de certaines mesures de protection. Qui plus est, ces ajouts rendraient le terme susceptible de détournement du fait qu’il serait possible de prévoir une intervention humaine quelque part dans le processus uniquement pour se soustraire à des obligations supplémentaires.

Nous recommandons aussi que les individus se voient garantir deux droits explicites en ce qui concerne la prise de décision automatisée, à savoir : le droit d’obtenir une explication valable justifiant les décisions prises à leur endroit découlant de la prise de décision automatisée, et le droit de contester ces décisions sous le régime de la LPRPDE. Ces droits seraient exercés sur demande par les individus auprès d’une organisation. Les organisations devraient être tenues d’informer les individus de ces droits au moyen de pratiques de transparence bonifiées pour que ceux-ci soient conscients qu’une prise de décision automatisée est précisément en cause et qu’ils soient informés de leurs droits à cet égard. Cela pourrait vouloir dire qu’il serait nécessaire de fournir un avis distinct en plus des autres modalités prévues par la loi.

I. Le droit à une explication valable

Le droit d’obtenir une explication valable s’inscrit dans le prolongement des principes qui se trouvent actuellement dans la LPRPDE, soit l’exactitude, la transparence et l’accès aux renseignements personnels. Ce droit permettrait aux individus de comprendre les décisions rendues à leur sujet et faciliterait l’exercice d’autres droits, tels que celui de faire corriger les renseignements personnels inexacts, y compris ceux fondés sur des inférences. Ce droit s’apparenterait à celui énoncé à l’alinéa 15(1)h) du RGPD, qui exige que le responsable du traitement des données fournisse « des informations utiles concernant la logique sous-jacente » des décisions.

Par ailleurs, la loi devrait préciser ce qu’est une « explication valable » afin que la portée de ce droit soit sans ambiguïté. À cet égard, il serait possible de s’inspirer de la définition que le professeur Cofone propose dans son rapport : « Une explication qui permet aux individus de comprendre la nature et les éléments de la décision dont ils font l’objet ou les règles qui définissent le traitement et les caractéristiques principales de la décision. »

L’un des objectifs de ce droit est de traiter des scénarios potentiels où des algorithmes de boîte noire et des renseignements personnels inconnus sont utilisés pour déterminer automatiquement le sort d’une personne. Ce droit offrirait une voie de recours et garantirait le respect de la dignité humaine en veillant à ce que l’organisation soit tenue de pouvoir expliquer, en termes compréhensibles, le raisonnement qui sous-tend une décision en particulier. Bien que les secrets commerciaux puissent exiger des organisations qu’elles fassent preuve de prudence dans les explications qu’elles fournissent, une certaine forme d’explication valable serait toujours possible sans compromettre la propriété intellectuelle. Une personne ne doit pas être privée de son droit à une explication sous prétexte qu’il en va de la propriété intellectuelle ou des secrets commerciaux d’une organisation.

II. Le droit à la contestation

En outre, les personnes devraient disposer du droit de contester les décisions découlant de la prise de décision automatisée. Cela s’appliquerait aussi bien aux cas où une personne a donné son consentement au traitement de ses renseignements personnels qu’à ceux où une exception aux exigences du consentement a été invoquée par l’organisation. Il s’agit d’un prolongement du droit d’obtenir une explication.

Ce droit se rapprocherait de ce que prévoit le paragraphe 22(3) du RGPD, à savoir que, dans certaines circonstances, une personne peut exprimer son point de vue à un intervenant humain et contester la décision. Cependant, contrairement à ce que prévoit le RGPD, ce droit ne serait pas limité aux décisions fondées « exclusivement » sur le traitement automatisé de données. Ce droit réduirait le risque de discrimination algorithmique ou d’autres formes inéquitables de traitement. Le droit de contester les décisions viendrait s’ajouter au droit de retirer son consentement, que prévoit actuellement la LPRPDE, ou au « droit de s’opposer », qui est semblable. Toutefois, il importe de disposer des deux droits à la fois, puisque le droit de retirer son consentement ou de s’opposer est absolu (« tout ou rien »), alors que le droit de contester une décision offre un recours à la personne même quand celle-ci choisit de continuer à participer à l’activité qui fait intervenir la prise de décision automatisée.

Responsabilité démontrable

Les lois relatives à la protection de la vie privée sont vides de sens si elles sont dépourvues des mécanismes nécessaires pour encourager et assurer la conformité à la loi. Le rôle de l’autorité de réglementation dans la protection, sur le marché, du droit à la vie privée des personnes est de la plus haute importance compte tenu de la complexité croissante des flux d’information. Les individus doivent pouvoir compter sur une autorité de réglementation qui jouit de pouvoirs d’application efficaces pour leur permettre de profiter des avantages de l’IA de façon sécuritaire.

Le secteur des affaires a insisté sur le fait que le modèle fondé sur le consentement est inadéquat, et fait valoir que la LPRPDE devrait miser davantage sur la transparence et la responsabilité. Toutefois, si l'on met davantage l’accent sur la responsabilité, cela laisse une plus grande latitude ou liberté aux organisations quant à l’utilisation des renseignements personnels, parfois de manière douteuse. Par conséquent, une telle approche devrait être conjuguée à un renforcement du rôle de l’autorité de réglementation, afin de garantir que la responsabilité est démontrée et que, au bout du compte, les droits sont protégés.

Le fait est que les individus ne peuvent pas compter de manière absolue sur les organisations pour traiter correctement leurs renseignements personnels, en particulier si des décisions automatisées sont en jeu et peuvent perturber le cours de leur vie, et si l’organisation en cause ne fait pas nécessairement toujours preuve de transparence en ce qui concerne ses pratiques. Cette situation est aggravée par le profond déséquilibre de pouvoirs entre les individus et les organisations qui recourent à l’IA, caractérisé notamment par une asymétrie entre les connaissances et ressources des uns et des autres.

La LPRPDE devrait prévoir un droit à la responsabilité démontrable pour les individus, lequel imposerait une responsabilité démontrable à l’égard de tous les traitements de renseignements personnels. En plus des mesures décrites ci-dessous, il faudrait l’assortir d’une exigence de tenue de registres semblable à celle que prévoit l’article 30 du RGPD. Cette exigence serait nécessaire pour renforcer la capacité du Commissariat à mener des inspections proactives en vertu de la LPRPDE et pour permettre aux individus d’exercer leurs droits en vertu de la Loi.

I. Protection de la vie privée et droits de la personne dès la conception

L’intégration de la protection de la vie privée et des droits de la personne dès la conception des algorithmes et des modèles d’IA est un moyen efficace de prévenir en aval les conséquences négatives sur les personnes. Cela correspond à ce qui est énoncé dans les lois modernes, par exemple le RGPD et le projet de loi 64^{Note de bas de page 12}. La LPRPDE devrait obliger les organisations à intégrer la protection de la vie privée et les droits de la personne dès la conception en exigeant qu’elles mettent en œuvre « les mesures techniques et organisationnelles appropriées » qui assurent la conformité aux exigences de la LPRPDE avant et durant toutes les phases de la collecte et du traitement de données.

Une exigence prévoyant l’intégration de la protection de la vie privée et des droits de la personne dès la conception pourrait être accompagnée d’un règlement ou de lignes directrices du Commissariat précisant ce que cela implique.

Les EFVP sont des outils utiles lorsqu’il s’agit d’intégrer la protection de la vie privée et les droits de la personne dès la conception de l’IA. Elles aident les organisations à remplir les exigences que la loi leur impose et à cerner et atténuer les effets négatifs que les programmes et activités peuvent avoir sur la vie privée. Elles favorisent une responsabilité démontrable en intégrant la protection de la vie privée et les droits de la personne dès la conception. Elles permettent aussi à l’autorité de réglementation d’examiner les évaluations, lesquelles peuvent attester de la diligence raisonnable dont l’organisation a fait preuve avant de mettre en œuvre l’activité d’IA.

Dans le présent document, il est recommandé de considérer les EFVP comme des mesures de protection obligatoires lorsque sont invoquées des exceptions aux exigences du consentement. Soulignons que les EFVP devraient aussi figurer dans la LPRPDE comme un moyen pour une organisation d’intégrer la protection de la vie privée et les droits de la personne dans son processus de conception, et comme un moyen de démontrer sa responsabilité.

II. Traçabilité

À la lumière des nouveaux droits envisagés, soit celui d’obtenir une explication valable et celui de contester les décisions, les organisations devraient être tenues de consigner et de retracer la collecte et l’utilisation des renseignements personnels afin de s’assurer de respecter adéquatement ces droits dans le cadre du traitement complexe qu’implique l’IA. La traçabilité contribue à une responsabilité démontrable, car elle fournit des éléments que l’autorité de réglementation peut consulter, au cours d’une inspection ou d’une enquête, afin de cerner les renseignements personnels qui ont été introduits dans le système d’IA et d’établir la conformité en général.

Au Canada, de récentes modifications ont été apportées à la LPRPS de l’Ontario pour exiger la tenue d’un registre électronique des accès dans le contexte des renseignements personnels électroniques sur la santé. Ces registres doivent être fournis au Commissaire à l’information et à la protection de la vie privée de l’Ontario à sa demande^{Note de bas de page 13}. Le projet de loi 64 prévoit aussi des droits relatifs à la traçabilité à l’égard de la prise de décision automatisée pour les individus sur demande, y compris le droit de connaître les renseignements personnels utilisés pour rendre la décision, les raisons et les facteurs ayant mené à la décision ainsi que le droit de faire corriger les renseignements personnels utilisés pour rendre la décision^{Note de bas de page 14}.

III. Inspection proactive

La responsabilité démontrable doit s’appuyer sur un modèle de responsabilité assurée, en vertu duquel l’autorité de réglementation est habilitée à effectuer une inspection proactive auprès d’une organisation afin d’établir sa conformité aux exigences de protection de la vie privée. Dans un monde où les modèles d’affaires sont opaques et où les flux d’information sont de plus en plus complexes, les individus ne sont guère susceptibles de déposer une plainte s’ils ne sont pas au courant des pratiques qui peuvent leur porter préjudice. Cette difficulté ne fera que s’accentuer à mesure que les flux d’information deviendront plus complexes, l’IA étant en constante évolution.

Il est aussi essentiel que l’autorité de réglementation ait le pouvoir d’inspecter de manière proactive les pratiques des organisations en l’absence d’une plainte ou hors du cadre d’une enquête. Le Commissariat jouit actuellement de ce pouvoir en vertu de la Loi sur la protection des renseignements personnels, et il s’agit d’une pratique courante dans de nombreux autres domaines, notamment les normes d’emploi, la salubrité alimentaire et la santé, pour ne citer que ceux-là. Il existe de nombreux exemples, à l’échelle internationale, d’autorités responsables de la protection de la vie privée disposant de tels pouvoirs d’inspection, notamment au Royaume-Uni^{Note de bas de page 15} et en Australie^{Note de bas de page 16}.

IV. Ordonnances et sanctions

Les systèmes d’IA nécessitent un régime réglementaire dont la rigueur est proportionnelle aux risques importants qu’ils posent à la vie privée et aux droits de la personne. Afin d’encourager la conformité à la loi, la LPRPDE doit s’appliquer de manière adéquate et avoir des conséquences réelles pour les organisations qui ne se conforment pas à la loi. Afin de garantir la conformité et de protéger les droits de la personne, la LPRPDE devrait conférer au Commissariat le pouvoir de rendre des ordonnances exécutoires et d’imposer des sanctions pécuniaires.

Dans d’autres juridictions au Canada et à l’étranger, les organismes de réglementation de la protection de la vie privée et des données ont le pouvoir de rendre des ordonnances exécutoires et d’imposer des sanctions pécuniaires. Des lois en ce sens ne visent pas à punir les contrevenants ou à les empêcher d’innover. Elles visent plutôt à assurer une plus grande conformité, condition essentielle à la confiance et au respect des droits.

Par ailleurs, les sanctions doivent être proportionnelles aux profits que les organisations peuvent réaliser au mépris du droit à la vie privée, car des amendes peu élevées seront assimilées à de simples frais de fonctionnement. Cela dit, le processus doit être équitable et transparent, ce qui peut vouloir dire qu’il faudrait considérer des critères ou des paramètres législatifs dans le cadre du processus décisionnel du Commissariat pour imposer des sanctions pécuniaires.

En fin de compte, les mécanismes d’application de la loi devraient offrir aux individus des recours rapides et efficaces et assurer une conformité générale et constante des organisations et des institutions. En l’absence d’une application efficace de la loi, on vide les droits de leur substance, et la confiance se dissipe.

Conclusion

L’IA est très prometteuse lorsqu’il s’agit d’accroître l’efficacité, d’améliorer la productivité et de relever certains des défis sociétaux les plus importants d’aujourd’hui. Toutefois, son développement rapide risque de perturber de nombreux domaines de la société, et la vie privée ne fait pas exception à la règle. L’IA remet en question la façon dont la loi canadienne sur la protection des renseignements personnels dans le secteur privé, adoptée en 2000, peut protéger la vie privée; au moment où les ordinateurs sont capables d’apprendre à partir de renseignements personnels, d’exécuter des processus complexes avec un minimum d’intervention humaine, et même de prédire des résultats.

Le Canada s’est imposé comme un chef de file dans le développement de l’IA. En raison du développement et de l’adoption rapides de cette technologie, les Canadiens devraient bénéficier de droits accrus en matière de protection de la vie privée, tels que ceux dont jouissent bon nombre de nos partenaires commerciaux dans le monde, afin de garantir une utilisation sûre et un développement responsable de l’IA. Hélas, nos lois fédérales actuelles n’assurent pas un niveau de protection adapté à l’environnement numérique. Nous avons constaté trop souvent que des droits étaient bafoués dans la poursuite d’intérêts bien loin de ce qui pourrait être considéré bénéfique pour la société.

Une loi fondée sur les droits qui inclut le droit d’obtenir des explications, le droit de contester les décisions et une responsabilité démontrable, tout en prévoyant des exceptions aux exigences du consentement pour permettre des utilisations des renseignements qui soient davantage innovatrices et socialement bénéfiques, permet d’assurer la protection de la vie privée de façon réaliste et efficace dans le contexte de l’IA. Le droit à la vie privée est un droit fondamental et, d’après ce que nous constatons de plus en plus avec l’IA, il est indispensable à l’exercice d’autres droits fondamentaux. La prise de décision automatisée et les inférences de l’IA fondées sur des renseignements personnels soulèvent de vives inquiétudes en ce qui concerne l’équité, l’exactitude et la partialité des algorithmes d’IA, et la discrimination qu’ils peuvent entraîner. Le développement économique et social au moyen de la technologie ne peut être viable ou durable si les droits ne sont pas protégés.

Comme l’ont exprimé les Canadiens, nous sommes aux prises avec un déficit de confiance dans la façon dont les organisations traitent les renseignements personnels^{Note de bas de page 17}. Or, la confiance dans les entreprises canadiennes est essentielle à la reprise économique, à leur croissance à long terme et, au bout du compte, à leur réussite sur le marché canadien. Les Canadiens ont besoin de recourir aux technologies numériques et veulent profiter de leurs avantages, mais ils souhaitent le faire en toute sécurité. Nous espérons que nos recommandations contribueront à la mise en place d’un régime de protection de la vie privée actualisé qui permettra à la fois de stimuler l’innovation et de protéger les droits.

Notes

Note de bas de page 1

ITU News, « COVID-19: How can AI help fight hunger and food insecurity? », International Telecommunications Union, 13 mai 2020 (en anglais seulement).

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Rob Matheson, « Using artificial intelligence to enrich digital maps », MIT News, 23 janvier 2020 (en anglais seulement).

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Organisation de coopération et de développement économiques (OCDE), « L’intelligence artificielle dans la société », Publications de l’OCDE, 11 juin 2019.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 1^re session, 42^e législature, Québec, 2020, article 102.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

ICO, What is the ‘legitimate interests’ basis? (en anglais seulement).

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Gilad Rosner, « De-Identification as Public Policy » (2020) 3:3 Journal of Data Protection & Privacy 1, pages 3 et 4 (en anglais seulement).

Retour à la référence de la note de bas de page 6

Note de bas de page 7

Voir Frank Pasquale et Danielle Citron, « The Scored Society : Due Process for Automated Predictions » (2014) 89:1 Washington Law Review 1, ainsi que Sandra Wachter et Brent Mittelstadt, « A Right to Reasonable Inferences : Re-Thinking Data Protection Law in the Age of Big Data and AI » (2019) Columbia Business Law Review 2 (en anglais seulement).

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Voir Ifeoma Ajunwa, « The Paradox of Automation as Anti-Bias Intervention » (2020) 41 Cardozo L Rev, pages 1671 à 1687 (en anglais seulement).

Retour à la référence de la note de bas de page 8

Note de bas de page 9

Voir Pauline Kim, « Big Data and Artificial Intelligence : New Challenges for Workplace Equality », U Louisville L Rev, vol. 57, 2019, pp.313 à 323; Ignacio Cofone, « Algorithmic Discrimination is an Information problem », Hastings LJ, vol. 70, 2019, pp. 1389 à 1402 (en anglais seulement).

Retour à la référence de la note de bas de page 9

Note de bas de page 10

Anupam Chander, « The Racist Algorithm? » Mich L Rev, vol. 115, 2017, pp. 1023 à 1038 (en anglais seulement).

Retour à la référence de la note de bas de page 10

Note de bas de page 11

Craig Dalton, Linnet Taylor et Jim Thatcher. « Critical Data Studies: A dialog on data and space », Big Data & Society, vol. 3.1, 2016, pp. 1-9 (en anglais seulement). Les données sont souvent présentées comme un « processus uniforme et homogène » au lieu de tenir compte de la façon dont elles ont été recueillies et de la relation qui existe entre les données et la réalité qu’elles tentent de quantifier.

Retour à la référence de la note de bas de page 11

Note de bas de page 12

Voir RGPD, article 25 et le considérant n^o 78, de même que le projet de loi 64, article 100.

Retour à la référence de la note de bas de page 12

Note de bas de page 13

Voir projet de loi 188, Loi de 2020 sur la mise à jour économique et financière, article 10.1.

Retour à la référence de la note de bas de page 13

Note de bas de page 14

Voir projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 1^re session, 42^e législature, Québec, 2020, paragraphe 102, modifiant l’alinéa 12.1 (2) de la Loi.

Retour à la référence de la note de bas de page 14

Note de bas de page 15

UK Data Protection Act 2018, article 146 (en anglais seulement).

Retour à la référence de la note de bas de page 15

Note de bas de page 16

Australian Privacy Act 1988, article 33 (en anglais seulement).

Retour à la référence de la note de bas de page 16

Note de bas de page 17

Commissariat à la protection de la vie privée du Canada, « Selon un sondage, les Canadiens se préoccupent de leur vie privée en ligne et veulent exercer plus de contrôle sur leurs renseignements personnels », communiqué, 9 mai 2019.

Retour à la référence de la note de bas de page 17

Date de modification :: 2020-11-12

Sélection de la langue

Recherche et menus

Recherche