Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Lettre au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique au sujet de l’étude sur l’utilisation et les impacts de la technologie de reconnaissance faciale

Le commissaire à la protection de la vie privée du Canada, Daniel Therrien, a transmis une lettre au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique pour fournir les renseignements demandés durant sa comparution le 2 mai 2022.

PAR COURRIEL

Le 13 mai 2022

Monsieur Pat Kelly, député
Président
Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique
Chambre des Communes
131, rue Queen, 6e étage
Ottawa (Ontario) K1A 0A6

Monsieur le président,

Je vous remercie de m’avoir donné l’occasion de comparaître devant votre comité le 2 mai 2022 dans le cadre de son étude intitulée Utilisation et impacts de la technologie de reconnaissance faciale. Pour faire suite à la demande formulée par le Comité pendant ma comparution, j’ai le plaisir de vous transmettre les renseignements supplémentaires ci-dessous.

Cadre juridique recommandé pour le recours à la technologie de reconnaissance faciale par les services de police

Lors de ma comparution, je me suis engagé à fournir au Comité un exemplaire du Cadre juridique recommandé pour le recours à la reconnaissance faciale par les services de policeNote de bas de page 1, qui a été publié conjointement par les commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée le 2 mai 2022. Ce cadre énonce notre point de vue sur les changements qu’il faut faire pour assurer une réglementation adéquate de l’utilisation de la technologie de reconnaissance faciale (RF) par les services de police au Canada. Selon nous, le cadre à établir à cet égard devrait indiquer clairement et explicitement les situations où le recours à la RF par les services de police est acceptable et celles où il ne l’est pas. Il devrait aussi comprendre des mesures de protection de la vie privée propres à l’utilisation de la RF et des mesures pour assurer la surveillance qui s’impose lors du déploiement de cette technologie. Soulignons que le cadre proposé, bien qu’il ait été élaboré expressément pour le milieu policier, contient de nombreux éléments qui pourraient s’appliquer à d’autres contextes.

Pratiques exemplaires pour la réglementation de la RF

Le Comité m’a demandé de fournir des exemples de meilleures pratiques pour réglementer la RF dans les juridictions où des cadres réglementaires ont déjà été adoptés ou proposés. Plusieurs juridictions à l’étranger ont adopté ou proposé une réglementation pour encadrer précisément la RF (ou pour encadrer la biométrie en général, mais qui s’appliquerait aussi à la RF), dont pourrait s’inspirer le Canada. J’aimerais attirer particulièrement votre attention sur un certain nombre de mesures dignes de mention :

  • La Législation sur l’intelligence artificielleNote de bas de page 2 proposée par l’Union européenne, si elle est adoptée, interdirait aux secteurs public et privé d’utiliser des applications d’intelligence artificielle néfastes qui, entre autres, permettraient de manipuler des personnes ou d’exploiter les vulnérabilités d’individus en raison de certaines caractéristiques personnelles. Les applications non interdites qui présentent un risque élevé (comme celles qui utilisent la biométrie pour l’identification et la catégorisation) sont assujetties à des exigences légales particulières, comme l’adoption de mesures et de systèmes de gestion des risques; l’enregistrement des données; le contrôle humain général; l’utilisation de données exactes et représentatives pour entraîner l’intelligence artificielle; des évaluations ex ante de la conformité; et la responsabilité démontrable.
  • Selon le Règlement général sur la protection des donnéesNote de bas de page 3 de l’Union européenne, les données biométriques (qui comprennent les images faciales selon la définition à l’article 4) sont considérées comme une catégorie spéciale de données qui sont interdites, à moins que le responsable du traitement ne puisse s’appuyer sur un fondement juridique de traitement en vertu de l’article 6 (p. ex. consentement explicite) et un motif de traitement en vertu de l’article 9 (2) (p. ex. prouver que le traitement est nécessaire pour des motifs d’intérêt public important, etc.).
  • Des lois fédérales proposées aux États-Unis contiennent des dispositions qui auraient une incidence sur l’utilisation de la RF par les organisations des secteurs privé et public. La loi « Le 4e amendement n’est pas à vendre » (Fourth Amendment Is Not for Sale ActNote de bas de page 4), présentée en avril 2021, viserait à empêcher les courtiers en données de vendre des renseignements personnels aux organismes d’application de la loi sans surveillance judiciaire. Elle interdirait aussi l’utilisation de données obtenues illégalement par des organisations publiques. La loi sur la responsabilité algorithmique (Algorithmic Accountability ActNote de bas de page 5), présentée en février 2022, exigerait de nouvelles mesures de transparence et de nouvelles mesures pour assurer la responsabilité à l’égard des systèmes de décision automatisés. Elle obligerait les organisations privées à effectuer des évaluations pour établir s’il y a un biais algorithmique et pour mesurer l’efficacité et d’autres facteurs.
  • Des lois adoptées dans les États américains de Washington et de l’Utah réglementent l’utilisation de la RF par le gouvernement en précisant les conditions d’utilisation autorisées. La loi de l’Utah sur l’utilisation gouvernementale de la technologie de reconnaissance faciale (Governmental Use of Facial Recognition TechnologyNote de bas de page 6), par exemple, exige que les organismes gouvernementaux avisent les personnes concernées lorsqu’ils saisissent des images qui pourraient être traitées au moyen de la RF, et donnent un avis 30 jours avant l’utilisation proposée. La loi adoptée par l’Illinois sur la confidentialité des informations biométriques (Biometric Information Privacy ActNote de bas de page 7), quant à elle, interdit aux entreprises de vendre les renseignements biométriques des consommateurs (ce qui comprend la géométrie du visage, en vertu de l’article 10) ou d’en profiter de toute autre manière.

De plus, comme l’a souligné la présidente Poitras lors de notre comparution, la Loi concernant le cadre juridique des technologies de l’informationNote de bas de page 8 du Québec donne à son organisme de réglementation, la Commission d’accès à l’information du Québec (CAI), de vastes pouvoirs relatifs à la création et à l’utilisation de banques de caractéristiques biométriques par des entités privées et publiques. La CAI peut notamment interdire la mise en service d’une telle banque, ordonner d’y apporter des changements ou en ordonner la destruction si elle ne respecte pas les ordonnances de la CAI ou porte atteinte au respect de la vie privée.

Conformité de la GRC aux recommandations du Commissariat relatives à la protection de la vie privée

En juin 2021, le Commissariat a publié son Rapport de conclusions : Enquête sur le recours par la GRC à la technologie de reconnaissance faciale de Clearview AI pour la collecte de renseignements personnelsNote de bas de page 9. Ce rapport contenait plusieurs recommandations visant à améliorer la conformité de la GRC à la Loi sur la protection des renseignements personnels. La GRC a accepté de mettre en œuvre ces recommandations dans un délai d’un an.

Lors de ma comparution, je me suis engagé à rendre compte au Comité du calendrier de mise en œuvre de ces recommandations par la GRC. Depuis juin 2021, le Commissariat s’entretient régulièrement avec la GRC à cet égard. Celle-ci lui a remis deux rapports d’étape : le premier en octobre 2021 et le second en février 2022. Un rapport final doit être présenté à la fin de juin 2022. La GRC semble être en mesure de mettre en œuvre nos recommandations d’ici le 30 juin 2022.

Utilisation de la base de données IntelCenter par le gouvernement

Le Comité m’a demandé de fournir toute information que le Commissariat pourrait avoir sur l’utilisation par le gouvernement de la base de données et des services de RF d’IntelCenter. Je confirme que le Commissariat n’est au courant d’aucune utilisation ou mise à l’essai d’IntelCenter à des fins opérationnelles par la GRC ou par toute autre institution fédérale.

Intelligence artificielle

Le Comité a souhaité recevoir davantage de renseignements concernant le travail que nous avons fait sur l’intelligence artificielle (IA), les médias sociaux et les campagnes politiques. Les publications suivantes du Commissariat peuvent être utiles à cet égard :

  • Un cadre réglementaire pour l’IA : recommandations pour la réforme de la LPRPDENote de bas de page 10 − Notre proposition pour que la loi réglemente l’IA de manière adéquate.
  • Enquête conjointe du Commissariat à la protection de la vie privée du Canada et du Bureau du Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique au sujet de Facebook, Inc. : rapport de conclusionsNote de bas de page 11 − Nous avons constaté que Facebook a commis des violations graves aux lois canadiennes et s’est soustraite à ses responsabilités concernant la protection des renseignements personnels des Canadiens. Je tiens à souligner, comme Facebook a refusé de mettre en œuvre nos recommandations, que nous demandons une ordonnance exécutoire de la Cour fédérale pour obliger Facebook à prendre des mesures pour corriger ses pratiques en matière de protection des renseignements personnels et se conformer à la LPRPDE. Facebook a depuis répondu en déposant un contrôle judiciaire, contestant l’enquête.
  • Enquête conjointe du Commissariat à la protection de la vie privée du Canada et du Bureau du Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique au sujet d’AggregateIQ Data Services Ltd.Note de bas de page 12 − Nous avons constaté qu’AggregateIQ n’avait pas respecté ses obligations en vertu des lois canadiennes sur la protection des renseignements personnels lorsqu’elle a utilisé et communiqué les renseignements personnels de millions d’électeurs en Colombie-Britannique, aux États-Unis et au Royaume-Uni.

Examen du contrat de Clearview AI par le Commissariat

À sa réunion du 9 mai 2022, le Comité a demandé si le Commissariat avait examiné, dans le cadre de son travail d’enquête, les ententes contractuelles entre la GRC et Clearview AI. La présente confirme que la GRC a fourni au Commissariat pendant l’enquête des copies des conditions d’utilisation générales, du code de conduite et de la politique de confidentialité de Clearview AI.

Comme il est précisé au paragraphe 79 de notre rapport de conclusions, la GRC a fait valoir que ses licences (que ce soit pour les comptes payants ou les comptes d’essai) n’étaient assujetties qu’à ces modalités.

Je vous remercie encore une fois de m’avoir donné l’occasion de comparaître devant le Comité pour discuter de cette question importante.

Espérant que ces renseignements supplémentaires vous seront utiles pour conclure votre étude, je vous prie d’agréer, Monsieur, l’expression de mes meilleurs sentiments.

Le commissaire,

(Document original signé par)

Daniel Therrien

c. c. : Nancy Vohl
Greffière du comité

Date de modification :