Allocution principale à l’occasion de la Conférence 2023 sur le big data et les analytiques à Montréal

L’IA générative et la protection de la vie privée

La prise en compte des répercussions sur la vie privée de l’évolution rapide des technologies est l’un des principaux secteurs d’intérêt du Commissariat. En 2023, cela signifie qu’il faudra suivre de près les avancées dans le domaine de l’IA générative, qui a progressé à pas de géant l’année dernière lorsque ChatGPT a permis à toute personne disposant d’une connexion Internet d’avoir accès du bout des doigts aux possibilités apparemment illimitées de l’IA générative. Rien que cette semaine, nous avons vu paraître des articles sur la création d’un dispositif d’IA par Sam Altman et Jony Ive.

L’utilisation de gigantesques ensembles de données – qui comprennent souvent des renseignements personnels – pour générer du contenu comme du texte, du code informatique, des images, de la vidéo ou de l’audio en réponse à une demande de l’utilisateur change la donne, et l’IA générative s’avère incroyablement prometteuse pour ce qui est de faire progresser l’innovation, l’efficacité et la commodité.

Cependant, cette technologie suscite également d’importantes préoccupations, notamment en ce qui concerne la collecte et l’utilisation de renseignements personnels comme données d’entraînement, la transparence et le caractère explicable des sources de données et des processus décisionnels de l’IA, les mécanismes de consentement, la responsabilité relative aux processus et aux résultats des systèmes et l’exactitude des décisions, y compris les renseignements générés au moyen d’inférences et le risque de biais.

Certains ont comparé l’IA générative à l’ouverture d’une boîte de Pandore. Même Sam Altman, le président-directeur général de l’entreprise à l’origine de ChatGPT, a appelé à la prudence et à une réponse coordonnée à l’échelle mondiale pour réguler la technologie.

Plus tôt cette année, le Commissariat a annoncé qu’il avait ouvert une enquête conjointe menée en collaboration avec plusieurs provinces sur OpenAI, l’entreprise qui est à l’origine de ChatGPT, afin d’établir si les pratiques de celle‑ci sont conformes aux lois canadiennes sur la protection des renseignements personnels. Cela nous rappelle que même si nos lois doivent être modernisées, elles s’appliquent actuellement à ce domaine, comme l’a confirmé la Cour d’appel fédérale dans la décision qu’elle a rendue vendredi dernier dans l’affaire Google, selon laquelle elle est d’accord avec la position du Commissariat, à savoir que l’exploitation du service de moteur de recherche Google est assujettie à la Loi sur la protection des renseignements personnels et les documents électroniques.

L’enquête sur OpenAI est en cours et nous continuons à surveiller ces technologies ainsi que d’autres nouvelles technologies afin de prévoir quelles seront les répercussions de celles-ci sur la vie privée, de recommander des pratiques exemplaires pour garantir le respect des lois sur la protection des renseignements personnels, et de promouvoir l’utilisation de technologies d’amélioration de la confidentialité.

Par exemple, je me suis récemment joint à 11 autres autorités de protection des données du monde entier afin de publier une déclaration commune demandant aux entreprises de médias sociaux de prendre des mesures pour empêcher l’extraction illégale de données. Dans la déclaration, ces autorités exhortent les entreprises comme Facebook, TikTok et YouTube à mettre en place des mesures de contrôle visant à prévenir et à détecter de telles activités, et à y réagir le cas échéant.

L’extraction automatisée de données du Web est une caractéristique de nombreux modèles d’IA générative et pose un risque important pour la vie privée. Les renseignements personnels extraits ont été utilisés aux fins suivantes : cyberattaques ciblées, vol d’identité, création de bases de données de reconnaissance faciale, collecte non autorisée de renseignements par la police, marketing direct non sollicité et pourriels.

En effet, selon un récent rapport de l’Organisation de coopération et de développement économiques (OCDE) sur l’IA générative, les menaces pesant sur la vie privée figuraient parmi les trois principaux risques retenus par les membres du G7 en ce qui concerne l’atteinte des objectifs nationaux et régionaux.

C’est pourquoi l’IA générative a également fait l’objet d’une déclaration commune des autorités de protection des données et de la vie privée du G7, que mes collègues et moi avons publiée à Tokyo en juin dernier.

Ensemble, nous demandons aux développeurs et aux fournisseurs de technologies d’IA générative d’intégrer la protection de la vie privée dans la conception, l’élaboration, le fonctionnement et la gestion de leurs nouveaux produits et services. Les enjeux potentiels sur le plan de la protection de la vie privée doivent être pris en compte et atténués dès les premières étapes de toute initiative. Nous avons accueilli favorablement la Déclaration des ministres du numérique et des technologies du G7 d’avril 2023, qui a renforcé la position selon laquelle les lois, les règlements, les politiques et les normes relatifs à l’IA devraient être axés sur l’être humain et guidés par des valeurs démocratiques, telles la protection des droits de la personne et des libertés fondamentales et la protection de la vie privée et des données personnelles.

Promouvoir une culture de la protection de la vie privée, qui favorise la protection de la vie privée dès la conception et l’assure par défaut, encouragera et permettra l’innovation responsable.

Nous avons également exhorté les entreprises à tenir compte des principes de protection de la vie privée mondialement reconnus dans la conception et le fonctionnement de produits et de services, comme la minimisation des données, la qualité des données, la finalité, la limitation de l’utilisation, les mesures de sécurité, la transparence, les droits des personnes concernées, y compris le droit d’être informé de la collecte et de l’utilisation de leurs données personnelles, et la responsabilité.

Nous avons finalement rappelé aux entreprises que les lois existantes sur la protection des renseignements personnels s’appliquent aux produits et services d’IA générative, alors même que les gouvernements du monde entier cherchent à élaborer des lois et des politiques propres à l’IA.

J’ai été ravi de constater que cette déclaration figurait dans le code de conduite volontaire en matière d’IA présenté par le Ministre Champagne la semaine dernière. Mes collègues internationaux et moi-même continuons notre travail dans ce domaine important, et je serai l’hôte avec mon collègue allemand chargé de la protection des données d’une réunion du groupe de travail sur la technologie émergente de l’Assemblée mondiale pour la protection de la vie privée (AMVP), qui aura lieu à Ottawa en décembre prochain.

Réforme législative et réglementation de l’IA au Canada

Sur le plan législatif, il y a eu du nouveau au Canada au cours du mois dernier en ce qui concerne la réglementation de l’IA.

Jeudi dernier, j’ai eu l’occasion d’exprimer mon point de vue sur le projet de loi C-27, Loi sur la mise en œuvre de la Charte du numérique, devant le Comité permanent de l’industrie et de la technologie de la Chambre des communes. Même si j’ai pu prononcer mon allocution d’ouverture avant que le Comité ne soit saisi d’une motion la semaine dernière, j’ai hâte de comparaître de nouveau devant ce Comité dès que j’y serai invité pour faire part de mon point de vue sur cet important projet de loi.

Le projet de loi comprend la Loi sur la protection de la vie privée des consommateurs ou la LPVPC, qui vise à moderniser la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, et la nouvelle Loi sur l’intelligence artificielle et les données ou la LIAD, qui vise à mettre en place un cadre réglementaire pour l’IA.

J’ai été encouragé par la présentation de ce projet de loi et je me réjouis de le voir franchir les étapes du processus législatif. La LPVPC répond à un certain nombre de préoccupations qu’ont déjà exprimées le Commissariat et d’autres instances. Par exemple, en plus d’exiger que les renseignements utilisés pour obtenir le consentement soient présentés dans un langage facile à comprendre, il accorde au Commissariat le pouvoir d’émettre des ordonnances et prévoit aussi une liste élargie des contraventions auxquelles des sanctions administratives pécuniaires peuvent s’appliquer, le cas échéant.

L’adoption de la LIAD pourrait faire du Canada l’un des premiers pays à réglementer l’IA, ce qui est important compte tenu des risques éventuels de cette technologie. Bien que cette loi n’aborde pas expressément les risques d’atteinte à la vie privée, la LPVPC s’appliquerait au traitement des renseignements personnels dans les systèmes d’IA, et j’ai recommandé des moyens d’améliorer cette situation.

Dans l’ensemble, le projet de loi représente un pas dans la bonne direction, mais, comme je l’ai dit, il peut et doit protéger davantage le droit fondamental à la vie privée. Je trouve encourageants les commentaires formulés par le ministre Champagne la semaine dernière sur son intention d’apporter des modifications conformes à nos recommandations d’adopter un libellé qui reconnaîtrait la protection de la vie privée comme un droit fondamental et de mieux protéger la vie privée des enfants, entre autres. La réforme des lois sur la protection des renseignements personnels est nécessaire depuis longtemps et doit se concrétiser.

J’ai présenté aux parlementaires un document énonçant 15 recommandations clés. Nous recommandons notamment que les organisations soient tenues de mener des évaluations des facteurs relatifs à la vie privée afin de s’assurer que les risques pour la vie privée sont cernés et atténués pour les activités à risque élevé. Un exemple important serait l’utilisation de l’intelligence artificielle pour prendre des décisions ayant des répercussions sur un individu, par exemple pour établir s’il reçoit une offre d’emploi, s'il remplit les conditions pour obtenir un prêt, s'il doit payer une prime d’assurance plus élevée ou s'il est soupçonné d’avoir un comportement suspect ou illégal.

Nous recommandons aussi que la définition de « renseignements dépersonnalisés » soit modifiée afin d’y intégrer le risque de réidentification, pour que les Canadiennes et les Canadiens aient le droit de demander une explication lorsqu’un système d’IA prend des décisions qui les concernent, et pour que le Commissariat dispose d’une plus grande souplesse pour la négociation et l’application des accords de conformité ainsi que pour la collaboration et la communication avec les autres organismes de réglementation. Cela est important dans plusieurs domaines, et ce sera essentiel dans le cas de l’IA et de l’IA générative.

Nos recommandations portent principalement sur la LPVPC, mais certaines d’entre elles s’appliqueraient également à la LIAD. Par exemple, la LIAD confère dans une large mesure au gouvernement le pouvoir de définir des aspects importants de la loi par voie de règlement. Le gouvernement pourrait, par exemple, établir par règlement ce qui consiste ou non une justification, en ce qui concerne une décision discriminatoire d’un système d’IA, pour l’application de la définition de résultat biaisé.

Il pourrait également, par voie de règlement, établir des critères pour l’application de la définition de système à incidence élevée, ou encore établir des mesures concernant la manière d’anonymiser des données et l’utilisation ou la gestion des données anonymisées.

Puisque tout cela pourrait éventuellement avoir des répercussions sur la vie privée, il sera essentiel de mettre en place un mécanisme officiel pour que le Commissariat soit consulté au moment de rédiger les règlements en question.

Mercredi dernier, Innovation, Sciences et Développement économique Canada a publié un code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés. À ce moment-là, une douzaine d’entreprises et d’organisations avaient déjà signé pour adhérer au code volontaire, notamment BlackBerry, OpenText, Telus et le Conseil canadien des innovateurs, qui représente plus d’une centaine de jeunes entreprises de partout au Canada. Ce code fait suite à la publication, en août, d’un document contextuel destiné à orienter les consultations avec les parties prenantes et les experts en IA sur un éventuel code de pratique. Dans le code de conduite volontaire, on renvoie à la déclaration du G7 sur l’IA et on précise que ledit code ne change en rien les obligations juridiques que les entreprises peuvent avoir, par exemple, au titre de la Loi sur la protection des renseignements personnels et les documents électroniques.

Le Commissariat a un rôle essentiel à jouer pour assurer la protection de la vie privée et des droits et libertés fondamentaux dans la réglementation de l’IA. C’est pourquoi il est important que nous participions à l’élaboration du cadre réglementaire canadien en matière d’IA.

Enfin, il est important de noter que l’IA générative n’est pas strictement du ressort du secteur privé. L’utilisation et le développement de celle-ci présentent également un grand intérêt pour les gouvernements, et plusieurs ministères fédéraux ont déjà commencé à l’utiliser. Il s’agit également d’un domaine interréglementaire, qui touche à la concurrence, aux droits d’auteur, aux droits de la personne et à d’autres domaines. C’est pourquoi j’ai récemment annoncé avec mes collègues, le Commissaire de la concurrence et la présidente du Conseil de la radiodiffusion et des télécommunications canadiennes, la création du Forum canadien des organismes de réglementation numérique.

Le mois dernier, le Conseil du Trésor du Canada a publié un guide sur l’utilisation de l’IA à l’intention des ministères et des organismes fédéraux. Le guide encourage les institutions fédérales à étudier comment elles pourraient utiliser des outils d’IA générative pour appuyer leurs opérations et améliorer les résultats pour la population canadienne. Il définit également les paramètres selon lesquels elles devraient mener leurs activités.

Je crois que ce guide est un bon point de départ. Le Commissariat travaille actuellement avec des homologues nationaux et internationaux sur des initiatives stratégiques et de recherche dans le domaine de l’IA générative, et nous espérons être très bientôt en mesure de contribuer et d’apporter encore plus à cette importante discussion sur l’IA responsable.

Nous espérons que les résultats de notre enquête conjointe sur ChatGPT contribueront aussi à étayer nos recommandations aux secteurs public et privé concernant l’utilisation des technologies d’IA générative.

L’IA constitue un enjeu d’envergure mondiale qui exige une approche de portée mondiale. Il en va de même pour la circulation transfrontalière des données.

Circulation transfrontalière des données

En tant qu’organisme de réglementation de l’une des économies numériques les plus avancées au monde, je travaille en étroite collaboration avec mes collègues, en particulier ceux du G7, mais aussi avec ceux de l’AMVP, des autorités de protection de la vie privée de la zone Asie-Pacifique (APPA) et de l’Association francophone des autorités de protection des données personnelles (AFAPDP) dans les discussions mondiales concernant les enjeux numériques, y compris l’adoption de normes plus strictes en matière de protection des données dans le monde entier.

Il est important que les lois canadiennes sur la protection des renseignements personnels soient interopérables avec d’autres lois, tant à l’échelle nationale qu’à l’échelle internationale, afin de faciliter et de réglementer les échanges où sont utilisées des données personnelles. De telles lois servent à donner l’assurance aux citoyens que leurs renseignements personnels sont protégés de façon semblable lorsque ceux-ci ou leurs propriétaires franchissent les frontières.

C’est d’ailleurs essentiel si le Canada veut maintenir ses relations d’affaires avec l’Europe. Comme nous l’avons vu avec les États-Unis, il existe un risque réel que des pays perdent le caractère adéquat de leur législation avec celle de l’Europe si la Commission européenne estime que leurs lois sur la protection des données ne garantissent pas un niveau de protection équivalent à celui du Règlement général sur la protection des données.

Il y a un peu plus d’un an, je me suis rendu en Allemagne pour rencontrer mes homologues du G7 chargés de la protection des données et de la vie privée. Nous nous sommes entretenus de questions réglementaires et technologiques dans le contexte des transferts de données transfrontaliers. La discussion a porté sur la question de la « libre circulation des données en toute confiance », soulignant la nécessité de renforcer la confiance des consommateurs en garantissant des normes internationales élevées en matière de protection pour les données qui circulent au-delà des frontières, avec le droit à la vie privée et à la protection des données comme principe directeur.

Nous avons partagé des connaissances sur les « espaces internationaux de données », qui peuvent être considérés comme une approche émergente de l’échange de données dans la confiance et sur une base volontaire dans et entre les organisations et les secteurs, que ce soit au niveau national ou au niveau international, afin de soutenir l’innovation dans le milieu universitaire, l’industrie et le secteur public.

Nous avons également discuté des outils internationaux de transfert de données, comme les mécanismes de certification, les technologie d’amélioration de la confidentialité et les normes de dépersonnalisation, ainsi que des principes importants en matière de protection de la vie privée, notamment la minimisation des données et la finalité et la limitation de l’utilisation, en plus d’aborder le rôle des autorités chargées de la protection des données et de la vie privée dans la gouvernance de l’IA.

J’ai présenté un document de travail sur la dépersonnalisation des données, qui peut être une pratique de protection de la vie privée présentant des avantages pour le bien commun, par exemple en ce qui concerne la santé publique.

Le mois dernier, j’ai eu l’occasion de participer à une table ronde virtuelle sur la libre circulation des données en toute confiance, organisée par l’Assemblée mondiale pour la protection de la vie privée en collaboration avec l’OCDE. Cette dernière a d’ailleurs publié un rapport sur le sujet ainsi qu’un sondage sur les défis et les besoins des organisations.

Le rapport de l’OCDE donne un aperçu saisissant de la mesure dans laquelle les pays du monde entier élaborent et mettent en œuvre leurs lois sur la protection des renseignements personnels.

Le rapport fait valoir, à juste titre, que l’omniprésence des lois sur la protection des renseignements personnels illustre la diversité des obligations en matière de conformité que les organisations doivent respecter.

Cela fait ressortir l’importance de disposer de mécanismes qui permettent de mettre en œuvre l’interopérabilité, par exemple le système du Forum mondial sur les règles relatives aux transferts transfrontaliers de données.

Ce système international de certification en matière de protection de la vie privée, qui repose sur un ensemble de règles en la matière communément acceptées par les juridictions participantes, permet de surmonter les différences nationales qui peuvent exister quant à leur approche dans ce domaine.

Il peut également garantir aux consommateurs que leurs renseignements bénéficieront d’un niveau de protection uniforme lorsqu’ils franchiront les frontières internationales.

Avec le dépôt du projet de loi C-27, le rapport arrive à point nommé pour ce qui est du Canada.

Cette discussion sur les certifications m’a interpellé, étant donné que le projet de loi C-27 prévoit un nouveau système de certification des pratiques des organisations en matière de protection de la vie privée par rapport aux exigences de la loi.

S’il est adopté, le nouveau programme de certification proposé pourrait constituer un moyen efficace pour les organisations de mieux comprendre leurs propres pratiques en matière de protection de la vie privée, et pourrait offrir des garanties utiles aux consommateurs, ce qui, en retour, susciterait la confiance.

Dans le cadre du système proposé, je serais responsable d’examiner et d’approuver ces programmes de certification. Étant donné que les organisations certifiées resteraient assujetties à la loi, je conserverais également la possibilité d’exercer l’ensemble de mes pouvoirs d’application de la loi en cas d’infraction.

Une caractéristique intéressante de ce programme de certification et d’autres du même genre est qu’ils permettent à d’autres acteurs – les responsables du programme de certification dans notre cas – de jouer un rôle à cet égard en assumant des responsabilités pour surveiller et vérifier les pratiques de protection de la vie privée et pour encourager la conformité à la loi.

À cet égard, le fait de pouvoir tirer parti des mesures prises par ces acteurs peut s’avérer très avantageux pour un organisme de réglementation et pour les parties en cause.

S’il est adopté, le projet de loi C-27 exigera explicitement des organisations qu’elles rendent accessibles l’information portant sur le fait qu’elles effectuent certains transferts ou certaines communications de renseignements personnels internationaux.

Je pense que cette information aidera les gens à évaluer les risques associés à ces pratiques et à faire des choix plus éclairés concernant leurs renseignements personnels et les entreprises avec lesquelles ils font affaire.

Conclusion

La circulation transfrontalière des données et les conséquences des nouvelles technologies comme l’IA générative sur la vie privée font l’objet de discussions entre diverses juridictions, tant au niveau national qu’au niveau international.

Je me réjouis à l’idée de continuer à trouver des moyens de travailler ensemble – dirigeants de l’industrie, gouvernements, organismes de réglementation, consommateurs et citoyens – afin que les Canadiennes et les Canadiens puissent profiter des nombreux avantages qu’offre la technologie sans avoir à sacrifier la sécurité de leurs renseignements personnels.

Je crois que le Canada peut être un centre de l’innovation et un modèle de bon gouvernement tout en protégeant les renseignements personnels de la population canadienne. Il ne s’agit pas d’un jeu à somme nulle.

La vie privée n’est pas incompatible avec l’intérêt public. La vie privée et l’innovation peuvent coexister. C’est dans ce contexte que nous pouvons accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et dans les possibilités que recèle l’économie numérique.

Je vous souhaite à tous une excellente conférence.

Merci.