Fiches des enjeux sur l’étude des défis que posent l’intelligence artificielle et son encadrement

Formes d’intelligence artificielle (IA)

Notes d’allocution

• Il existe de nombreuses formes d’IA, que ce soit l’apprentissage automatique, les grands modèles de langage (GML), l’IA générative ou l’IA agentive, celle-ci étant plus récente.
• En général, chaque nouvelle forme d’IA a une portée et une capacité plus grandes que les technologies d’IA précédentes.
• De même, chaque nouvelle forme d’IA pose plus de risques pour la vie privée.
• Puisque les nouvelles formes d’IA traitent davantage de renseignements personnels, tant au moment de leur entraînement que lorsqu’elles sont déployées, et qu’elles sont utilisées pour faire des prédictions sur les individus dans des situations de plus en plus sensibles, le nombre et l’ampleur des risques d’atteinte à la vie privée augmentent.

Contexte

• L’expression « IA » est un terme générique qui désigne une gamme de technologies et de méthodes permettant de développer des applications capables d’effectuer des tâches qui nécessitent normalement une intelligence humaine.
• L’apprentissage automatique est un sous-domaine de l’IA qui développe des modèles prédictifs en utilisant des méthodes qui « apprennent à partir de données ».
• Les GML sont des modèles d’apprentissage automatique qui sont entraînés au moyen d’immenses corpus – principalement des textes tirés du Web – ainsi que d’exemples sélectionnés par des humains afin d’agir comme assistants ou robots conversationnels.
• L’IA générative est un sous-domaine de l’apprentissage automatique dont les modèles sont généralement classés en deux catégories : d’une part, les assistants et robots conversationnels basés sur des GML et, d’autre part, les systèmes artistiques qui génèrent des images à partir de texte.
  • ChatGPT (OpenAI), Gemini (Google), Copilot (Microsoft) et LLaMA (Meta) sont des exemples d’assistants et de robots conversationnels basés sur des GML; Stable Diffusion (Midjourney) et DALL-E (OpenAI) sont des exemples de systèmes de génération d’images.
• Les outils d’IA agentive sont des GML de nouvelle génération qui sont entraînés pour agir de manière autonome et effectuer des tâches plus abstraites orientées vers un objectif sans devoir être constamment surveillés par un humain.
• Parmi les risques pour la vie privée qui sont apparus en raison des progrès de l’IA, par exemple les GML et l’IA générative, mentionnons le moissonnage du Web afin d’obtenir des données d’entraînement et les hallucinations dans les résultats de l’IA.

Responsable : PRAP

---

Répercussions de l’IA sur la protection de la vie privée

Notes d’allocution

• Tant le développement que l’utilisation de l’IA ont des répercussions sur la protection de la vie privée.
• Le développement des systèmes d’IA nécessite d’immenses quantités de données, y compris des renseignements personnels. Même quand les individus sont au courant de la collecte, il est difficile de dire s’ils y ont consenti ou s’ils sont en mesure d’exercer leur droit à la vie privée, par exemple ceux qui concernent l’accès et la correction.
• L’utilisation de systèmes d’IA peut être associée à des préjugés ou à de la discrimination, à des décisions qui manquent de transparence ou à un manque de responsabilisation. Les systèmes d’IA peuvent également traiter de grandes quantités de données, ce qui mène à un suivi ou à une surveillance plus sophistiqués des individus.
• Cependant, aucun de ces problèmes n’est inhérent à l’IA : en prenant en compte la protection de la vie privée dans le développement et l’utilisation des systèmes d’IA, on peut innover de façon responsable.

Contexte

• Sondage 2024-2025 du Commissariat à la protection de la vie privée auprès de la population canadienne : Lorsqu’on a demandé aux Canadiennes et aux Canadiens quel était leur niveau d’inquiétude en matière de protection de la vie privée relativement à certaines situations, 34 % d’entre eux ont répondu être extrêmement préoccupés à l’égard des outils d’IA. C’est l’élément qui a suscité le plus haut taux de préoccupation.
• Recommandation 6, Recommandations prioritaires pour la LPRPDE en 2025 : Améliorer la responsabilisation en obligeant les organisations à prévoir des mesures de protection de la vie privée dès la conception et à mener des évaluations des facteurs relatifs à la vie privée (EFVP) pour les activités à risque élevé.
• Déclaration de la Table ronde des autorités de protection des données et de la vie privée du G7 sur l’innovation responsable : Voici quelques-unes des considérations communes qui appuient la priorisation de la protection de la vie privée dans la pratique :
  • déterminer si le traitement des données personnelles est nécessaire;
  • effectuer une évaluation des risques pour la vie privée qui peuvent être créés ou exacerbés par la technologie en question et prendre des décisions appropriées en matière de conception, de développement et de déploiement afin d’atténuer les risques cernés;
  • concevoir des technologies qui favorisent l’exercice du droit à la vie privée; surveiller et réévaluer régulièrement l’efficacité des mesures d’atténuation des risques.

Responsable : PRAP

---

Données d’entraînement de l’IA et protection de la vie privée

Notes d’allocution

• Le fait que l’entraînement de l’IA nécessite d’énormes quantités de données – qui incluent souvent des renseignements personnels – peut poser d’importants problèmes en matière de protection de la vie privée.
• Lorsque les données d’entraînement sont extraites de sources en ligne, il y a un risque qu’elles soient « mémorisées » par un système d’IA et communiquées dans des réponses futures. Cette situation s’avère particulièrement problématique si les données ont été publiées par une personne qui croyait qu’elles ne seraient vues que par un public restreint ou si elles n’ont pas été publiées directement par la personne concernée.
• De même, on peut supposer que les individus ne s’attendent pas à ce que les renseignements sensibles qu’ils fournissent à une organisation – ou directement à un GML – soient ensuite utilisés pour peaufiner un système d’IA et risquent alors d’être communiqués ultérieurement.
• La collecte et l’utilisation de données aux fins d’entraînement des systèmes d’IA doivent respecter les attentes des individus (qui peuvent changer avec le temps), être transparentes et permettre l’exercice du droit à la vie privée des individus. Les approches de minimisation des données (comme le filtrage des renseignements personnels contenus dans les ensembles de données) devraient également être explorées.
• Cet enjeu revêt une grande importance pour les Canadiennes et les Canadiens : 42 % d’entre eux se sont dits « extrêmement préoccupés » par l’utilisation de leurs renseignements personnels pour entraîner des systèmes d’IA.

Contexte

• Les enquêtes que mène actuellement le Commissariat sur OpenAI et X examinent toutes deux l’utilisation de renseignements personnels aux fins d’entraînement des systèmes d’IA, tout comme c’était le sujet de notre consultation auprès de LinkedIn.
• Dans le cadre du sondage 2024-2025 du Commissariat mené auprès des Canadiennes et des Canadiens, lorsqu’on leur a demandé s’ils étaient préoccupés par l’utilisation de renseignements personnels aux fins d’entraînement de l’IA, 42 % des répondants se sont dits « extrêmement préoccupés », 46 % ont indiqué être « préoccupés » ou « quelque peu préoccupés » et seulement 11 % ont déclaré qu’ils n’étaient « pas préoccupés ».
• La loi sur l’IA de l’Union européenne exige des « fournisseurs de modèles d’IA à usage général » (comme la plupart des GML) qu’ils « élaborent et mettent à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA à usage général » (article 53.1.d).

Responsable : PRAP

---

IA et souveraineté numérique

Notes d’allocution

• Je comprends que la dépendance à l’égard des entreprises étrangères d’IA soulève des inquiétudes quant à la souveraineté numérique du Canada. Les renseignements personnels traités dans un pays étranger ou par des sociétés étrangères peuvent être accessibles par les organismes d’application de la loi et de sécurité nationale du pays en question.
• L’accord commercial entre le Canada, les États-Unis et le Mexique permet aux pays membres de mettre en œuvre certaines mesures qui peuvent restreindre la circulation transfrontalière de données en vue de réaliser un « objectif légitime de politique publique ».
• La modernisation des lois canadiennes sur la protection des renseignements personnels pourrait contribuer à réglementer efficacement les risques associés à la circulation transfrontalière de données. Par exemple, j’ai recommandé que la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, soit modifiée pour inclure des mesures de protection telles que l’obligation d’effectuer une évaluation des facteurs relatifs à la vie privée pour les activités à haut risque et l’imposition de règles précises pour protéger les données à caractère personnel qui sont transférées hors du pays.

Contexte

• La LPRPDE n’interdit pas actuellement aux organisations situées au Canada de transmettre des renseignements personnels à des organisations d’une autre juridiction et ne fait pas non plus de distinction entre les transferts nationaux et internationaux. La LPRPDE exige que les organisations soient transparentes quant à leurs pratiques en matière de données. Elle précise aussi que les organisations demeurent responsables des renseignements personnels confiés à une tierce partie aux fins de traitement et qu’elles doivent s’assurer de fournir un « degré comparable de protection ».
• De façon générale, l’article 19.11 de l’Accord Canada–États-Unis–Mexique (ACEUM) interdit de limiter la circulation transfrontalière de données. Toutefois, les pays membres peuvent restreindre la circulation transfrontalière de données lorsque c’est nécessaire pour réaliser un « objectif légitime de politique publique », par exemple pour protéger la sécurité publique, à condition que les mesures prises ne constituent pas un moyen de discrimination arbitraire ou un obstacle déguisé au commerce ou qu’elles n’imposent pas de restrictions plus importantes que celles qui sont nécessaires pour atteindre l’objectif.
• Un examen conjoint de l’ACEUM est prévu en juillet 2026, à la suite duquel les parties pourront le reconduire pour une autre période de 16 ans. Si l’une des parties n’appuie pas la prolongation, les examens annuels se poursuivront jusqu’à l’expiration de l’accord en 2036.
• Dans le cadre de sa stratégie pour une union des données, l’Union européenne établit son propre cadre en matière d’IA et met l’accent sur le renforcement de la souveraineté numérique de l’UE. Ses objectifs sont notamment de soutenir des services souverains d’informatique en nuage et d’IA pour les entreprises et les administrations publiques de l’UE et de veiller à ce que la circulation transfrontalière de données se fasse entre partenaires de confiance, à des conditions équitables, sûres et compatibles avec les valeurs et les intérêts de l’UE.

Responsable : PRAP

---

Tarification algorithmique

Notes d’allocution

• La tarification algorithmique fait référence à l’utilisation d’outils automatisés pour établir le prix de produits ou de services, souvent en temps réel, en fonction d’un ensemble de données.
• Bien que cette méthode puisse améliorer l’efficience du marché, elle peut également entraîner de la discrimination, des pratiques anticoncurrentielles et un manque de transparence des algorithmes et poser des problèmes en matière de protection de la vie privée.
• On sait que la tarification algorithmique selon le contexte est courante dans certains secteurs, mais il est difficile de déterminer dans quelle mesure la tarification algorithmique basée sur les renseignements personnels des individus est appliquée au Canada.
• La tarification algorithmique est un enjeu transréglementaire; d’ailleurs, le Bureau de la concurrence a récemment organisé une consultation publique sur la tarification algorithmique et la concurrence afin de mieux comprendre le sujet et ses incidences potentielles sur la concurrence et les consommateurs.

Contexte

• Les majorations tarifaires d’Uber en fonction de la disponibilité des chauffeurs et les variations du prix des billets d’avion basées sur le nombre de places restantes ou la proximité de la date du vol sont des exemples de tarification algorithmique selon le contexte.
• En ce qui concerne la tarification algorithmique basée sur les renseignements personnels, on peut penser à la modification des prix en fonction des données démographiques individuelles, du statut socio-économique et des habitudes d’achat.
• Le Bureau de la concurrence a lancé une consultation publique sur la tarification algorithmique et la concurrence à l’été 2025.
• Le 22 janvier 2026, le Bureau a publié un rapport « Ce que nous avons entendu » présentant les commentaires reçus des particuliers et des autres intervenants.
• Le rapport indique que des préoccupations importantes ont été soulevées concernant la manière dont les algorithmes pourraient recueillir et utiliser les données des consommateurs. Les répondants ont mentionné le risque que les renseignements des consommateurs soient communiqués à des courtiers en données et ont remis en question la manière dont le consentement est obtenu en ligne.

Responsable : PRAP

---

Hypertrucages

Notes d’allocution

• En décembre 2023, les commissaires à l’information et à la protection de la vie privée des provinces et des territoires du Canada et moi-même avons publié des principes communs pour des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée.
• Dans ce document, nous avons laissé entendre qu’il est probable que la création de contenu d’IA à des fins malveillantes, notamment d’hypertrucages et d’images intimes d’une personne identifiable générées sans son consentement, constitue une « zone interdite ».
• Dans un document publié en septembre dernier, mes collègues du Forum canadien des organismes de réglementation numérique et moi-même avons étudié le sujet des médias synthétiques, y compris l’hypertrucage. Dans ce document, le Commissariat a souligné les domaines où il faut concilier la protection de la vie privée et l’utilisation des médias synthétiques, ainsi que la façon dont la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada peut s’appliquer.
• Lorsqu’un système d’IA est entraîné ou utilise des renseignements personnels, les lois sur la protection des renseignements personnels s’appliquent. Toutefois, préciser clairement le fait que les lois s’appliquent à la création ou à la diffusion de contenu modifié pourrait fournir une certitude réglementaire.

Contexte

• Dans le rapport sur les médias synthétiques du Forum canadien des organismes de réglementation numérique, le Commissariat a souligné l’importance de la protection de la vie privée compte tenu de la grande quantité de renseignements qui sont nécessaires pour entraîner les algorithmes de médias synthétiques à générer des images fidèles ou convaincantes, à imiter le timbre de voix et les inflexions d’une personne ou à rédiger du texte dans le style d’un auteur ou d’un penseur.
• Nous avons indiqué que les systèmes de médias synthétiques utilisent les renseignements qui y sont saisis et produisent des résultats qui peuvent constituer des renseignements personnels. Dans ces cas, il est probable que les lois sur la protection des renseignements personnels s’appliquent.
• Nous avons aussi constaté que toute collecte, utilisation ou communication de renseignements personnels liée à un système de médias synthétiques ne devrait se faire qu’à des fins qu’une personne raisonnable considérerait comme acceptables dans les circonstances. Nous avons également constaté que le fait de recueillir ou d’utiliser des renseignements personnels d’un individu sans son consentement pour produire des images où il figure nu ou se livre à une activité sexuelle explicite est considéré comme une « zone interdite ».

Responsable : PRAP

---

Projet de loi C-16 sur la Loi visant à protéger les victimes et hypertrucages

Notes d’allocution

• Le projet de loi C-16 criminaliserait la distribution non consensuelle de certains hypertrucages. Il contient aussi d’autres modifications au Code criminel qui auraient une incidence sur la protection de la vie privée, et que le Commissariat est en train d’examiner. J’appuie bon nombre des éléments de ce projet de loi.
• Toutefois, je crois que, pour régler efficacement la question des hypertrucages, il faut aller au-delà du Code criminel. Le Commissariat a besoin d’outils d’application de la loi plus rigoureux, en particulier de pouvoirs de prendre des ordonnances pour obliger plus efficacement les organisations à rendre des comptes. Je crois également que les préjudices en ligne doivent faire l’objet d’une législation plus complète.

Contexte

• Portée du paragraphe 162.1 : Cette infraction s’applique aux « images intimes », ce qui comprend les hypertrucages où une personne est présentée comme « nue », « exposant ses organes sexuels » ou « se livrant à une activité sexuelle explicite » (art. 164.1(2) du Code criminel). D’autres catégories d’hypertrucages ne seraient pas couvertes, notamment les hypertrucages d’enfants qui ne répondent pas aux critères susmentionnés.
• Autres caractéristiques de protection de la vie privée : Le projet de loi C-16 imposerait de nouvelles limites à la preuve relative au comportement sexuel antérieur d’un plaignant ainsi qu’à la production de dossiers privés, y compris les dossiers thérapeutiques, dans le cadre de procès pour infractions sexuelles en vertu du Code criminel (articles 276-276.13 et 278.1-278.38 du Code criminel). Ces modifications pourraient limiter la communication de renseignements hautement sensibles dans le cadre de procès pour infractions sexuelles.
• Éléments potentiellement préoccupants du projet de loi C-16 : Le projet de loi C-16 prévoit des pouvoirs étendus en matière de communication de renseignements pour le Service correctionnel du Canada (voir les articles 25.1-25.4 proposés de la Loi sur le système correctionnel et la mise en liberté sous condition).
• Projets de loi sur les préjudices en ligne :
  • L’ancien projet de loi C-63 proposait l’adoption de la Loi sur les préjudices en ligne, qui aurait réglementé les « services de médias sociaux » et établi une structure réglementaire indépendante. Un nouveau projet de loi sur les préjudices en ligne est prévu bientôt.
  • Le projet de loi émanant d’un député C-216 (actuellement en première lecture à la Chambre des communes) s’appliquerait exclusivement aux mineurs et réglementerait les exploitants de plateformes reliées à Internet. Plutôt que de créer une nouvelle structure réglementaire, il étendrait le rôle du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC).

Responsable : PRAP/Services juridiques

---

Prise de décisions automatisée

Notes d’allocution

• La prise de décisions automatisée montre bien que l’IA n’est pas qu’une préoccupation future et qu’elle a dès maintenant des répercussions sur les Canadiennes et les Canadiens.
• Le projet de loi C-27 comprenait une clause qui aurait obligé les organisations à fournir une explication générale sur l’usage de tout système automatisé pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés. Il aurait aussi permis aux personnes de demander des explications sur ces décisions.
• Ces changements positifs auraient été les bienvenus et ils auraient permis d’harmoniser davantage les lois fédérales sur la protection des renseignements personnels avec des lois modernes comme le Règlement général sur la protection des données (RGPD) de l’Union européenne et la loi 25 du Québec.
• Cet enjeu rappelle que, indépendamment de la mise en œuvre d’une loi distincte sur l’IA, les lois complémentaires (telles que les lois sur la protection des renseignements personnels) doivent également être mises à jour ou modifiées afin que la réglementation de l’IA soit complète et efficace.

Contexte

• Le RGPD de l’UE crée le droit pour une personne « de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (…) produisant des effets juridiques la concernant ». Lorsqu’une personne fait l’objet d’une telle décision (p. ex. si elle a donné son consentement), elle doit avoir le droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision (paragraphes 22.1 et 22.3).
• La loi 25 du Québec exige que, si des renseignements personnels sont utilisés pour prendre une décision fondée exclusivement sur un traitement automatisé de ceux-ci, la personne concernée doit en être informée et doit, sur demande, être informée : i) des renseignements personnels utilisés pour rendre la décision, ii) des raisons ainsi que des principaux facteurs et paramètres ayant mené à la décision et iii) de son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision. Il doit aussi être donné à la personne concernée l’occasion de demander à une personne la révision de la décision.
• Dans notre mémoire sur le projet de loi C-27, nous avons recommandé que l’obligation de fournir une explication soit étendue à toutes les prises de décisions automatisées (et pas seulement à celles qui ont une « incidence importante ») et que le profilage soit explicitement mentionné dans les dispositions relatives aux systèmes décisionnels automatisés.

Responsable : PRAP

---

Réglementation de l’IA au Canada

Notes d’allocution

• Comme nous l’avons vu avec des problèmes comme les hypertrucages sexualisés, certaines mesures de protection doivent être intégrées dans le système d’IA lui-même pour en empêcher l’utilisation à des fins nuisibles. Dans d’autres cas, un système peut causer des dommages qui n’étaient pas prévisibles pour le développeur, ce qui suggère que l’utilisation des systèmes d’IA doit aussi être réglementée.
• Cette stratégie consistant à limiter les préjudices possibles et les utilisations autorisées est similaire à ce qu’on trouve dans les lois sur la protection des renseignements personnels, soit réduire la probabilité d’un préjudice (par exemple au moyen de la minimisation des données) tout en établissant des règles quant à l’utilisation qui peut être faite des renseignements personnels.
• Qu’on opte pour une loi distincte sur l’IA ou pour une approche plus sectorielle, compte tenu de l’importance des renseignements personnels dans les systèmes d’IA, la loi sur la protection des renseignements personnels doit rester au cœur de leur gouvernance. Cela contribuera à bâtir la confiance dans ces systèmes, ce qui stimulera l’innovation et l’adoption.
• Les autorités de protection des données comme le Commissariat sont bien placées pour collaborer avec d’autres autorités afin que le Canada puisse exploiter les avantages des technologies d’IA tout en gérant les risques et en protégeant les droits fondamentaux.

Contexte

• Au cours de cette étude, plusieurs témoins ont demandé s’il était plus approprié de réglementer le développement ou l’utilisation des systèmes d’IA. Les tenants de la deuxième approche affirment souvent qu’il sera très difficile de réglementer le développement, puisque celui-ci se fait souvent à l’étranger.
• Au sujet du rôle des autorités de protection des données et de la collaboration entre les organismes de réglementation, la déclaration sur le rôle des autorités de protection des données dans la promotion d’une intelligence artificielle digne de confiance publiée dans le cadre du G7 de 2024 affirme ceci : « Nous pensons qu’une approche coopérative, où les autorités de protection des données et de la vie privée sont à l’avant-garde et travaillent en étroite collaboration avec d’autres autorités et organismes compétents, garantit un cadre de gouvernance global qui permet de gérer efficacement les risques et d’exploiter les avantages des technologies de l’IA dignes de confiance tout en protégeant les droits fondamentaux.
• Comme il est indiqué dans la Déclaration dans le cadre de la Table ronde des autorités de protection des données et de la vie privée du G7 de 2025, « Lorsque les individus ont l’assurance que leurs données sont protégées et utilisées de façon licite et responsable, ils peuvent accorder leur confiance; cette dernière est nécessaire pour que l’innovation soit adoptée. »

Responsable : PRAP

---

Éléments clés d’une loi sur l’IA

Notes d’allocution

• Comme les systèmes d’IA traitent des renseignements personnels, la réglementation de l’IA chevauchera inévitablement les lois sur la protection des renseignements personnels ou devra en faire partie.
• Par exemple, la loi sur la protection des renseignements personnels devrait s’appliquer à la collecte et à l’utilisation de renseignements personnels dans le cadre du développement et de l’utilisation de systèmes d’IA.
• La loi distincte sur l’IA doit combler les lacunes des régimes existants, et non les remplacer.
• Si le Parlement choisit de mettre en œuvre une loi distincte sur l’IA, il sera important de préciser clairement quels processus sont couverts par une loi sur l’IA et quels sont ceux qui relèvent de la loi sur la protection des renseignements personnels. De même, s’il devait y avoir un organisme de réglementation en matière d’IA, il serait impératif qu’il puisse collaborer avec le Commissariat sur les questions qui touchent à nos deux domaines de compétence.
• Idéalement, la réglementation de l’IA adopterait une approche basée sur le risque. Le Canada doit veiller à ce que les droits des individus soient protégés, tout en évitant de surréglementer les utilisations à faible risque de l’IA, ce qui pourrait freiner l’innovation.

Contexte

• Approche fondée sur le risque : Par exemple, les exigences de la loi sur l’IA de l’UE varient selon qu’un système d’IA est « interdit », « à haut risque » ou (soi-disant) « à risque limité », des obligations supplémentaires s’appliquant à « l’IA à usage général [comme les grands modèles de langage] ».
• Recommandation 2, Recommandations prioritaires pour la LPRPDE en 2025 : « Reconnaître la protection de la vie privée comme un droit fondamental dans l’énoncé d’objet de la LPRPDE ainsi que dans un préambule intégré à la LPRPDE.
• Recommandation 6, Recommandations prioritaires pour la LPRPDE en 2025 : Améliorer la responsabilisation en obligeant les organisations à prévoir des mesures de protection de la vie privée dès la conception et à mener des évaluations des facteurs relatifs à la vie privée (EFVP) pour les activités à risque élevé.

Responsable : PRAP

---

Réforme de la LPRPDE visant à réglementer l’IA

Notes d’allocution

• J’ai établi sept recommandations prioritaires pour la réforme de la LPRPDE qui seront les plus efficaces pour améliorer la protection des renseignements personnels et renforcer le droit à la vie privée au Canada.
• La mesure qui touche le plus directement à l’IA est l’obligation pour les organisations d’intégrer la protection de la vie privée dès la conception et de mener des évaluations des facteurs relatifs à la vie privée pour les activités à haut risque. Elle contribuerait à bâtir la confiance du grand public à l’égard des systèmes d’IA.
• D’autres recommandations que j’ai formulées soutiendraient également la réglementation de l’IA : la mise en place d’un cadre de dépersonnalisation protégerait les données utilisées pour entraîner les systèmes d’IA; l’établissement de règles concernant la circulation transfrontalière des données protégerait la population canadienne lorsqu’elle utilise des systèmes d’IA exploités à l’extérieur du pays; des pouvoirs d’application de la loi permettraient au Commissariat d’agir plus efficacement en cas d’infractions.
• Dans l’ensemble, la modernisation et le renforcement de la LPRPDE contribueraient à améliorer la réglementation de l’IA au pays, tant pour les Canadiennes et les Canadiens que pour les organisations.

Contexte

• Les sept recommandations prioritaires du Commissariat relativement à la réforme de la LPRPDE portent sur les aspects suivants :
  • Pouvoirs d’application de la loi
  • Droit fondamental à la vie privée
  • Vie privée des enfants
  • Dépersonnalisation
  • Droit à la suppression et au déréférencement des renseignements
  • Protection de la vie privée dès la conception et évaluations des facteurs relatifs à la vie privée
  • Circulation transfrontalière des données
• Dans le mémoire du Commissariat portant sur le projet de loi C-27, la recommandation concernant les évaluations des facteurs relatifs à la vie privée mentionnait certains systèmes d’IA comme étant des activités à risque élevé auxquelles la disposition devrait s’appliquer :

  « [Les activités à haut risque] pourraient inclure, par exemple, un système d’IA qui rend des décisions ayant des répercussions sur les individus, à savoir s’ils recevront une offre d’emploi, s’ils remplissent les conditions requises pour obtenir un prêt, s’ils doivent payer une prime d’assurance plus élevée ou s’ils sont soupçonnés de comportement suspect ou illégal. »

Responsable : PRAP

---

Stratégie canadienne en matière d’IA

Notes d’allocution

• À la suite de la consultation publique menée par Innovation, Sciences et Développement économique Canada en octobre 2025, le gouvernement est en train de mettre à jour la stratégie canadienne en matière d’IA.
• La stratégie actuelle (qui sera bientôt remplacée) repose principalement sur la Stratégie pancanadienne en matière d’IA.
• Lancée en 2017, la Stratégie pancanadienne en matière d’IA était la première stratégie nationale en matière d’IA du monde.
• Elle repose sur trois piliers :
  • La commercialisation, pour transposer les résultats de la recherche en applications commerciales et adopter des technologies canadiennes.
  • Les normes, pour faire progresser l’élaboration et l’adoption de normes liées à l’IA.
  • Les talents et la recherche, pour attirer, maintenir en poste et perfectionner les talents en recherche universitaire et leur fournir une capacité de calcul.

Contexte

• Le gouvernement s’est engagé à élaborer une stratégie nationale actualisée en matière d’IA « d’ici la fin de 2025 », mais n’a encore rien publié à ce jour.
• L’Alliance de recherche numérique du Canada et les instituts canadiens de recherche en IA, comme Amii (Alberta), Mila (Québec), l’Institut Vecteur et l’Institut canadien de recherches avancées, le CIFAR, occupent une place de choix dans la Stratégie pancanadienne en matière d’IA.
• La stratégie en matière d’IA souligne également que le gouvernement, par l’intermédiaire du Conseil canadien des normes, fait progresser l’élaboration de normes en matière d’IA.
• Parmi les autres documents qui sont parfois mentionnés en lien avec la stratégie canadienne en matière d’IA, on trouve :
  • Le Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative d’ISDE.
  • Les lignes directrices du Centre canadien pour la cybersécurité portant sur le développement de systèmes d’IA sécurisés (élaborées conjointement avec 22 organisations internationales partenaires).

Responsable : PRAP

---

Consultation sur l’IA menée par ISDE

Notes d’allocution

• En octobre 2025, ISDE a mené une consultation publique nationale de 30 jours dans le but d’élaborer une stratégie renouvelée en matière d’IA.
• Le Commissariat a présenté un mémoire, qui est publié sur notre site Web.
• Notre mémoire portait sur les principaux domaines où il est possible d’harmoniser le développement sécuritaire et responsable de l’IA et la protection de la vie privée, notamment :
  • faire en sorte que la protection de la vie privée puisse devenir un moteur de l’innovation et renforcer la confiance du public;
  • moderniser les lois canadiennes en matière de protection des renseignements personnels;
  • reconnaître la protection de la vie privée comme un droit fondamental;
  • souligner l’importance croissante du droit à la vie privée des enfants.
• Comme nous l’avons souligné dans notre mémoire, nous saluons l’examen opportun de cette question et les efforts déployés par le gouvernement du Canada en vue de faire du Canada un chef de file mondial en matière de développement responsable et sécuritaire de l’IA.

Contexte

• Plus de 11 300 personnes ont fourni des observations dans le cadre de la consultation menée par ISDE.
• La consultation visait à obtenir des avis sur un large éventail de thèmes liés à l’IA, notamment :
  • Recherche et talents
  • Accélération de l’adoption de l’IA par l’industrie et le gouvernement
  • Commercialisation de l’IA
  • Formation de champions canadiens et attraction d’investissements
  • Création de systèmes d’IA sûrs et renforcement de la confiance du public envers l’IA
  • Éducation et compétence
  • Infrastructure favorable en place
  • Sécurité de l’infrastructure et de la capacité canadiennes
• Le gouvernement a également constitué un Groupe de travail sur la stratégie en matière d’IA, composé de 28 chefs de file dans le domaine de l’IA provenant de partout au Canada, afin d’obtenir des commentaires supplémentaires sur la stratégie renouvelée en matière d’IA.
• Une nouvelle stratégie devait être présentée avant la fin de 2025, mais elle n’a pas encore été publiée.

Responsable : PRAP

---

Institut pour la sécurité de l’IA au Canada

Notes d’allocution

• L’Institut canadien de la sécurité de l’intelligence artificielle (ICSIA) est une initiative dirigée par le gouvernement qui vise à faire progresser la sécurité de l’IA, à aider les gouvernements et l’ensemble de la société à comprendre les risques posés par les systèmes d’IA avancés, et à proposer des solutions pour gérer ces risques afin de réduire au minimum les conséquences négatives.
• L’ICSIA fait partie du Réseau international des instituts de sécurité de l’IA, qui comprend d’autres instituts de sécurité de l’IA issus notamment de l’Australie, de la Commission européenne, de la France, du Japon, du Kenya, de la République de Corée, de Singapour, du Royaume-Uni et des États-Unis.
• Les travaux de l’ICSIA sont axés sur la recherche et non sur la réglementation.
• Bien que les travaux de l’ICSIA puissent aider à définir des normes techniques et des pratiques exemplaires en matière de sécurité de l’IA, le mandat du Commissariat est distinct dans la mesure où il porte sur l’application des lois fédérales sur la protection de la vie privée, y compris sur des enjeux comme le consentement.

Contexte

• L’ICSIA a été créé en novembre 2024, deux semaines avant la mise en place du Réseau international des instituts de sécurité de l’IA.
• L’ICSIA est dirigé par ISDE, mais s’appuie sur les capacités de recherche du Conseil national de recherches Canada (CNRC) ainsi que sur l’ensemble de la communauté scientifique canadienne par l’intermédiaire de l’Institut canadien de recherches avancées (CIFAR).
• Le programme de recherche actuel de l’ICSIA est axé sur les risques posés par le contenu synthétique, y compris l’usurpation d’identité, comme les hypertrucages.
• Les domaines de recherche comprennent la prolifération de contenus préjudiciables, la facilitation de la fraude, l’usurpation d’identité et la tromperie, ainsi que l’atteinte à la confiance et à l’autonomie individuelle.
• Les solutions techniques faisant l’objet de recherches comprennent l’utilisation d’empreintes digitales et de filigranes numériques pour aider à distinguer le contenu généré par l’IA de celui créé par l’humain.

Responsable : PRAP

---

Code de conduite volontaire d’ISDE

Notes d’allocution

• À la fin de 2023, ISDE a publié son Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés. Depuis, plus de 40 signataires se sont engagés à adopter les mesures qui y sont énoncées.
• Le Commissariat se réjouit de la reconnaissance dans le Code des répercussions de l’IA générative en ce qui concerne la protection de la vie privée, y compris la référence à la déclaration des autorités de protection des données et de la vie privée du G7 sur l’IA générative, ainsi qu’aux obligations légales en vertu de la LPRPDE.
• Nous soutenons le concept des codes de pratique en général et approuvons globalement les principes et les mesures énoncés dans le Code de conduite volontaire d’ISDE. Toutefois, pour que ces codes constituent un outil de gouvernance efficace, ils doivent être assortis d’une législation solide et contraignante.
• Ce Code a été conçu pour permettre aux organisations de signaler leur engagement en faveur du développement et de l’utilisation responsables des systèmes d’IA générative, en attendant l’adoption de lois propres à l’IA. Bien que cette mesure soit efficace à court terme, elle ne doit pas être utilisée comme unique outil de contrôle.

Contexte

• ISDE a organisé une série de tables rondes sur l’élaboration de ce code avec des intervenants clés du secteur de l’IA et des organisations de la société civile. Nous n’avons pas participé à ce processus de consultation, mais nous avons fourni des commentaires sur une version préliminaire du Code.
• Dans une foire aux questions sur le Code, ISDE indique : « Le Code vise à servir de pont avec les règlements au titre de la LIAD en fournissant un ensemble clair de lignes directrices que les sociétés peuvent mettre en œuvre immédiatement. »
• Les principes du Code sont les suivants : responsabilité; sécurité; justice et équité; transparence; surveillance humaine; et validité et fiabilité. De nombreuses mesures de mise en œuvre sont prévues pour chaque principe.

Responsable : PRAP

---

Utilisation de l’IA au gouvernement

Notes d’allocution

• Bien que l’IA puisse présenter des avantages, notamment une plus grande efficacité, l’aspect de la protection de la vie privée doit être intégré dès la conception lors de la mise en œuvre des outils d’IA.
• Le Commissariat a collaboré avec diverses institutions fédérales, dans le cadre de consultations et d’examens des EFVP, concernant des initiatives liées à l’IA telles que Microsoft 365. Nous constatons dans nos échanges une augmentation de l’utilisation de l’IA à des fins internes.
• Les principaux cas d’utilisation comprennent les robots conversationnels accessibles au public, la présélection des candidats, la création de fichiers internes et la synthèse de documents.
• Le Commissariat estime que les cas d’utilisation actuels présentent un risque relativement faible. Cela dit, il convient de faire preuve d’une plus grande prudence dans certains contextes (comme l’application de la loi) en raison des répercussions potentiellement plus importantes.
• Bien que le Commissariat n’ait pas formulé de préoccupations importantes au sujet des initiatives en matière d’IA présentées dans les EFVP reçues et les consultations menées, il est possible que nous n’ayons pas été informés de toutes les initiatives gouvernementales en matière d’IA.
• Je souligne que le gouvernement exerce peu de contrôle sur les systèmes d’IA fournis par des tiers qui peuvent effectuer des mises à jour et mettre en œuvre de nouvelles fonctionnalités. Les institutions devraient réévaluer continuellement les outils.

Contexte

• En novembre 2025, le Secrétariat du Conseil du Trésor (SCT) a publié un registre de l’IA contenant des renseignements de base sur les systèmes d’IA existants du gouvernement du Canada. Un examen du registre effectué en décembre 2025 semble indiquer qu’au moins 10 à 15 des 402 systèmes répertoriés comportaient probablement des renseignements personnels ou n’étaient pas connus du Commissariat. Le Commissariat communiquera avec les institutions concernées afin de déterminer les incidences sur la protection de la vie privée.
• Les conseils fournis par le Commissariat aux institutions fédérales concernant l’utilisation de l’IA ont généralement porté sur les points suivants : la conformité à la directive du SCT; la diligence raisonnable lors de la passation de marchés; la sensibilisation aux biais et à l’exactitude, ainsi que la vérification de ceux-ci; la promotion de la transparence publique concernant l’utilisation de l’IA; et l’examen de la nécessité, de l’efficacité et de la proportionnalité.

Responsable : Services de conformité

Directive sur la prise de décisions automatisée du SCT

Notes d’allocution

• Depuis 2018, le Commissariat collabore avec le SCT sur sa Directive sur la prise de décisions automatisée.
• Le SCT s’est montré généralement réceptif aux commentaires du Commissariat sur la Directive et s’est engagé à continuer de l’améliorer, tout comme l’outil d’évaluation de l’incidence algorithmique (EIA) connexe.
• La Directive est un instrument politique utile, et le Commissariat tient compte des exigences qui y sont énoncées dans ses évaluations des facteurs relatifs à la vie privée (EFVP).
• Bien que les ministères soient tenus de réaliser une EIA avant de mettre en place un système de prise de décision automatisée, le Commissariat constate que la mise en œuvre n’est pas uniforme dans toutes les institutions fédérales. Dans plusieurs cas, à la suite de l’examen des EFVP portant sur des systèmes automatisés, le Commissariat a recommandé à l’institution de procéder à une EIA.

Contexte

• La Directive a été publiée pour la première fois en 2019, et les institutions devaient s’y conformer au plus tard en avril 2020. Le SCT est tenu de réviser et de mettre à jour la Directive tous les deux ans. Le Commissariat a fait part de ses commentaires au SCT sur les deux mises à jour (2022 et 2024).
• Par le passé, les commentaires du Commissariat ont mis l’accent sur l’autorisation légale, la nécessité, la participation des responsables de la protection de la vie privée et la transparence publique concernant l’utilisation des systèmes de prise de décision automatisés.
• La Directive vise à garantir que les institutions fédérales déploient des systèmes de prise de décision automatisés de manière à réduire les risques organisationnels et sociétaux et à prendre des décisions précises et interprétables. Elle exige que les institutions fédérales réalisent et publient des EIA avant la mise en place de tout système de prise de décision automatisé.
• Il y a actuellement 31 EIA publiées sur le Portail du gouvernement ouvert du SCT, conformément à la Directive.
• Le Commissariat a formulé des recommandations aux institutions fédérales concernant des lacunes dans la conformité à la Directive (p. ex. EIA manquantes, absence de tests sur les biais et l’exactitude) dans sept cas au cours de l’exercice financier.

Responsable : Services de conformité

Les approches réglementaires internationales en matière d’IA

Notes d’allocution

• Pendant un certain temps, l’approche de l’UE consistant à adopter une loi distincte sur l’IA (la « loi sur l’IA ») a été considérée comme l’approche standard pour réglementer l’IA. Toutefois, d’autres approches ont fait leur apparition.
• Le Royaume-Uni, par exemple, a adopté une approche sectorielle et fondée sur des principes. Le gouvernement a défini cinq principes favorisant l’innovation que les organismes de réglementation doivent interpréter et appliquer dans le cadre de leurs mandats respectifs.
• De même, plutôt que de mettre l’accent sur la législation, Singapour a mis en place une série de mesures, comme le cadre d’essais pour la gouvernance « AI Verify », qui s’appuie sur les normes reconnues de l’Organisation internationale de normalisation (ISO) et du National Institute of Standards and Technology (NIST) des États-Unis. Singapour a aussi publié des cadres ciblés, comme le cadre modèle de gouvernance de l’IA pour l’IA agentique, en janvier.
• Il convient de noter que, dans toutes les juridictions, le traitement des renseignements personnels dans le contexte des systèmes d’IA demeure assujetti à la législation sur la protection de la vie privée.
• Bien que je sois en faveur de la création de cadres pratiques qui peuvent soutenir l’innovation tout en protégeant les droits fondamentaux, la plupart des cadres d’IA sont des outils volontaires plutôt que des exigences légales contraignantes. Idéalement, ces cadres devraient donc être complémentaires à la législation et non la remplacer.

Contexte

• Lors de précédentes consultations, il a été souligné que les approches du Royaume-Uni et de Singapour concernant la réglementation de l’IA pourraient constituer des modèles potentiels pour remplacer la loi sur l’IA de l’UE.
• Les principes de réglementation de l’IA du gouvernement britannique (énoncés dans un livre blanc sur la réglementation de l’IA publié en mars 2023) sont les suivants : sécurité, sûreté et robustesse; transparence et explicabilité appropriées; équité; responsabilité et gouvernance; contestabilité et recours.

Responsable : PRAP

---

Loi sur l’IA de l’Union européenne

Notes d’allocution

• La Législation sur l’intelligence artificielle de l’UE (Loi sur l’IA de l’UE) adopte une approche fondée sur le risque, qui interdit certaines pratiques d’IA (comme la notation sociale) et en qualifie d’autres de systèmes à haut risque (comme les systèmes d’IA qui sont utilisés pour évaluer l’admissibilité aux prestations ou aux services publics).
• Les principales exigences de la loi sur l’IA s’appliquent à ces systèmes à haut risque et aux modèles d’IA à usage général (comme ceux sur lesquels repose l’IA générative). Certaines exigences en matière de transparence s’appliqueront également aux systèmes à faible risque.
• En novembre 2025, l’UE a présenté l’omnibus numérique qui, entre autres, retarderait l’entrée en vigueur des exigences relatives aux systèmes à haut risque. Cette mesure vise principalement à permettre l’élaboration de normes et de lignes directrices connexes; elle ne signifie pas que les exigences principales seront ultimement modifiées.
• Ainsi, le Canada pourrait encore raisonnablement considérer la loi sur l’IA comme un modèle pour les mesures de gouvernance de l’IA.

Contexte

• La loi sur l’IA de l’UE est entrée en vigueur le 1er août 2024, et ses exigences de fond seront mises en œuvre progressivement au fil du temps. La plupart des exigences relatives aux systèmes d’IA à haut risque auraient dû entrer en vigueur le 1er août 2026. L’omnibus numérique retarde leur entrée en vigueur jusqu’à ce que les normes pertinentes soient disponibles, mais dans tous les cas, cette date ne peut être repoussée au-delà du 2 août 2028.
• L’omnibus numérique introduit également des changements visant à réduire la charge administrative, comme certaines exigences d’enregistrement pour les systèmes à faible risque.
• Dans la loi sur l’IA de l’UE, les systèmes d’IA « à haut risque » sont soumis à certaines exigences :
  • évaluation des risques et de la qualité;
  • enregistrement pour la traçabilité;
  • contrôles humains généraux;
  • données exactes et représentatives pour la formation de l’IA;
  • évaluations ex ante de la conformité;
  • responsabilité démontrable.

Responsable : PRAP

---

Groupe de travail sur ChatGPT du Comité européen de la protection des données (CEPD)

Notes d’allocution

• En avril 2023, plusieurs autorités de protection des données (APD) européennes ont formé un groupe de travail afin de coordonner leurs enquêtes en cours sur ChatGPT sous l’égide du CEPD.
• En mai 2024, le groupe de travail a publié un rapport qui définit un cadre commun selon lequel les APD conviennent d’interpréter les dispositions applicables du RGPD dans leurs enquêtes respectives.
• Les questions analysées dans le rapport comprennent : le caractère licite du moissonnage du Web, l’exactitude des résultats probabilistes et le soutien aux droits des personnes concernées par les données.
• Le rapport ne vise pas à juger à l’avance les conclusions des enquêtes menées par les APD; il reflète plutôt le « dénominateur commun » des points de vue communs concernant l’interprétation du RGPD.

Contexte

• La raison pour laquelle le groupe de travail a été créé est qu’à l’époque, OpenAI n’avait pas encore établi une présence légale au sein de l’Union européenne; par conséquent, aucune procédure de coordination dans le cadre du mécanisme de « guichet unique » du RGPD ne pouvait s’appliquer.
• OpenAI est devenue une entité légalement établie au sein de l’UE (en Irlande) en février 2024, soit 10 mois après la création du groupe de travail.
• En décembre 2024, l’ADP italienne (la Garante) a imposé une amende de 15 millions d’euros à OpenAI après avoir mené à bien son enquête. Les membres du groupe de travail qui ont ouvert des enquêtes sur ChatGPT sont notamment la France, l’Espagne, l’Allemagne et la Pologne.
• Le CEPD est l’équivalent, dans le cadre du RGPD, de l’Article 29 Data Protection Working Party (groupe de travail « Article 29 » sur la protection des données) établi par l’ancienne directive européenne sur la protection des données. Il veille à la cohérence dans l’application du RGPD et à la coopération entre les APD, notamment en matière d’application. Il est composé de représentants des APD nationales ainsi que du Contrôleur européen de la protection des données.

Responsable : PRAP

---

Travaux du Commissariat sur l’IA

Notes d’allocution

• L’une de mes priorités stratégiques consiste à renforcer la capacité du Commissariat à tenir compte des répercussions sur la vie privée des progrès technologiques en constante évolution, en particulier pour ce qui est de l’IA et de l’IA générative, et à favoriser les innovations technologiques respectueuses de la vie privée.
• Nous avons pris des mesures importantes pour mieux comprendre les systèmes d’IA et définir nos attentes à leur égard, souvent en collaboration avec des partenaires clés.
• Nous avons par exemple rédigé des principes pour des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée avec nos homologues provinciaux et territoriaux; nous avons dirigé l’élaboration d’une résolution qui établit une compréhension commune de la « surveillance humaine adéquate » des décisions prises à l’aide de l’IA dans le cadre de l’Assemblée mondiale pour la protection de la vie privée; et nous avons collaboré avec nos partenaires du G7 à la rédaction de déclarations relatives aux enfants et à l’IA et au rôle des autorités de protection des données dans la promotion d’une IA responsable.
• Nous cherchons également des moyens de rester à la pointe des dernières recherches dans ce domaine, notamment en finançant divers projets liés à l’IA dans le cadre de notre programme de contributions pendant le cycle de financement 2024-2025.
• Enfin, nous cherchons à mieux comprendre l’IA en explorant comment elle peut être intégrée à notre propre travail, notamment avec notre propre GML interne.

Contexte

• Les projets financés dans le cadre du programme de contributions comprennent :
  • IA générative, politique en matière de protection de la vie privée et jeunes Canadiens (Université métropolitaine de Toronto)
  • Analyse comparative des grands modèles de langage et de protection de la vie privée (Université d’Ottawa)
  • L’enfant lisible par machine : Gouvernance de l’IA émotionnelle utilisée chez les enfants canadiens (Internet of Things Privacy Forum)
• Déclarations pertinentes du G7 : 2024 – Déclaration sur le rôle des autorités de protection des données dans la promotion d’une intelligence artificielle digne de confiance; Déclaration sur l’intelligence artificielle et les enfants. 2023 – Déclaration sur l’IA générative.

Responsable : PRAP

---

Expertise du Commissariat en matière d’intelligence artificielle

Notes d’allocution

• Au cours des dernières années, l’IA a joué un rôle central dans l’évolution constante de l’environnement numérique. C’est pourquoi il est nécessaire de disposer d’une expertise dans les domaines de la protection de la vie privée, de la technologie, des finances, de la sécurité nationale et du droit afin de garantir la mise en place et le suivi adéquat de mesures de protection.
• Le Commissariat recrute du personnel aux profils variés et accorde la priorité à la formation continue afin de suivre le rythme rapide des changements technologiques et réglementaires.
• Nous avons acquis une expertise en matière d’IA, notamment dans le déploiement et l’utilisation responsable de solutions axées sur l’IA, ainsi que dans l’évaluation des mesures de protection de la vie privée dans les systèmes et services tiers axés sur l’IA.
• L’acquisition d’une expertise spécialisée et le recrutement de personnel qualifié renforcent la capacité du Commissariat à soutenir les réformes législatives à venir dans le domaine de l’IA et à se conformer aux ambitions du gouvernement du Canada, qui souhaite gagner rapidement en efficacité grâce à une adoption plus large de l’IA.

Contexte

• Il continue d’y avoir une forte demande pour l’expertise en matière de protection de la vie privée, en particulier dans les domaines de la cybersécurité, de la gouvernance des données, de l’intelligence artificielle et de la protection de la vie privée des enfants.
• Compte tenu du contexte budgétaire et du milieu de travail actuels, nous mettons l’accent sur le maintien en poste et le perfectionnement du personnel grâce à des formations pratiques afin de permettre au Commissariat de réglementer l’IA de manière à protéger la vie privée.
• Nous axons les formations liées à la technologie sur les domaines à forte incidence afin d’utiliser efficacement les ressources existantes et de maintenir notre capacité à évaluer les technologies émergentes et leurs répercussions sur la vie privée.
• Toutefois, compte tenu de la complexité et de la fréquence accrues des activités réglementaires liées à l’IA, le Commissariat cherche continuellement de nouveaux moyens et mécanismes de financement pour attirer les meilleurs talents dans un marché du travail hautement concurrentiel.

Préparé par : Secteur de la gestion intégrée

---

Adoption de l’IA au Commissariat

Notes d’allocution

• En octobre 2024, le Commissariat a lancé sa stratégie interne en matière d’IA afin de donner l’exemple d’une mise en œuvre de l’IA qui place la protection de la vie privée au premier plan au gouvernement du Canada, de développer une expertise pratique en matière d’IA au sein du Commissariat et d’aider le personnel à améliorer l’efficience grâce à une utilisation responsable de l’IA.
• Le Commissariat a investi dans des serveurs d’IA internes sécurisés et très performants. Nous souhaitons faire part de notre expérience à d’autres ministères afin de promouvoir les principes de protection de la vie privée dès la conception et le respect des obligations découlant des lois et des politiques.
• La première version de notre service d’IA interne, qui met l’accent sur les cas d’utilisation à faible risque, comme la synthèse de documents publics ne contenant aucun renseignement personnel, a été lancée au cours du quatrième trimestre de 2025. Nous prévoyons élargir ce service à d’autres cas d’utilisation plus tard en 2026.
• Cette initiative soutient la deuxième priorité stratégique du Commissariat, qui concerne les répercussions des progrès technologiques rapides sur la protection de la vie privée, en particulier dans le domaine de l’IA.

Contexte

• Le personnel du Commissariat a pour consigne de ne pas utiliser de services d’IA tiers pour des tâches liées au travail ou sur les appareils du Commissariat, sauf pour les évaluer dans le cadre d’une enquête ou lorsque leur utilisation est conforme aux directives de notre dirigeant principal de l’information et de notre dirigeant principal de la sécurité et qu’elle est conforme à nos politiques et lignes directrices en matière d’utilisation acceptable et de technologies assistées par l’IA.
• La première version de l’IA interne du Commissariat n’est pas entraînée au moyen de données internes, ne recueille aucun renseignement personnel, ne fournit pas de capacités de recherche et de prise de décision automatisée et n’est pas utilisée pour offrir des services externes aux Canadiennes et aux Canadiens.
• Une approche fondée sur la « protection de la vie privée dès la conception » a été utilisée pour fournir la solution, notamment dans le cadre d’une évaluation des facteurs relatifs à la vie privée (EFVP). D’autres EFVP seront réalisées afin de veiller à ce que les risques soient cernés et gérés de manière adéquate à mesure que nous ajoutons des fonctionnalités.

Préparé par : Secteur de la gestion intégrée

---

Enquête sur OpenAI

Notes d’allocution

• En mai 2023, le Commissariat a entamé une enquête sur les pratiques d’OpenAI, en ce qui concerne son service ChatGPT. Cette enquête a été menée conjointement avec mes homologues de l’Alberta, de la Colombie-Britannique et du Québec.
• Parmi les questions examinées figuraient le consentement, l’ouverture, l’accès, l’exactitude et la responsabilité. Nous avons également cherché à savoir si OpenAI recueille, utilise et communique des renseignements personnels à des fins acceptables et si cette collecte vise uniquement des renseignements nécessaires à ces fins.
• Notre objectif est de publier nos conclusions au printemps.
• Il est important que l’IA et les autres technologies émergentes dans ce domaine soient développées et déployées de façon responsable et dans le respect de la vie privée. C’est pourquoi l’une des priorités stratégiques du Commissariat est de faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et d’agir en ce sens.

Contexte

• ChatGPT est un outil de traitement du langage naturel (ou agent conversationnel) utilisant la technologie d’IA. Le modèle linguistique peut répondre à des questions et aider les utilisateurs à effectuer un éventail de tâches telles que la rédaction de courriels et d’essais.
• En avril 2023, le Commissariat a ouvert une enquête sur ChatGPT, après avoir reçu une plainte alléguant que l’entreprise avait recueilli, utilisé et communiqué les renseignements personnels du plaignant, sans son consentement, dans le cadre de son service commercial de génération de textes. En mai 2023, nous avons mis fin à cette enquête pour donner suite à une plainte commune générale déposée à l’initiative du commissaire.
• Des autorités de protection des données de partout dans le monde, dont un bon nombre en Europe, ont lancé des enquêtes sur ChatGPT. Le Comité européen de la protection des données a lancé un groupe de travail consacré à ChatGPT pour « échanger de l’information sur les mesures d’application de la loi possibles » et il a publié en mai 2024 un rapport d’évaluation préliminaire de pratiques d’OpenAI qui vont à l’encontre du RGPD.

Responsable : Services de conformité

---

Collaboration avec LinkedIn

Notes d’allocution

• À la suite de reportages dans les médias, le Commissariat a collaboré avec LinkedIn au cours de la dernière année afin de discuter d’enjeux liés à la protection de la vie privée concernant l’utilisation des renseignements personnels des membres canadiens pour entraîner ses modèles d’IA générative.
• Cette collaboration a mené LinkedIn à mettre en œuvre un certain nombre de mesures de protection de la vie privée, dont l’envoi d’un courriel ou d’un message texte à ses membres pour les informer de l’existence d’un mécanisme permettant de refuser cette utilisation.
• Mobiliser les organisations afin de promouvoir le développement et l’utilisation responsables de technologies dignes de confiance et respectueuses de la vie privée, comme l’IA, est un aspect de la priorité stratégique du Commissariat de faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques.
• Nous continuerons de suivre les développements concernant l’entraînement de l’IA de LinkedIn.

Contexte

• Selon les premiers reportages dans les médias, LinkedIn avait commencé à utiliser les renseignements personnels de ses membres canadiens sans les en aviser au préalable.
• Le 1er novembre 2024, LinkedIn a suspendu l’entraînement de ses modèles d’IA au Canada, et le 10 décembre 2024, le Commissariat a publié une déclaration saluant l’engagement pris par LinkedIn.
• Lorsque cette pratique a été rétablie en novembre 2025, LinkedIn a également commencé à communiquer les renseignements personnels de ses membres à sa société mère Microsoft et à ses filiales. LinkedIn fait preuve de transparence à ce sujet et offre à ses membres la possibilité de refuser cette utilisation de leurs renseignements personnels.
• LinkedIn a participé volontairement aux discussions avec le Commissariat. Nous n’avons pas lancé d’enquête officielle.

Responsable : Services de conformité

---

Enquête du Commissariat sur X et Grok

Notes d’allocution

• En février 2025, après avoir reçu une plainte, le Commissariat a entrepris une enquête sur X Corp., l’exploitant de la plateforme de médias sociaux X, concernant sa collecte, son utilisation et sa communication des renseignements personnels de Canadiennes et de Canadiens pour entraîner ses modèles d’intelligence artificielle, notamment celui de Grok.
• En janvier 2026, à la suite de multiples reportages dans les médias selon lesquels Grok, un robot conversationnel alimenté par l’intelligence artificielle, était utilisé pour créer et transmettre des images explicites de personnes sans leur consentement, le Commissariat a élargi son enquête actuelle sur X Corp. et lancé une enquête connexe sur xAI, l’entreprise d’intelligence artificielle responsable de Grok.
• Les enquêtes élargies permettront de déterminer si X Corp. et xAI ont recueilli, utilisé et communiqué des renseignements personnels par l’intermédiaire de Grok pour créer des hypertrucages, notamment du contenu explicite, contrevenant ainsi à la Loi sur la protection des renseignements personnels et les documents électroniques. Il s’agira notamment de déterminer si les pratiques des organisations étaient appropriées et si les organisations ont obtenu un consentement valide.
• Je ne suis pas en mesure d’en dire plus étant donné que les enquêtes sont en cours.

Contexte

• En avril 2025, l’Irlande a lancé une enquête sur l’utilisation par X des données pour entraîner Grok.
• En janvier 2026, Ofcom, l’organisme de réglementation des médias du Royaume-Uni, a lancé une enquête officielle sur X en vertu de la Online Safety Act au sujet de l’utilisation de Grok pour manipuler des images. L’Information Commissioner’s Office (ICO – commissariat à l’information) du Royaume-Uni a également demandé des précisions à X et xAI concernant la conformité.
• L’organisme de réglementation de la sécurité en ligne de l’Australie, eSafety, enquête sur cette affaire. La Malaisie et l’Indonésie ont bloqué l’accès à Grok.
• Pour s’attaquer au problème, X Corp. et xAI ont annoncé qu’elles avaient mis en œuvre des mesures visant à limiter la création de contenu explicite.

Responsable : Services de conformité

---

Codes de pratique

Notes d’allocution

• Depuis le 4 mars 2025, les entités déclarantes au titre de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes peuvent produire des codes de pratique relatifs à la communication sans consentement de renseignements personnels entre elles et me les soumettre aux fins d’examen et d’approbation. J’appuie totalement cette initiative.
• À ce jour, le Commissariat a reçu sept codes à examiner, ce qui est nettement supérieur à ce qui avait été estimé dans le Résumé de l’étude d’impact de la réglementation. Je tiens à souligner que le Commissariat n’a reçu aucun financement supplémentaire pour cette nouvelle activité. Afin de garantir le succès de cette initiative, nous avons réaffecté des ressources internes.
• Je suis heureux d’annoncer que le Commissariat a approuvé le premier code le 19 décembre 2025. Nous examinons actuellement trois autres mémoires.
• Je tiens à souligner l’étroite collaboration du CANAFE dans le cadre de ce dossier important, en particulier lors des échanges sur le code modèle du CANAFE, qui sert de ressource aux entités.

Contexte

• L’article 11,01 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes autorise la communication, la collecte et l’utilisation de renseignements personnels sans le consentement de l’intéressé, à condition que la communication soit faite conformément aux règlements. Selon les règlements, une entité déclarante peut élaborer et mettre en œuvre un code de pratique dans ce but et le soumettre au Commissaire aux fins d’approbation.
• Le code de pratique doit, entre autres, offrir une protection substantiellement semblable à celle offerte par la LPRPDE ou plus grande que celle-ci. Le délai prévu par la loi est de 120 jours.
• Le Résumé de l’étude d’impact de la réglementation indiquait que seuls trois secteurs d’entités déclarantes participeraient au cadre d’échange de renseignements au cours de la période d’évaluation de 10 ans.