L’intelligence artificielle (IA) est aujourd’hui omniprésente. On la trouve dans les moteurs de recherche, les voitures connectées, les téléphones intelligents et les robots conversationnels comme ChatGPT. Bien qu’elle offre de nombreux avantages, elle pose aussi plusieurs risques, particulièrement pour la vie privée.
Risques à la vie privée
Les risques à la vie privée se manifestent tout au long du cycle de vie d’un système d’IA. Ces risques apparaissent dès la collecte de données initiale qui permet d’entraîner le modèle d’IA qui sera utilisé dans ce système. Cette collecte peut se faire de différentes façons, certaines plus légitimes que d’autres.
Par exemple, dans son enquête conjointe sur ClearviewAI, menée en 2021 avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta, le commissaire à la protection de la vie privée du Canada (le commissaire) a critiqué l’extraction de données massive en ligne et l’utilisation de celles-ci dans un système d’IA. Il a déterminé que l’extraction massive de données biométriques en ligne par Clearview pour développer son logiciel de reconnaissance faciale, à l’insu et sans le consentement des personnes concernées, n’avait pas respecté la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Une fois sur le marché, certains systèmes d’IA puissants peuvent engendrer des risques additionnels à la vie privée. Ils peuvent permettre d’agréger des renseignements personnels disparates afin de révéler quelque chose au sujet d’une personne sans qu’elle le révèle elle-même, par exemple. Ils peuvent aussi permettre la distorsion de renseignements biométriques sensibles, comme la voix ou le visage d’une personne, afin de réaliser des hypertrucages, qui peuvent nourrir l’essor de la mésinformation et de la désinformation en ligne.
Cadre juridique fédéral et autres mesures
Secteur public
La Loi sur la protection des renseignements personnels (LPRP) s’applique aux institutions fédérales. Adoptée en 1983, elle n’a connu aucune réforme substantielle depuis. Sans surprise, elle ne fait aucune mention de l’IA. Elle s’applique néanmoins à toute collecte, utilisation ou communication de renseignements personnels par une institution fédérale, y compris lorsque ces activités sont liées à un système d’IA.
En 2020, le ministère de la Justice du Canada a publié un document d’orientation et mené des consultations sur la modernisation de la LPRP. Le document mentionne entre autres des modifications possibles à apporter à la LPRP pour l’adapter à l’ère numérique. Malgré cela, aucun projet de loi de réforme de la LPRP n’a été présenté au Parlement.
Les institutions fédérales doivent aussi se conformer aux politiques et directives du Conseil du Trésor du Canada. Parmi celles-ci, on compte la Directive sur les pratiques relatives à la protection de la vie privée, qui inclut une obligation d’effectuer des évaluations des facteurs relatifs à la vie privée pour les nouveaux programmes et activités qui comprennent l’utilisation de renseignements personnels. Cette évaluation doit être mise à jour lorsque des modifications importantes sont apportées au programme ou à l’activité. Cela inclut les cas où l’on envisage l’utilisation d’une « technologie de l’information ou d’un autre processus nouveau ou modifié » ou « d’un système décisionnel automatisé qui nécessiterait la conformité avec la Directive sur la prise de décisions automatisée ».
La Directive sur la prise de décisions automatisée vise à réduire les risques liés au déploiement, par le gouvernement fédéral, d’un système décisionnel automatisé, c’est-à-dire « [t]oute technologie qui soit informe ou remplace le jugement des décideurs humains ». Les exigences auxquelles une institution fédérale doit répondre avant de développer ou d’acquérir un tel système varient en nombre et en ampleur selon son niveau d’incidence algorithmique (voir le tableau 1). L’évaluation de ce niveau est faite par l’institution fédérale. La vie privée est un facteur à considérer.
Tableau 1 – Niveau d’incidence algorithmique d’un système décisionnel automatisé et exigences par niveau d’incidence
| Niveau d’incidence algorithmique | Exigences |
Le niveau d’incidence algorithmique est déterminé en en évaluant l’incidence de la décision (de très faible à très élevée) sur un ou plusieurs des facteurs suivants :
|
Une ou plusieurs des exigences suivantes s’appliquent selon le niveau d’incidence algorithmique (à divers degrés de détail) :
|
Source : Tableau créé par la Bibliothèque du Parlement à partir d’informations tirées de Gouvernement du Canada, Directive sur la prise de décisions automatisée.
Les directives du Conseil du Trésor ne constituent pas des obligations juridiques en vertu de la LPRP. Le commissaire ne peut donc pas faire enquête sur la non‑conformité d’une institution fédérale à une directive.
Secteur privé
La LPRPDE a été adoptée en 2000. Elle s’applique à la collecte, l’utilisation et la communication de renseignements personnels par les organisations du secteur privé, dans le cadre de leurs activités commerciales, y compris les entreprises œuvrant dans le domaine de l’IA. Elle s’applique partout au Canada, sauf dans les provinces qui ont adopté une loi « essentiellement similaire » (l’Alberta, la Colombie-Britannique et le Québec). La LPRPDE ne fait aucune mention de l’IA.
Projets de loi récents
Des projets de loi ayant pour objectif de moderniser la LPRPDE ont été présentés au Parlement. En novembre 2020, le gouvernement a présenté au Parlement le projet de loi C-11, Loi de 2020 sur la mise en œuvre de la Charte du numérique, mais il est mort au Feuilleton en 2021. Ce projet de loi visait à remplacer la partie 1 de la LPRPDE par la Loi sur la protection de la vie privée des consommateurs (LPVPC), et à créer le Tribunal de la protection des renseignements personnels et des données. En juin 2022, le projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique, a été présenté au Parlement. Il proposait d’adopter une version de la LPVPC différente sur certains points de celle qui avait été proposée dans le projet de loi C-11 et de créer le tribunal susmentionné. En plus, il proposait d’adopter la Loi sur l’intelligence artificielle et les données (LIAD), qui ne se trouvait pas dans la version antérieure du projet de loi.
La LPVPC prévoyait des obligations en matière de transparence algorithmique en insérant dans la loi un « droit à l’explication ». Elle aurait obligé une organisation à rendre accessible une explication générale de l’usage qu’elle fait des systèmes de décision automatisée, si un tel système est utilisé pour faire une prédiction, formuler une recommandation ou prendre une décision qui pourrait avoir une incidence importante sur un individu. Elle aurait aussi permis à un individu de demander à l’organisation, par écrit, une explication de cette prédiction, recommandation ou décision.
La LIAD visait à réglementer les systèmes d’IA et à imposer certaines mesures pour atténuer les risques de préjudices et de résultats biaisés liés aux systèmes d’IA à incidence élevée. Les biais algorithmiques ont tendance à toucher davantage certains groupes de personnes, comme les personnes racisées. Le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes en a par exemple fait le constat dans son rapport sur la technologie de reconnaissance faciale et le pouvoir grandissant de l’intelligence artificielle, en 2022. La LIAD ne se serait appliquée qu’au secteur privé.
Le projet de loi C-27 est mort au Feuilleton en janvier 2025.
Travaux du Commissariat à la protection de la vie privée du Canada
Dans son plan stratégique 2023-2027, le Commissariat à la protection de la vie privée du Canada (le Commissariat) établit trois priorités stratégiques, dont l’importance de « faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens ». Il a publié des principes pour des technologies de l’intelligence artificielle (IA) générative responsables, dignes de confiance et respectueuses de la vie privée, avec ses homologues provinciaux et territoriaux. Il mène aussi des enquêtes conjointes liées à l’IA, comme son enquête sur ChatGPT.
Le Commissariat participe aussi aux activités de l’Assemblée mondiale de la protection de la vie privée (l’Assemblée), qui a publié une résolution sur les systèmes d’IA générative [en anglais] en 2023. Il est membre du groupe de travail sur la coopération internationale en matière d’application de la loi de l’Assemblée, qui a publié la Déclaration commune finale sur l’extraction de données et la protection des renseignements personnels en 2024. Il participe également à la table ronde des autorités de surveillance du G7, qui a récemment publié la Déclaration sur le rôle des autorités de protection des données dans la promotion d’une intelligence artificielle digne de confiance.
Lectures complémentaires
Carnegie Mellon University. CyLab Researchers Develop a Taxonomy for AI Privacy Risks, communiqué, 27 mars 2024 [en anglais].
Charland Sabrina, Alexandra Savoie et Ryan van den Berg. Résumé législatif du projet de loi C-27 : Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois, publication no 44-1-C27-F, Bibliothèque du Parlement, 12 juillet 2022.
Gouvernement du Canada. Code de conduite volontaire visant le développement et une gestion responsable des systèmes d’IA générative avancés.
Gouvernement du Canada. Écosystème de l’intelligence artificielle.
Gouvernement du Canada. Utilisation responsable de l’intelligence artificielle au gouvernement.
Par Alexandra Savoie, Bibliothèque du Parlement