Écrit par Sébastien Gittens, Stephen Burns and HC Lee

Préfigurant d’éventuels changements importants à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral, le Commissariat à la protection de la vie privée du Canada (CPVP) sollicite actuellement les commentaires de tiers intéressés au sujet des modifications qu’il recommande d’apporter à la LPRPDE dans le contexte de l’intelligence artificielle (le « Document de consultation »). 

D’après le document de consultation, le CPVP croit que la LPRPDE « n’est pas à la hauteur dans son application aux systèmes d’IA » et que l’IA « présente des défis fondamentaux à tous les principes fondamentaux de protection de la vie privée formulés dans la LPRPDE ». Compte tenu de ces lacunes perçues, le CPVP a créé une liste de 11 « propositions à examiner » pour modifier la LPRPDE , dont bon nombre ont des parallèles directs avec le Règlement général sur la protection des données (RGPD) de l’UE. 

Les principaux points à retenir de ces propositions sont les suivants : 

1. Définition de l'« intelligence artificielle » dans la LPRPDE. Le CPVP envisage de définir le terme « intelligence artificielle » dans la LPRPDE pour tenir compte de toute règle propre à l’IA qui pourrait y être introduite.    


2. Adopter une approche fondée sur les droits pour protéger le droit à la vie privée des individus. Le CPVP est d’avis qu’une approche semblable au RGPD devrait être adoptée en veillant à ce que la LPRPDE « ... se voie attribuer un fondement fondé sur les droits qui reconnaît la portée et la portée de la protection de la vie privée et qui fournit des directives sur la façon dont les autres dispositions de la Loi devraient être interprétées ».   À la suite de la résolution de 2019 des commissaires à l’information et à la protection de la vie privée des gouvernements fédéral, provinciaux et territoriaux du Canada, le CPVP affirme donc que l’IA devrait être « conçue, développée et utilisée dans le respect des droits fondamentaux de la personne, en assurant la protection des principes de protection de la vie privée tels que la transparence, la responsabilisation et l’équité ».


3. Créer un droit de s’opposer à la prise de décision automatisée, avec des exceptions. Le CPVP propose que les individus aient le droit de s’opposer à la prise de décision automatisée et au profilage similaires aux droits en vertu du RGPD.   


4. Créer un droit à l’explication et une transparence accrue lorsque les individus interagissent avec ou sont soumis à un traitement automatisé. Le CPVP propose que les personnes aient droit à une explication du raisonnement qui sous-tend tout traitement automatisé de leurs données et des conséquences d’un tel raisonnement pour leurs droits et intérêts. Le CPVP propose également d’autres mesures de transparence dans le cadre de la LPRPDE, y compris la réalisation d’évaluations des facteurs relatifs à la vie privée concernant les systèmes d’IA ou le dépôt public d’algorithmes (semblables aux documents déposés par la Securities and Exchange Commission des États-Unis), avec des pénalités en cas de non-divulgation et de non-conformité.


5. Exiger la protection de la vie privée par conception et les droits de l’homme par décision dans le traitement, y compris la collecte de données. Le CPVP propose que les exigences suivantes soient intégrées à la LPRPDE : (i) le concept de « protection des données dès la conception » énoncé à l’article 25 du RGPD (qui comprend « la mise en place de mesures techniques et organisationnelles appropriées conçues pour mettre en œuvre les principes de protection des données et protéger les droits et libertés individuels »); et (ii) l’achèvement d’une évaluation d’impact algorithmique avant la production de tout système de décision automatisé.


6. Rendre la conformité aux spécifications de l’objectif et aux principes de minimisation des données réaliste et efficace. Le CPVP reconnaît qu’il « peut être difficile de préciser des fins qui ne deviennent apparentes qu’après qu’une machine a identifié des liens ».   À ce titre, le CPVP sollicite des commentaires et des discussions sur la question de savoir si les principes de spécification des objectifs et de minimisation des données sont réalisables dans le contexte de l’IA, ou s’il existe des solutions de rechange pour atteindre les mêmes objectifs.


7. Lors de l’obtention d’un consentement valable n’est pas possible, y compris dans la loi d’autres motifs de traitement et des solutions pour protéger la vie privée. Le CPVP croit qu’un consentement valable devrait être requis « en premier lieu pour la transparence et pour préserver l’action humaine ». Toutefois, le CPVP propose que d’autres motifs soient disponibles dans les cas où un consentement valable n’est pas possible et où les conditions prescrites sont remplies (p. ex. démontrer que l’obtention du consentement a été jugée irréalisable et qu’une évaluation des facteurs relatifs à la vie privée a été effectuée). Le CPVP sollicite des commentaires sur le contenu et les critères de ces autres motifs. 


8. Permettre une certaine souplesse dans l’utilisation des renseignements non identifiables et veiller à ce qu’il y ait des mesures améliorées pour se protéger contre la réidentification. Pour faire face au risque de réidentification, le CPVP est d’avis que la LPRPDE devrait continuer de s’appliquer aux renseignements dépersonnalisés ou non identifiables, mais qu’il pourrait y avoir une certaine souplesse pour utiliser ces renseignements (p. ex., certains principes de la LPRPDE (comme le consentement) pourraient ne pas s’appliquer ou leur application pourrait être assouplie). De plus, le CPVP propose qu’il y ait des pénalités pour les actes négligents ou malveillants qui entraînent la réidentification des renseignements personnels. 


9. Exiger des organisations qu’elles assurent la traçabilité des données et de l’algorithmique. Le CPVP propose que la LPRPDE exige la traçabilité algorithmique afin d’atteindre les objectifs de responsabilisation, d’exactitude, de transparence, de minimisation des données ainsi que d’accès et de correction. Le CPVP sollicite des commentaires sur la nécessité de la traçabilité algorithmique ou s’il existe d’autres moyens d’atteindre ces objectifs énoncés.


10. Exiger une responsabilisation démontrable pour le développement et la mise en œuvre du traitement de l’IA. Le CPVP propose d’imposer une « responsabilité démontrable » en vertu de la LPRPDE. Cela obligerait les organisations à prouver qu’elles se conforment aux exigences légales sur demande. Les méthodes pour atteindre une telle responsabilisation comprennent la traçabilité, les droits d’explication, les évaluations des facteurs relatifs à la vie privée, la vérification indépendante par des tiers et les exigences en matière de tenue de dossiers afin de faciliter les inspections proactives par le CPVP. 


11. Habiliter le CPVP à émettre des ordonnances exécutoires et des pénalités financières aux organisations pour non-conformité à la loi. Le CPVP croit que la LPRPDE devrait inclure des mécanismes d’application améliorés afin d’offrir des recours « rapides et efficaces » aux particuliers. En plus de la capacité d’imposer des pénalités financières, le CPVP cherche à obtenir un éventail de pouvoirs de rendre des ordonnances, y compris « la capacité d’exiger d’une organisation qu’elle cesse de recueillir, d’utiliser ou de communiquer des renseignements personnels, de détruire les renseignements personnels recueillis en contravention de la loi et, plus généralement, d’ordonner l’application des mesures correctives appropriées pour assurer la protection des renseignements personnels; entre autres.   

Il va sans dire que bon nombre des modifications proposées par le CPVP à la LPRPDE pourraient avoir une incidence importante sur la façon dont les organisations mènent leurs activités, particulièrement en ce qui concerne la collecte et l’utilisation de renseignements personnels au moyen de processus d’IA et d’apprentissage automatique. De plus, plusieurs de ces 11 « propositions à examiner » pourraient être appliquées par le Parlement de manière à avoir un effet plus général (c.-à-d. même si elles ont été formulées dans le document de consultation sous l’angle de l’IA seulement).  

Par conséquent, les organisations : (i) devraient examiner le document de consultation en tenant dûment compte; et (ii) sont encouragés à fournir des commentaires au CPVP concernant le document de consultation d’ici le 13 mars 2020.  

L’équipe Privacy & Data Protection de Bennett Jones est disponible pour aider vos organisations à le faire et à répondre à toutes les questions que vous pourriez avoir sur les obligations de votre organisation en matière de confidentialité.