Pour atténuer les risques de différend, il faut se familiariser avec les questions de protection de la confidentialité liées à l’IA
Cette publication fait partie de notre série Perspectives sur l’intelligence artificielle, rédigée par le groupe du droit de l'IA de McCarthy Tétrault – vos partenaires de choix pour vous aider à mieux vous y retrouver dans cet environnement complexe et dynamique. Cette série vous présente des perspectives pratiques et intégratives sur la façon dont l'IA transforme les secteurs industriels, et vous explique comment vous pouvez garder une longueur d'avance. Vous pouvez consulter les autres publications de cette série en cliquant ici ou en visitant notre page Web consacrée à l'intelligence artificielle en cliquant ici.
Alors que l’intelligence artificielle (l’« IA ») ne cesse de transformer les industries et secteurs d’activité dans le monde entier, les entreprises au Canada sont de plus en plus aux prises avec des questions de protection de la vie privée liées à l’IA et doivent atténuer les risques éventuels de différends. L’utilisation d’outils d’IA peut soulever tout une série de questions liées à la protection de la vie privée, notamment en ce qui concerne la collecte, l’utilisation et la communication de renseignements personnels. Ce billet vise à fournir un guide des principales lois sur la protection des renseignements personnels au Canada qui peuvent s’appliquer à l’utilisation d’outils d’IA, et à souligner la nécessité d’atténuer les risques éventuels de différends qui peuvent en découler.
Comme ce billet est centré sur les risques actuels de différends en matière de protection de la confidentialité, il ne traite pas des récentes propositions législatives qui auraient une incidence sur la façon dont l’IA est réglementée au Canada (p. ex., le projet de loi C-27 du Canada, la Loi sur l’intelligence artificielle et les données). Il n’aborde pas non plus les lois ou propositions étrangères susceptibles d’avoir une incidence sur les entreprises canadiennes exerçant leurs activités à l’étranger (p. ex., la Loi sur l’intelligence artificielle de l’UE). Voir nos autres articles de blogue ici et ici pour plus d’information sur ces sujets.
Le cadre juridique canadien de la protection des renseignements personnels
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régit la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales au Canada. La LPRPDE exige généralement des organisations qu’elles obtiennent un consentement valable avant de recueillir, d’utiliser ou de communiquer des renseignements personnels, et qu’elles maintiennent des mesures de sécurité pour protéger les renseignements personnels en leur possession ou sous leur garde. Même si la LPRPDE ne traite pas expressément des outils d’IA, les exigences de la LPRPDE peuvent s’appliquer à la collecte, à l’utilisation ou à la communication de renseignements personnels dans le cadre de ces outils.
La LPRPDE s’applique partout au Canada, sauf dans trois provinces qui ont adopté leurs propres lois réputées « essentiellement similaires » à la LPRPDE : la Colombie-Britannique, l’Alberta et le Québec. Contrairement à la LPRPDE, ces lois provinciales ne se limitent pas aux activités commerciales et peuvent s’appliquer à toute collecte, utilisation ou communication de renseignements personnels dans la province. À l’instar de la LPRPDE, elles peuvent s’appliquer à la collecte, à l’utilisation ou à la communication de renseignements personnels dans le cadre de l’utilisation d’outils d’IA.
Au Québec, la législation en matière de protection des renseignements personnels a récemment pris un virage majeur avec l’adoption de la loi 25, qui oblige maintenant les organisations situées au Québec à prendre des mesures proactives en matière de gestion des données et des renseignements personnels. Ainsi, au Québec, les organisations doivent effectuer des évaluations des facteurs relatifs à la vie privée avant d’entreprendre des activités particulières, comme l’utilisation d’outils d’IA, et de nouvelles exigences de transparence s’appliquent à l’utilisation de processus décisionnels automatisés fondés sur des renseignements personnels. Notre série de blogues sur la loi 25 traite de ces sujets plus en détail.
Risques liés aux différends en matière de confidentialité liés à l’IA
Les outils d’IA entraînent souvent leurs algorithmes sur une variété de données, dont des renseignements personnels. Ces outils d’IA peuvent être soumis à la législation sur la protection des renseignements personnels lorsque de tels renseignements sont recueillis, utilisés et/ou communiqués. Deux méthodes de collecte méritent d’être signalées du point de vue du droit en la matière. Premièrement, les développeurs d’IA collectent souvent des données sur Internet pour entraîner leurs outils. Deuxièmement, les outils d’IA générative utilisent souvent les données d’entrée des utilisateurs finaux comme données d’entraînement supplémentaires. Ces deux méthodes de collecte peuvent viser des renseignements personnels et donc relever de la législation sur la protection de ces renseignements.
Les outils d’IA peuvent susciter des risques de différends à bon nombre d’étapes du cycle de l’utilisation des données, de l’obtention du consentement et de la collecte de renseignements au stockage et à la communication de ces renseignements. Les entreprises qui utilisent des outils d’IA à des fins commerciales, internes ou externes, doivent être conscientes de ces risques et prendre des mesures proactives pour les atténuer et garantir le respect de toutes les exigences légales applicables. Si les exigences générales peuvent comprendre l’obtention du consentement et le maintien de mesures de sécurité, les exigences applicables dépendront toujours des circonstances et du territoire concerné.
Les poursuites, y compris des actions collectives proposées, qui ont été intentées au Canada et ailleurs pour contester l’utilisation de renseignements personnels pour l’entraînement d’outils d’IA, constituent une bonne illustration des risques de différends liés à ces outils en matière de confidentialité. Dans le cadre de ces poursuites, un certain nombre de causes d’action ont été alléguées, notamment la violation des lois sur la protection des renseignements personnels, l’atteinte à la vie privée, l’intrusion dans l’intimité et l’enrichissement injustifié. Il reste à voir comment les tribunaux canadiens aborderont ces poursuites.
Des risques de différends en matière de confidentialité peuvent également être soulevés dans le cadre de l’utilisation d’outils d’IA concédés sous licence par des tiers. La LPRPDE prévoit généralement que les renseignements personnels transférés à un tiers pour traitement doivent bénéficier d’un niveau de protection comparable par des mesures contractuelles ou autres. Les entreprises doivent donc prendre des mesures pour comprendre les politiques et pratiques de protection de la confidentialité des éventuels tiers qui effectuent le traitement de données et ainsi atténuer les risques éventuels de différends en la matière liés aux outils d’IA.
Les outils d’IA peuvent également soulever des risques de différends liés au processus décisionnel fondé sur l’IA au moyen de renseignements personnels. Par exemple, bien que les lois canadiennes sur la protection des renseignements personnels n’interdisent généralement pas les outils de prise de décisions fondés sur l’IA, il faut veiller à ce que ces outils ne produisent pas de résultats discriminatoires fondés sur les renseignements personnels des personnes concernées. Dans le cas contraire, des différends peuvent survenir en ce qui concerne les décisions fondées sur l’IA touchant des personnes physiques.
Différends en matière de protection de la confidentialité liés à l’IA dans le contexte réglementaire
Des différends en matière de protection de la confidentialité liés à l’IA peuvent également survenir dans le contexte de la réglementation. La LPRPDE et les lois provinciales essentiellement similaires sont appliquées par les commissariats à la protection de la vie privée nommés en vertu de chaque loi. Ces commissariats ont le pouvoir d’enquêter sur les plaintes individuelles et à leur initiative et, dans certains cas, d’imposer des pénalités et/ou d’intenter des poursuites judiciaires.
Les outils d’IA sont au cœur des préoccupations des commissariats canadiens à la protection de la vie privée. Les commissariats du Canada, de la Colombie-Britannique, de l’Alberta et du Québec ont récemment lancé une enquête conjointe sur la conformité d’OpenAI, la société à l’origine de ChatGPT. Les commissariats à la protection de la vie privée de l’ensemble du Canada ont également publié des lignes directrices communes sur les meilleurs principes d’utilisation de l’IA générative à des fins de protection de la confidentialité. Le respect de ces normes et d’autres normes est important pour les entreprises utilisant des outils d’IA.
Nous pouvons vous aider
Le groupe Cyber/Données de McCarthy Tétrault possède une vaste expérience à l’échelle régionale et nationale en matière de protection de la vie privée et des données, de cybersécurité, et fournit des conseils dans des secteurs clés sur des questions cruciales de domaines du droit, nouveaux et complexes. Notre équipe peut vous aider à vous familiariser avec le contexte de la protection de la vie privée, des renseignements personnels et des données afin que vous puissiez tirer parti de la valeur des données, acquérir des pratiques responsables en matière d’IA, protéger les actifs de votre organisation et renforcer la confiance numérique de vos clients, qu’ils soient ponctuels ou réguliers.