22 janvier 2024Calcul en cours...

Les organismes de protection de la vie privée canadiens se prononcent sur l’utilisation conforme de l’IA générative

Le 7 décembre, le Commissariat à la protection de la vie privée du Canada (CPVP), conjointement avec toutes les autorités de protection de la vie privée provinciales et territoriales, a publié de nouvelles lignes directrices intitulées « Principes pour des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée » (Principes). Ce document interprète la législation et les principes canadiens actuels en matière de protection de la vie privée dans le contexte de l’IA générative et s’applique aux entreprises qui développent, fournissent et utilisent des systèmes d’IA générative.

Même si les Principes ne lient pas les organismes de réglementation, ils sont susceptibles d’influencer leurs décisions, leurs enquêtes et leurs prises de position futures.

Ce que vous devez savoir

  • Certaines mesures recommandées s’adressent aux développeurs et aux fournisseurs de systèmes d’IA générative, ces deux groupes devant généralement se conformer aux principes de protection de la vie privée qui concernent la gouvernance des données, le consentement et la transparence.
  • Les Principes mettent l’accent sur la protection des groupes vulnérables dans le cadre du développement, de la fourniture ou de l’utilisation de l’IA générative, et notamment l’importance d’éviter des résultats discriminatoires.
  • Les Principes énoncent des pratiques concrètes qui aident à documenter la conformité de l’IA générative aux lois sur la protection de la vie privée. Ils visent à prévenir les utilisations inappropriées de l’IA et à s’assurer que les utilisateurs finaux disposent d’informations suffisantes sur les systèmes et de mécanismes pour faire respecter leurs droits à la vie privée.

Utilisation responsable de l’IA générative – résumé des Principes

Les Principes s’adressent aux organisations publiques et privées et reprennent plusieurs exigences existantes de la législation canadienne sur la protection de la vie privée à l’IA générative.

Dans le tableau ci-après, nous comparons les Principes aux exigences clés des lois sur la protection de la vie privée (y compris celles figurant à l’annexe 1 de la LPRPDE) et expliquons comment celles-ci pourraient être appliquées dans le contexte de l’IA générative.

Exigences des lois sur la vie privée

Mesures recommandées dans les Principes

Première exigence : Responsabilité

Une organisation est responsable des renseignements personnels dont elle a la gestion et doit nommer au moins une personne qui s’assurera de sa conformité avec ces exigences.

Responsabilité

Des mesures de responsabilisation fondamentales sont requises :

  • politiques, pratiques et mécanismes de traitement des plaintes;
  • audits indépendants pour évaluer le système et atténuer les risques liés à la protection de la vie privée (pour les développeurs et les fournisseurs)
  • mise à l’essai des vulnérabilités dans les données d’entraînement qui contiennent des renseignements personnels.

Les développeurs et les fournisseurs sont soumis à une exigence plus lourde sur le plan opérationnel : s’assurer que les résultats des systèmes d’IA générative sont « traçables et explicables », c’est-à-dire qu’ils doivent fournir aux utilisateurs un compte rendu du fonctionnement du système et une justification de la façon dont un résultat (extrant) a été obtenu.

Deuxième exigence : Détermination des fins de la collecte des renseignements

Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci.

Fins appropriées

Plutôt que de déterminer les fins, il faut s’assurer que la collecte, l’utilisation ou la communication de renseignements personnels associés à un système d’IA générative est effectuée à des fins qui sont appropriées dans les circonstances. Les organisations devraient :

  • surveiller les utilisations inappropriées potentielles ou des résultats biaisés;
  • prendre des mesures pour atténuer les risques lorsque de telles utilisations sont relevées;
  • établir des mesures techniques pour prévenir les utilisations inappropriées.

Fait à noter, les « zones interdites » prévues comprennent ce qui suit (sans s’y limiter) :

  • la création de contenu à des fins malveillantes, notamment pour générer des images intimes d’une personne sans son consentement;
  • l’utilisation de robots conversationnels pour inciter délibérément des personnes à communiquer des renseignements personnels;
  • le profilage susceptible de donner lieu à un traitement injuste, contraire à l’éthique ou discriminatoire;
  • la production et la publication de renseignements faux ou diffamatoires au sujet d’une personne;
  • la collecte, l’utilisation ou la communication de renseignements personnels qui pourraient causer un préjudice important ou menacer les droits et libertés fondamentaux.

Troisième exigence : Consentement

Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.

Pouvoir légal et consentement

Les résultats (extrants) générés par un système d’IA au sujet d’une personne sont considérés comme des renseignements personnels (« inférences générées au sujet d’une personne identifiable »). Cela signifie que la production d’un résultat (extrant) sera considérée comme une collecte de renseignements personnels pour laquelle un consentement ou une autre autorité légale est nécessaire.

Il peut y avoir des contextes d’IA générative où l’information est si sensible que le consentement, même s’il est fourni, n’est pas adéquat : dans ces contextes (p. ex., les soins de santé), il faut établir une procédure d’évaluation distincte qui tient compte à la fois de la protection de la vie privée et de l’éthique de l’utilisation proposée de l’information, et qui fait l’objet d’une surveillance indépendante.

Quatrième et cinquième exigences : Limitation de la collecte, de l’utilisation, de la communication et de la conservation

L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées. Elle doit procéder de façon honnête et licite.

Les renseignements personnels ne doivent être utilisés ou communiqués qu’aux fins auxquelles ils ont été recueillis, à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour répondre à ces fins.

Limitation de la collecte, de l’utilisation et de la communication des renseignements

L’accessibilité publique des données ne signifie pas nécessairement qu’elles sont « publiquement accessibles » aux fins des lois sur la protection de la vie privée ou qu’elles peuvent être utilisées sans discernement.

Les développeurs et les fournisseurs devraient supprimer les renseignements personnels des ensembles de données dans la mesure du possible et s’assurer que les extrants de l’IA ne contiennent pas de renseignements personnels non requis.

Les organisations utilisatrices devraient limiter l’utilisation des renseignements personnels dans les requêtes du système et ne pas entrer de renseignements personnels sensibles dans une requête sans autorisation.

Nécessité et proportionnalité

Les organisations devraient évaluer si l’utilisation d’un système d’IA générative est nécessaire et proportionnelle.

Il faut privilégier l’utilisation de données anonymisées ou dépersonnalisées ou de données non personnelles pour atteindre les objectifs visés, dans la mesure du possible.

En règle générale, il faut utiliser les technologies les plus respectueuses de la vie privée pour atteindre les objectifs visés.

Sixième exigence : Exactitude

Les renseignements personnels doivent être aussi exacts, complets et à jour que possible afin de satisfaire aux fins auxquelles ils sont destinés.

Exactitude

Les organisations utilisatrices sont tenues de s’assurer que les extrants d’un système d’IA générative sont de l’exactitude requise en ce qui concerne la fin prévue, particulièrement s’ils :

  • sont utilisés pour prendre des décisions au sujet d’une personne;
  • sont utilisés dans des contextes à risque élevé (voir « Groupes vulnérables » ci-après);
  • seront rendus publics.

Septième exigence : Mesures de sécurité

Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Mesures de protection

Toutes les organisations devraient maintenir des mesures de protection des renseignements personnels tout au long du cycle de vie d’un système d’IA générative.

Voici les principales menaces à la sécurité des données dont il faut protéger les systèmes d’IA générative :

  • les attaques par injection de requêtes, dans lesquelles des requêtes formulées d’une certaine façon permettent de contourner les filtres ou d’utiliser le système d’une manière imprévue;
  • les attaques par inversion de modèle, dans lesquelles les utilisateurs réussissent à exposer les renseignements personnels contenus dans les données d’entraînement pour pouvoir y accéder;
  • le « débridage », dans lequel l’utilisateur contourne les contrôles de confidentialité ou de sécurité du système.

Huitième exigence : Transparence

Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles au public.

Transparence

Les extrants du système d’IA générative qui pourraient avoir une incidence importante sur une personne ou un groupe doivent être clairement désignés comme ayant été créés par un outil d’IA générative.

Il faut informer les personnes des renseignements personnels qui sont traités ainsi que du moyen, du moment et de la raison pour laquelle ils sont traités à toute étape du cycle de vie du système d’IA générative.

Les organisations utilisatrices devraient également communiquer clairement lorsque l’IA générative est utilisée dans le cadre d’un processus décisionnel, conformément à la loi fédérale proposée (projet de loi C-27) et à la loi québécoise existante (Loi 25) en matière de prise de décisions automatisée.

Neuvième exigence : Accès aux renseignements personnels

Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées.

Accès aux renseignements personnels

Les développeurs et les fournisseurs de systèmes d’IA doivent s’assurer qu’il est possible de consulter ou de corriger ses renseignements personnels contenus dans un modèle d’IA. Les développeurs devraient examiner si cette exigence est réalisable, compte tenu des difficultés pratiques liées à la modification ou au retrait de données d’un modèle d’IA, ou s’il est préférable de simplement exclure les renseignements personnels des données d’entraînement.

Conformément à la loi fédérale proposée (projet de loi C-27) et à la loi québécoise existante (Loi 25) en matière de prise de décisions automatisée, les organisations qui utilisent l’IA générative pour la prise de décisions devraient tenir des dossiers pour pouvoir répondre aux demandes d’accès à l’information.

Dixième exigence : Possibilité de porter plainte à l’égard du non-respect des principes

Toute personne doit être en mesure de se plaindre du non-respect par une organisation des principes énoncés ci-dessus. La plainte doit être adressée à la personne responsable de la conformité au sein de l’organisation concernée.

Cette exigence, représentée comme l’un des 10 principes clés dans la LPRPDE, n’est pas expressément abordée dans les Principes, même si, selon les principes de transparence et d’accès énoncés ci‑dessus, il faut offrir des mécanismes permettant à une personne d’obtenir de l’information sur les décisions prises à son sujet au moyen de systèmes d’IA générative.

Attention particulière portée aux groupes vulnérables

Toutes les lignes directrices et pratiques exemplaires en matière d’utilisation de l’IA mettent l’accent sur l’importance des droits de la personne et de la non-discrimination dans le développement et le déploiement de l’IA, comme nous l’avons expliqué en détail dans notre Guide sur la réglementation de l’IA au Canada. Dans les Principes, les organismes de réglementation indiquent clairement que les organisations sont tenues de repérer et de prévenir les risques pour les groupes vulnérables en veillant à l’équité des systèmes d’IA générative, particulièrement dans des « contextes aux incidences élevées » comme les soins de santé, l’emploi, l’éducation, les services de police, l’immigration, la justice pénale, le logement ou l’accès au financement. Les enfants et les jeunes sont particulièrement à risque.

Considérations pratiques pour les entreprises qui développent, fournissent ou utilisent l’IA générative

Voici d’autres mesures pratiques recommandées dans les Principes :

  • Utiliser un processus d’évaluation critique ou avec une équipe rouge pour repérer les possibles utilisations inappropriées de systèmes d’IA générative.
  • Élaborer des politiques d’utilisation appropriée auxquelles les personnes ou les organisations qui utilisent le système d’IA générative doivent adhérer avant son utilisation.
  • Publier la documentation sur les ensembles de données utilisés pour développer ou entraîner le système d’IA générative, y compris les sources et l’assise légale pour leur collecte et leur utilisation (pour les développeurs et les fournisseurs).
  • Veiller à ce que les extrants du système d’IA générative qui pourraient avoir une incidence importante sur une personne ou un groupe soient désignés clairement comme ayant été créés par un outil d’IA générative.
  • Effectuer des évaluations des facteurs relatifs à la vie privée (ou des évaluations de l’incidence algorithmique pour les entités gouvernementales) afin d’atténuer les répercussions potentielles ou connues sur la vie privée.
  • Signaler les problèmes d’exactitude et les limites aux utilisateurs (pour les développeurs et les fournisseurs); évaluer les répercussions sur l’utilisation du système de tout problème d’exactitude ou de limite signalé par le fournisseur ou le développeur du système d’IA générative (pour les organisations utilisatrices).
  • Permettre d’accéder à ses renseignements personnels contenus dans un modèle d’IA ou de les corriger.
  • S’assurer qu’un groupe est représenté de façon adéquate et exacte dans les données d’entraînement du système si celui-ci est utilisé à son égard.
  • Mettre en place des mesures de protection contre les nouvelles menaces à la sécurité des données pour l’IA générative.
  • Évaluer les données utilisées pour développer et entraîner des systèmes d’IA générative afin de s’assurer que les systèmes ne reproduisent pas ou n’amplifient pas les biais « historiques ou actuels » dans les données, ou n’introduisent pas de nouveaux biais, afin de réduire le risque de résultats discriminatoires fondés sur la race, le sexe ou d’autres caractéristiques pour les groupes marginalisés.
  • Établir une surveillance et un examen des extrants des systèmes d’IA, ou une surveillance accrue des effets discriminatoires ou autres effets négatifs potentiels.

Bien que ces recommandations ne constituent pas des exigences légales, elles sont conformes aux pratiques exemplaires en matière d’IA. Il peut être utile de les suivre pour réduire le risque de non-conformité aux exigences existantes et faciliter la conformité future dans un contexte d’évolution rapide de la réglementation. En effet, même s’il s’agit d’un nouveau domaine de réglementation, l’on voit déjà apparaître certains principes fondamentaux, comme en font foi le projet de loi C-27 au Canada (y compris les modifications récemment proposées) et le contenu de l’accord relatif à la loi sur l’IA conclu par l’Union européenne en décembre 2023. L’adoption anticipée de pratiques exemplaires est donc une option intéressante pour beaucoup d’organisations, malgré l’absence d’exigences précises.


Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.

© Torys, 2024.

Tous droits réservés.
 

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant