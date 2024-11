McCarthy Tétrault LLP provides a broad range of legal services, advising on large and complex assignments for Canadian and international interests. The firm has substantial presence in Canada’s major commercial centres and in New York City, US and London, UK.

Alors que l'intelligence artificielle (l'« IA ») ne cesse de transformer les industries et secteurs d'activité dans le monde entier, les entreprises au Canada sont de plus en plus aux prises avec des questions de protection de la vie privée liées à l'IA et doivent atténuer les risques éventuels de différends. L'utilisation d'outils d'IA peut soulever tout une série de questions liées à la protection de la vie privée, notamment en ce qui concerne la collecte, l'utilisation et la communication de renseignements personnels. Ce billet vise à fournir un guide des principales lois sur la protection des renseignements personnels au Canada qui peuvent s'appliquer à l'utilisation d'outils d'IA, et à souligner la nécessité d'atténuer les risques éventuels de différends qui peuvent en découler.

Comme ce billet est centré sur les risques actuels de différends en matière de protection de la confidentialité, il ne traite pas des récentes propositions législatives qui auraient une incidence sur la façon dont l'IA est réglementée au Canada (p. ex., le projet de loi C-27 du Canada, la Loi sur l'intelligence artificielle et les données). Il n'aborde pas non plus les lois ou propositions étrangères susceptibles d'avoir une incidence sur les entreprises canadiennes exerçant leurs activités à l'étranger (p. ex., la Loi sur l'intelligence artificielle de l'UE). Voir nos autres articles de blogue ici et ici pour plus d'information sur ces sujets.

Le cadre juridique canadien de la protection des renseignements personnels

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régit la collecte, l'utilisation et la communication de renseignements personnels dans le cadre d'activités commerciales au Canada. La LPRPDE exige généralement des organisations qu'elles obtiennent un consentement valable avant de recueillir, d'utiliser ou de communiquer des renseignements personnels, et qu'elles maintiennent des mesures de sécurité pour protéger les renseignements personnels en leur possession ou sous leur garde. Même si la LPRPDE ne traite pas expressément des outils d'IA, les exigences de la LPRPDE peuvent s'appliquer à la collecte, à l'utilisation ou à la communication de renseignements personnels dans le cadre de ces outils.

La LPRPDE s'applique partout au Canada, sauf dans trois provinces qui ont adopté leurs propres lois réputées « essentiellement similaires » à la LPRPDE : la Colombie-Britannique, l'Alberta et le Québec. Contrairement à la LPRPDE, ces lois provinciales ne se limitent pas aux activités commerciales et peuvent s'appliquer à toute collecte, utilisation ou communication de renseignements personnels dans la province. À l'instar de la LPRPDE, elles peuvent s'appliquer à la collecte, à l'utilisation ou à la communication de renseignements personnels dans le cadre de l'utilisation d'outils d'IA.

Au Québec, la législation en matière de protection des renseignements personnels a récemment pris un virage majeur avec l'adoption de la loi 25, qui oblige maintenant les organisations situées au Québec à prendre des mesures proactives en matière de gestion des données et des renseignements personnels. Ainsi, au Québec, les organisations doivent effectuer des évaluations des facteurs relatifs à la vie privée avant d'entreprendre des activités particulières, comme l'utilisation d'outils d'IA, et de nouvelles exigences de transparence s'appliquent à l'utilisation de processus décisionnels automatisés fondés sur des renseignements personnels. Notre série de blogues sur la loi 25 traite de ces sujets plus en détail.

Risques liés aux différends en matière de confidentialité liés à l'IA

Les outils d'IA entraînent souvent leurs algorithmes sur une variété de données, dont des renseignements personnels. Ces outils d'IA peuvent être soumis à la législation sur la protection des renseignements personnels lorsque de tels renseignements sont recueillis, utilisés et/ou communiqués. Deux méthodes de collecte méritent d'être signalées du point de vue du droit en la matière. Premièrement, les développeurs d'IA collectent souvent des données sur Internet pour entraîner leurs outils. Deuxièmement, les outils d'IA générative utilisent souvent les données d'entrée des utilisateurs finaux comme données d'entraînement supplémentaires. Ces deux méthodes de collecte peuvent viser des renseignements personnels et donc relever de la législation sur la protection de ces renseignements.

Les outils d'IA peuvent susciter des risques de différends à bon nombre d'étapes du cycle de l'utilisation des données, de l'obtention du consentement et de la collecte de renseignements au stockage et à la communication de ces renseignements. Les entreprises qui utilisent des outils d'IA à des fins commerciales, internes ou externes, doivent être conscientes de ces risques et prendre des mesures proactives pour les atténuer et garantir le respect de toutes les exigences légales applicables. Si les exigences générales peuvent comprendre l'obtention du consentement et le maintien de mesures de sécurité, les exigences applicables dépendront toujours des circonstances et du territoire concerné.

Les poursuites, y compris des actions collectives proposées, qui ont été intentées au Canada et ailleurs pour contester l'utilisation de renseignements personnels pour l'entraînement d'outils d'IA, constituent une bonne illustration des risques de différends liés à ces outils en matière de confidentialité. Dans le cadre de ces poursuites, un certain nombre de causes d'action ont été alléguées, notamment la violation des lois sur la protection des renseignements personnels, l'atteinte à la vie privée, l'intrusion dans l'intimité et l'enrichissement injustifié. Il reste à voir comment les tribunaux canadiens aborderont ces poursuites.

Des risques de différends en matière de confidentialité peuvent également être soulevés dans le cadre de l'utilisation d'outils d'IA concédés sous licence par des tiers. La LPRPDE prévoit généralement que les renseignements personnels transférés à un tiers pour traitement doivent bénéficier d'un niveau de protection comparable par des mesures contractuelles ou autres. Les entreprises doivent donc prendre des mesures pour comprendre les politiques et pratiques de protection de la confidentialité des éventuels tiers qui effectuent le traitement de données et ainsi atténuer les risques éventuels de différends en la matière liés aux outils d'IA.

Les outils d'IA peuvent également soulever des risques de différends liés au processus décisionnel fondé sur l'IA au moyen de renseignements personnels. Par exemple, bien que les lois canadiennes sur la protection des renseignements personnels n'interdisent généralement pas les outils de prise de décisions fondés sur l'IA, il faut veiller à ce que ces outils ne produisent pas de résultats discriminatoires fondés sur les renseignements personnels des personnes concernées. Dans le cas contraire, des différends peuvent survenir en ce qui concerne les décisions fondées sur l'IA touchant des personnes physiques.

Différends en matière de protection de la confidentialité liés à l'IA dans le contexte réglementaire

Des différends en matière de protection de la confidentialité liés à l'IA peuvent également survenir dans le contexte de la réglementation. La LPRPDE et les lois provinciales essentiellement similaires sont appliquées par les commissariats à la protection de la vie privée nommés en vertu de chaque loi. Ces commissariats ont le pouvoir d'enquêter sur les plaintes individuelles et à leur initiative et, dans certains cas, d'imposer des pénalités et/ou d'intenter des poursuites judiciaires.

Les outils d'IA sont au cœur des préoccupations des commissariats canadiens à la protection de la vie privée. Les commissariats du Canada, de la Colombie-Britannique, de l'Alberta et du Québec ont récemment lancé une enquête conjointe sur la conformité d'OpenAI, la société à l'origine de ChatGPT. Les commissariats à la protection de la vie privée de l'ensemble du Canada ont également publié des lignes directrices communes sur les meilleurs principes d'utilisation de l'IA générative à des fins de protection de la confidentialité. Le respect de ces normes et d'autres normes est important pour les entreprises utilisant des outils d'IA.

