L'année 2023 fut considérablement marquée par les avancées en matière de développement et d'utilisation de systèmes d'intelligence artificielle (l' « IA ») générative et 2024 le sera probablement tout autant. Le Centre canadien pour la cybersécurité définit l'IA générative comme étant « [...] un type d'intelligence artificielle qui génère du nouveau contenu en modélisant les caractéristiques des données tirées des grands jeux de données qui alimentent le modèle. »1 La grande différence avec les modèles d'IA conventionnels étant cette possibilité de génération de nouveau contenu.

De plus en plus d'entreprises incorporent l'IA générative à leurs produits et services afin notamment de les bonifier et de les rendre plus efficaces. Bien que ces avancées soient extrêmement bénéfiques pour une panoplie d'organisations, l'utilisation de cette technologie va de pair avec la création de nouveaux risques, tant pour ces entreprises que pour leurs clients. Il est donc important de bien saisir les enjeux juridiques associés à l'utilisation de cette technologie profondément perturbatrice pour éviter les problèmes, notamment en matière de propriété intellectuelle, droit d'auteur ou de vie privée.

Parmi ces risques, les atteintes potentielles au droit à la vie privée méritent une attention particulière. C'est avec ces préoccupations en tête que les différentes autorités en matière de protection de la vie privée partout à travers le monde appellent à une grande prudence avant d'utiliser ces systèmes pour le traitement de renseignements personnels. En effet, plusieurs lois s'appliquent à l'utilisation de l'IA générative, ce qui inclut manifestement celles visant la protection des renseignements personnels.

Dans cette lancée et pour supporter les organisations dans leur développement et leur utilisation de cette technologie, les Commissaires à la protection de la vie privée du Canada (les « Commissaires ») ont élaboré des Principes pour des technologies de l'intelligence artificielle (IA) générative responsables, dignes de confiance et respectueuses de la vie privée2.

Les principes

Les Commissaires ont établi 9 principes afin de s'assurer que les développeurs et les fournisseurs qui utilisent l'IA générative soient conscientisés aux différents risques en matière de protection de la vie privée qui en découlent. Ces principes sont importants puisqu'ils permettent d'orienter le développement et l'utilisation de l'IA générative en conformité avec les exigences canadiennes de base en matière de protection de la vie privée, évitant ainsi de mauvaises surprises dans les mois ou années à venir.

Les organisations qui les mettront en Suvre se distingueront rapidement de leurs compétiteurs, face à des les clients de plus en plus sensibilisés à l'importance de l'utilisation responsable de l'IA générative et aux risques juridiques, financiers et réputationnels pouvant découler des utilisations insouciantes de celle-ci.

La capacité juridique et le consentement

Avant d'utiliser des renseignements personnels dans le développement ou l'utilisation de systèmes d'IA générative, il faut déterminer ce qui nous permet de traiter légalement les renseignements personnels. Dans la plupart des situations, ce sera le consentement des personnes concernées. Il faut alors s'assurer que le consentement a été obtenu de manière appropriée, et ce, même si les renseignements personnels sont collectés par des tiers. À cet égard, il est recommandé de réviser les processus internes d'obtention du consentement afin de s'assurer de leur validité.

Si la collecte de renseignements personnels est faite par un tiers, il est important de s'assurer qu'ils obtiennent les consentements valables, notamment en prévoyant des dispositions à cet effet dans les contrats avec ceux-ci.

Les fins appropriées

Les traitements de renseignements personnels dans le cadre du développement et de l'utilisation de l'IA générative ne devraient être réalisés que pour des fins appropriées. À titre d'exemples, mettre en service un système générant du profilage discriminatoire ou utiliser ce système afin de procéder à la réidentification de renseignements personnels anonymisés ne sont pas des utilisations appropriées, puisque contraire aux lois applicables.

Il est également possible que des utilisations deviennent inappropriées en cours d'utilisation du système. Dans cette situation, il est recommandé d'en cesser l'utilisation ou d'établir des mesures afin que cet usage inapproprié cesse.

La nécessité et la proportionnalité

Ce principe rappelle l'importance d'évaluer la nécessité et la proportionnalité avant d'utiliser des renseignements personnels dans les systèmes d'IA générative. Il est ainsi recommandé d'évaluer si des technologies favorisant la protection des renseignements personnels peuvent être mises en place et de se demander s'il est possible d'utiliser d'autres renseignements, par exemple des renseignements anonymisés, afin de limiter les atteintes possibles à la vie privée des personnes concernées.

Cette analyse de nécessité et de proportionnalité est essentielle pour s'assurer que si le traitement de renseignements personnels est requis, ces derniers bénéficieront d'une protection adéquate tout au long de leur cycle de vie, c'est-à-dire du moment de la collecte jusqu'à leur destruction.

La transparence

Le principe de transparence est fondamental lors du traitement de renseignements personnels. Il permet notamment à la personne concernée de comprendre quels renseignements personnels seront utilisés par l'organisation, comment ils sont collectés, pour quelles fins et quels sont les risques d'atteinte à sa vie privée.

Dans le cas d'utilisation d'IA générative, il est important d'être en mesure d'informer de manière simple et claire les personnes concernées des traitements de leurs renseignements personnels pour toutes les étapes de l'utilisation de la technologie, soit à partir de la collecte jusqu'à la fin de son cycle de vie. Les informations générées par le système doivent également être bien identifiées pour permettre aux personnes concernées de les distinguer.

Dans le processus de développement d'une technologie utilisant l'IA générative, il est recommandé de bien identifier les objectifs poursuivis par le système et les données utilisées dans son entraînement. De plus, il faut identifier les risques d'atteintes à la vie privée et mettre en place des mesures de protection et de sécurité afin de les prévenir, notamment en s'inspirant de pratiques connues en la matière. Enfin, la documentation découlant de la mise en place, des utilisations et des évolutions du système doit être maintenue à jour tant et aussi longtemps que le système en question traite des renseignements personnels.

La responsabilité

Comme mentionné précédemment, l'utilisation de renseignements personnels dans les systèmes d'IA générative implique le respect des lois applicables en matière de protection des renseignements personnels. Les organisations souhaitant développer ou utiliser ces technologies sont donc responsables de s'assurer qu'elles respectent ces exigences législatives et qu'elles peuvent le démontrer, notamment aux autorités de protection de la vie privée qui peuvent en faire la demande.

Démontrer cette conformité implique notamment la mise en place de politiques et pratiques en matière de protection des renseignements personnels au sein de l'organisation, la réalisation d'évaluations de facteurs relatifs à la vie privée lorsque nécessaire ainsi que la mise en place d'un processus de traitement des plaintes.

Pour ce qui est du processus de développement, le principe de responsabilité implique d'être en mesure d'expliquer le fonctionnement du système d'IA générative et d'identifier les vulnérabilités potentielles de celui-ci. Une bonne pratique pour ce faire est la réalisation d'audits externes périodiques identifiant ces vulnérabilités, incluant les biais potentiels, et recommandant différentes mesures à entreprendre pour les diminuer ou les éviter.

L'accès aux renseignements personnels

Les personnes concernées doivent être en mesure d'avoir accès à leurs renseignements personnels. C'est pourquoi les organisations doivent mettre en place un processus pour répondre aux demandes d'accès de manière efficace.

Ce processus implique de prévoir la possibilité pour les personnes concernées de corriger leurs renseignements personnels. Cela a d'autant plus d'importance lorsqu'un système d'IA générative se base sur les renseignements personnels afin de prendre une décision, puisque des renseignements personnels erronés mèneront fort probablement à une décision inexacte.

La limitation de la collecte, de l'utilisation et de la communication des renseignements

La clé afin de respecter ce principe est de déterminer, dès les premières étapes du projet impliquant l'IA générative, les fins pour lesquelles il est nécessaire de collecter, d'utiliser et de communiquer des renseignements personnels. Cela permet de s'assurer que les traitements de renseignements personnels sont véritablement nécessaires et justifiables. Dans cette analyse, il ne faut pas oublier que les décisions ou les inférences faites par le système d'IA générative peuvent également contenir des renseignements personnels.

De plus, il est recommandé de mettre en place des calendriers de conservation afin de s'assurer que les renseignements personnels ne soient pas conservés au-delà de la période initialement prévue ou utilisés à d'autres fins non permises. Pour ce faire, les calendriers de conservation devraient prévoir le moment à partir duquel il n'est plus nécessaire que les renseignements personnels soient conservés, tout en s'assurant que les personnes concernées puissent les corriger en temps opportun, plus particulièrement si une décision les concernant a été prise.

L'exactitude

Le principe d'exactitude vise ici les renseignements personnels utilisés dans les systèmes d'IA générative. Ce principe est primordial afin de s'assurer que les décisions ou les recommandations émises par le système soient exemptes d'erreur et correspondent aux fins prévues. En effet, l'utilisation de données inexactes peut créer des effets préjudiciables, comme la propagation de biais. C'est pourquoi les organisations doivent s'assurer que les renseignements personnels utilisés dans les systèmes d'IA générative soient maintenus à jour, notamment en prévoyant un processus de mise à jour obligatoire.

Une évaluation continue des résultats produits par le système d'IA générative devrait être effectuée pour vérifier que les fins prévues sont effectivement respectées et pour prendre les mesures de correction nécessaires si ce n'est pas le cas.

Les mesures de protection

Le dernier principe consiste à mettre en place des mesures de protection des renseignements personnels afin que ces derniers soient protégés tout au long de leur cycle de vie. Les mesures de protection devraient être proportionnelles à la sensibilité des renseignements personnels traités.

Des mesures de sécurité techniques devraient également être mises en place, pour se protéger contre les attaques les plus fréquentes visant les systèmes d'IA générative, notamment les attaques par injection de requêtes, par inversion de modèle ou autres.

Enfin, lorsqu'un problème est détecté, l'organisation doit avoir en place les processus appropriés afin de limiter les risques de préjudice pouvant en découler, le corriger efficacement et prendre les mesures nécessaires pour qu'il ne se reproduise pas.

Conclusion

L'utilisation de l'IA générative comporte sans aucun doute de nombreux avantages commerciaux stratégiques pour les organisations de tous secteurs. Il devient de plus en plus difficile d'éviter d'utiliser de tels outils pour s'assurer de rester compétitif dans son industrie.

Cet intérêt croissant et des offres de plus en plus diversifiées et pertinentes font en sorte que les autorités de contrôle de différents pays s'y intéressent et évaluent la nécessité de venir réglementer ce secteur. Dans ce contexte, il devient donc primordial de s'assurer d'éviter les erreurs dès les premières étapes de son utilisation.

En matière de renseignements personnels et vie privée, les principes décrits plus haut sont d'autant plus pertinents puisqu'ils viennent reprendre des mécanismes et concepts applicables même lorsqu'un système d'IA n'est pas utilisé.

Footnotes

1. Gouvernement du Canada, L'intelligence artificielle générative – ITSAP.00.041, en ligne : (https://www.cyber.gc.ca/fr/orientation/lintelligence-artificielle-generative-itsap00041).

2. Commissariat à la protection de la vie privée du Canada, Principes pour des technologies de l'intelligence artificielle (IA) générative responsables, dignes de confiance et respectueuses de la vie privée, en ligne : (https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/technologie/intelligence-artificielle/gd_principes_ia).

