Le 26 septembre, après la deuxième lecture du projet de loi C-27 en avril dernier, le Comité permanent de l’industrie et de la technologie (INDU) a finalement entamé son examen de ce projet de loi très attendu. Le tout premier témoin à comparaître a été le ministre de l’Innovation, de la Science et de l’Industrie, François-Philippe Champagne, qui a profité de l’occasion pour annoncer d’importantes modifications au projet de loi initialement présenté en juin 2022. Voici ce qu’il faut surveiller.
Respect de la vie privée
En ce qui concerne la première partie du projet de loi, la Loi sur la protection de la vie privée des consommateurs (LPVPC), les amendements proposés sont de trois ordres :
1. La vie privée est un droit fondamental
Le gouvernement propose de modifier le préambule du projet de loi C-27 et de l’énoncé d’objet de la LPVPC (article 5) afin de reconnaître expressément le droit à la vie privée comme un droit fondamental. Cette modification garantirait que les droits des Canadiens en matière de protection de la vie privée seront dûment reconnus dans l’interprétation de la Loi. Alors que les tribunaux ont déjà reconnu que la vie privée jouit d’un statut quasi constitutionnel dans le droit canadien1, cette proposition d’amendement irait plus loin en consacrant législativement l’importance de la vie privée.
La loi fédérale actuelle sur la protection de la vie privée, la LPRPDE, préconise un équilibre entre le droit à la vie privée des particuliers et les besoins des organisations en matière de collecte, d’utilisation et de communication des renseignements personnels. Si la LPVPC est adoptée, ce nouveau statut conféré au droit à la vie privée pourrait faire pencher l’interprétation de la Loi en faveur des particuliers sur les questions d’interprétation qui tombent actuellement dans des zones grises.
2. Protection de la vie privée des enfants2
Pour assurer une protection adéquate de la vie privée des enfants, le gouvernement propose de reconnaître et de renforcer les protections dont ils bénéficient déjà en obligeant les organisations à prendre en compte les intérêts particuliers des mineurs lorsqu’elles déterminent si les renseignements personnels sont recueillis, utilisés ou communiqués dans un but approprié.
Nous ne savons pas encore exactement comment seront définis les « intérêts particuliers des mineurs », mais il est permis de présumer qu’au début de leurs projets, au moment d’évaluer si un objectif donné est approprié, les organisations devront tenir compte de la plus grande vulnérabilité des mineurs par rapport aux adultes, surtout en ligne.
3. Un nouvel outil d’application de la loi pour les organismes de réglementation
Dans la version actuelle du projet de loi C-27, seul le futur Tribunal de la protection des renseignements personnels et des données aurait le pouvoir d’imposer une sanction pécuniaire. Toutefois, pour répondre aux préoccupations suscitées par l’incapacité du Commissariat à la protection de la vie privée (CPVP) d’imposer une sanction financière aux organisations qui ne respectent pas la loi, le gouvernement propose de modifier la LPVPC pour permettre au CPVP de conclure des accords de conformité assortis de considérations financières. Ces accords, qui seraient contraignants et sans appel, permettraient au CPVP de résoudre certaines questions sans faire appel aux tribunaux.
Intelligence artificielle
En ce qui concerne la Loi sur l’intelligence artificielle et les données (LIAD), les amendements proposés sont de cinq ordres :
1. Systèmes d’IA à incidence élevée
Le gouvernement propose de modifier la Loi pour y inclure une première liste de catégories clés de « systèmes d’IA à incidence élevée » qui seraient d’emblée soumis à la LIAD. Ces catégories concernent l’utilisation de systèmes d’intelligence artificielle dans les domaines suivants :
- les décisions en matière d’emploi, telles que le recrutement, la rémunération et la cessation d’emploi;
- les décisions sur le type, le coût ou l’ordre de priorité des services à fournir aux particuliers;
- le traitement de renseignements biométriques à des fins d’identification en vue d’influencer le comportement ou l’état d’esprit;
- la modération du contenu des plateformes en ligne;
- les services de santé ou d’urgence;
- la prise de décision par les tribunaux ou les instances administratives;
- les services d’application de la loi.
Si ces amendements sur les systèmes à incidence élevée sont adoptés, il faudrait abroger l’actuel article 7 qui précise que le responsable d’un système d’IA doit évaluer s’il s’agit d’un système à incidence élevée conforme à la réglementation.
Comme l’ont noté de nombreux observateurs, la version actuelle de la LIAD présente l’inconvénient d’avoir laissé dans l’ombre la plupart, voire la totalité, de son contenu obligatoire. En essayant de définir des catégories de systèmes d’IA à incidence élevée, auxquelles sont attachées de nombreuses obligations en vertu de la Loi, le gouvernement franchit au moins une étape sur la voie de la clarté. Cependant, certaines de ces catégories sont tellement larges (par exemple, les services) qu’il reste difficile pour les entreprises de déterminer si elles sont ou non assujetties à la LIAD et dans quelle mesure.
2. Interopérabilité et obligations mieux définies dans la chaîne de valeur de l’IA
Afin de garantir l’interopérabilité du cadre canadien et sa conformité avec les meilleures pratiques internationales, le gouvernement propose des modifications visant à élargir le champ d’application des systèmes d’IA couverts par la LIAD et à suivre l’évolution des cadres internationaux. Dans cette optique, le gouvernement propose de modifier la définition du système d’IA pour la rendre conforme à celle de l’OCDE.
En outre, le gouvernement propose des amendements visant à mieux définir les responsabilités et les obligations des différents acteurs de la chaîne de valeur de l’IA, à l’instar du document complémentaire de la LIAD. En particulier, les modifications imposeraient des obligations précises aux développeurs de modèles d’apprentissage automatique pour une utilisation à incidence élevée et de systèmes à incidence élevée, ainsi qu’aux personnes qui donnent accès à un système à incidence élevée ou qui en gèrent les fonctions. Ces obligations sont exposées plus en détail dans le tableau ci-dessous :
Acteurs |
Responsabilités |
Développeurs de modèles d’apprentissage automatique pour une utilisation à incidence élevée |
|
Développeurs de systèmes d’IA à incidence élevée |
|
Personnes qui donnent accès à un système à incidence élevée |
|
Personnes qui assurent la gestion des fonctions d’un système à incidence élevée |
|
3. Obligations pour les systèmes d’IA à usage général
Le gouvernement propose de créer des exigences spécifiques aux systèmes d’IA à usage général, comme ChatGPT, qui sont conçus pour être utilisés dans de nombreux contextes différents. Par exemple, la Législation sur l’intelligence artificielle de l’Union européenne définit l’IA à usage général comme [traduction] « un système d’IA qui peut être utilisé et adapté à un large éventail d’applications pour lesquelles il n’a pas été conçu de manière intentionnelle et spécifique ».
Les responsabilités varieraient en fonction de l’acteur (c’est-à-dire les développeurs de systèmes à usage général, les personnes qui les proposent ou celles qui gèrent leurs fonctions) et pourraient inclure des évaluations des incidences, des essais, des mesures d’atténuation visant à réduire les résultats biaisés et une documentation en langage clair.
4. Commissaire à l’intelligence artificielle et aux données
Le gouvernement souhaite préciser davantage les fonctions et les rôles du Commissaire à l’intelligence artificielle et aux données afin de renforcer la confiance dans sa capacité de remplir son mandat en toute indépendance, d’assurer la cohérence et d’éviter les chevauchements d’activités.
Les amendements proposés par le gouvernement apportent au projet de loi C-27 d’importantes améliorations et précisions vers une plus grande transparence. Malheureusement, comme le veut le dicton, le diable se cache dans les détails, et en l’absence d’une version écrite consolidée, claire et concise de ces amendements, il est difficile d’établir avec certitude ce qu’ils signifient pour les entreprises. Il reste également à voir les effets des amendements proposés sur le programme législatif, puisque la date d’adoption du projet de loi n’est pas encore certaine.
1 Voir par exemple Bertucci c. Banque Royale du Canada, 2016 CF 332.
2 Note : La LPVPC prévoit déjà de solides protections pour encadrer la collecte, l’utilisation et la communication des renseignements personnels des enfants. Ce projet de loi considère notamment comme « sensibles » tous les renseignements personnels d’un mineur. En pratique, cela signifie ce qui suit : 1) les organisations devront généralement obtenir un consentement explicite avant de recueillir, d’utiliser ou de communiquer les renseignements; 2) les organisations devront examiner attentivement la justification de leur collecte de renseignements; 3) elles devront prendre des mesures de sécurité plus strictes pour protéger les renseignements; 4) la période de conservation de ces renseignements devrait généralement être plus courte que celle visant les renseignements des adultes.