C-27 | Un trio législatif… accommodant pour l’industrie

Le régime fédéral de protection de renseignements personnels dans le secteur privé doit être modernisé, ce qu’Ottawa propose de faire avec le projet de loi C-27. Cet article propose un survol des reproches formulés, de failles pour les droits humains et des mises en garde à l’égard de C-27.

Retour à la table des matières
Droits et libertés, printemps / été 2024

Un trio législatif… accommodant pour l’industrie

Anne Pineau, membre du comité Surveillance des populations, intelligence artificielle et droits humains de la Ligue des droits et libertés

Le lancement du robot conversationnel ChatGPT-4 au printemps 2023 a créé une véritable onde de choc, au point d’amener des experts et industriels du secteur de l’intelligence artificielle (IA) à réclamer une pause de six mois dans le développement de systèmes plus puissants1. Comme si les experts n’avaient pas vu venir le train ; et comme si l’encadrement sécuritaire de tels outils pouvait se résoudre en 6 mois !

Le besoin pressant d’un cadre législatif solide en matière d’IA coule de source. Mal conçue ou mal utilisée, cette technologie peut être dommageable : hameçonnage, cyberharcèlement, discrimination, désinformation, manipulation, surveillance, atteinte à la vie privée et au droit d’auteur, impacts sur l’emploi et l’environnement, etc. Mais l’urgence ne saurait justifier l’adoption d’une loi au rabais.

La Charte du numérique

Depuis quatre ans, Ottawa tente de moderniser le régime fédéral de protection des renseignements personnels (RP) dans le secteur privé. Le projet de loi C-11, déposé en 2020, est mort au feuilleton en 2021. Il a été remplacé en juin 2022 par le C-27.

Alors que C-11 ne concernait que les RP et la création d’un Tribunal des données, C-27 ajoute en catimini un troisième volet sur l’intelligence artificielle. C-27 vise donc l’édiction de trois lois : partie 1 : Loi sur la protection de la vie privée des consommateurs (LPVPC) ; partie 2 : Loi sur le Tribunal de la protection des renseignements personnels et des données (Loi sur le Tribunal) ; partie 3 : Loi sur l’intelligence artificielle et les données (LIAD). C’est le ministre de l’Industrie (Innovation, Science, ISDE) qui pilote le projet, ce qui en dit déjà long sur l’orientation donnée au dossier.

Le C-27 est en examen devant le Comité permanent de l’industrie et de la technologie (INDU) depuis septembre 2023. Plus de 100 mémoires ont été soumis2 plusieurs critiquant vivement l’ensemble de l’œuvre. Nous faisons un survol des principaux reproches formulés à l’endroit de ce projet de loi omnibus.

1.   LOI SUR LA PROTECTION DE LA VIE PRIVÉE DES CONSOMMATEURS

La Loi fédérale qui encadre actuellement les renseignements personnels dans le secteur privé a été adoptée en 20003. Une modernisation tenant compte des avancées technologiques s’impose. C’est ce que tente de faire la LPVPC, la partie 1 de C-27. Notons que dans les provinces disposant d’une loi essentiellement semblable à la LPVPC, c’est la loi provinciale qui s’applique. Ainsi, la LPVPC n’aura pas d’application au Québec.

Droit à la vie privée

La LPVPC vise, selon son titre, à promouvoir le commerce électronique au moyen de la protection des renseignements personnels utilisés dans le cadre d’activités commerciales. Son objet est défini à l’article 5 : dans un contexte où « une part importante de l’activité économique repose sur l’analyse, la circulation et l’échange de renseignements personnels », la loi vient fixer des « règles régissant la protection des renseignements personnels d’une manière qui tient compte, à la fois, du droit fondamental4 à la vie privée des individus […] et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels […] ».

On mise donc sur un équilibre entre droit humain et activité économique, comme si les deux éléments pouvaient s’équivaloir ! De plus, cet équilibre n’est que façade car plusieurs autres dispositions de la loi font en réalité primer les besoins commerciaux de l’entreprise — ou organisation — sur le droit des individus. Comme le souligne le Centre pour la défense de l’intérêt public dans son mémoire : « Les récentes modifications apportées par le ministre dans le but d’ajouter la vie privée comme droit fondamental au préambule et à l’objet du projet de loi sont inutiles, car rien d’autre dans le projet de loi et, plus largement dans le cadre juridique, ne protège la vie privée en tant que droit de la personne ».

Sans consentement

En principe, le consentement est nécessaire pour recueillir, utiliser ou communiquer des RP. Mais en réalité le C-27 établit une multitude d’exceptions (art. 18 à 52). Certaines sont reprises de la loi actuelle. Mais plusieurs sont nouvelles. Il sera notamment possible de faire usage de RP à l’insu et sans le consentement de la personne concernée (voir encadré ci-dessous).

Exceptions prévues dans la Loi pour l’usage sans consentement des renseignements personnels :

•   pour des activités d’affaires art. 18 (1)

•   en vue d’une activité dans laquelle l’organisation a un intérêt légitime qui l’emporte (selon elle !) sur tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu art. 18 (3)

•   à des fins de recherche, d’analyse et de développement internes, si les RP sont d’abord dépersonnalisés art. 21

•   communication à des fins de statistiques ou d’étude ou de recherche lorsque le consentement est pratiquement impossible à obtenir art. 35

•   entre organisations en vue de la détection d’une fraude art. 27

•   à une institution gouvernementale pour une fin socialement bénéfique (si les RP sont d’abord dépersonnalisés) art. 39

•   pour l’application de la loi art. 43 à 46 et 49

•   à une institution gouvernementale (à sa demande ou de la propre initiative de l’organisation en cas de soupçons que les RP concernent la sécurité nationale, la défense du Canada ou la conduite des affaires internationales) art. 47-48

Notons que la dépersonnalisation consiste à « modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement ».

Il s’agit d’un niveau de protection très faible. Comme le note le Commissaire à la protection de la vie privée (CPVP) dans son mémoire sur C-27 : « Compte tenu de la définition large de ce qui peut être considéré comme des renseignements dépersonnalisés au paragraphe 2 (1), les organisations pourraient, dans certaines circonstances, utiliser et communiquer une grande quantité de renseignements personnels, qui pourraient être repersonnalisés assez facilement, à l’insu ou sans le consentement de l’individu concerné5 ».

On mise donc sur un équilibre entre droit humain et activité économique, comme si les deux éléments pouvaient s’équivaloir! De plus, cet équilibre n’est que façade car plusieurs autres dispositions de la loi font en réalité primer les besoins commerciaux de l’entreprise — ou organisation — sur le droit des individus.

Il sera aussi permis d’utiliser les RP sans contrainte en les anonymisant puisqu’ils se trouvent alors exclus de la loi. Or, on sait que l’anonymisation est un procédé faillible et qu’un risque de réidentification demeure toujours possible. De plus, même anonymisés, les RP sont porteurs d’informations qui devraient faire l’objet d’un contrôle, comme le constate Brenda McPhail : « Considérant que même l’anonymisation des renseignements personnels est inefficace contre les pratiques de tri social, qui sont à l’intersection de la vie privée et de l’égalité, toutes les données dérivées de renseignements personnels, qu’elles soient identifiables, non personnalisées ou anonymisées, devraient faire l’objet d’une surveillance proportionnelle par le commissaire à la vie privée6 ».

Système décisionnel automatisé

L’organisation qui utilise un système décisionnel automatisé (SDA) pour faire une recommandation ou prendre une décision ayant une incidence importante sur une personne doit, à sa demande, lui fournir une explication (renseignements utilisés, principaux facteurs ayant mené à la décision). Ce droit à l’explication est fort restreint. Le CPVP note que « le fait de limiter cette obligation aux décisions qui pourraient avoir une incidence importante ne permettrait pas d’assurer la transparence des algorithmes ». Qui plus est, la loi n’offre aucun recours : pas le droit de s’opposer à ce qu’une décision soit prise par SDA et aucun droit d’appel de la décision.

Pouvoirs du CPVP

La loi accorde un nouveau pouvoir d’ordonnance au CPVP. Et les organisations pourraient écoper de fortes sanctions administratives en cas d’infraction à certaines dispositions de la loi. Malheureusement le commissaire ne peut que recommander et non imposer lui-même7 ces sanctions qui sont de la compétence du nouveau Tribunal des données.

2.   LOI SUR LE TRIBUNAL DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET DES DONNÉES

Cette loi (partie 2 de C-27) instituerait un nouveau Tribunal, agissant en appel des conclusions et décisions du CPVP. Ce tribunal statuera aussi sur les recommandations de sanctions administratives du commissaire. Il se compose de trois à six membres choisis par le gouverneur en conseil (gouvernement) sur recommandation du ministre.

Plusieurs groupes ont condamné la création de ce Tribunal qui ne fera qu’étirer les délais et saper l’autorité du CPVP. De l’avis du CPVP dans son mémoire sur C-27 : « La création du Tribunal ajoute donc un palier de contrôle supplémentaire dans le processus causant des délais et des coûts additionnels ». Le commissaire propose dont la Ligue des droits et libertés (LDL), ont dénoncé ce fait et demandent le retrait de cette partie de C-27 jusqu’à la tenue de véritables consultations publiques8. On conteste également que le ministère de l’Industrie (ISDE) soit le principal voire l’unique rédacteur d’un projet de loi qui aura des impacts sur l’ensemble de la société.

3. LOI SUR L’INTELLIGENCE ARTIFICIELLE ET LES DONNÉES

La LIAD (partie 3 de C-27) n’a fait l’objet d’aucune consultation avant son dépôt, sauf peut-être auprès de l’industrie et de certains experts. De très nombreux groupes, dont la Ligue des droits et libertés (LDL), ont dénoncé ce fait et demandent le retrait de cette partie de C-27 jusqu’à la tenue de véritables consultations publiques8. On conteste également que le ministère de l’Industrie (ISDE) soit le principal voire l’unique rédacteur d’un projet de loi qui aura des impacts sur l’ensemble de la société.

Exclusion du secteur public

La LIAD se limite au secteur privé ; elle ne s’applique pas aux institutions fédérales (ministères, organismes publics, sociétés d’État). Elle ne s’applique pas non plus à l’égard des produits, services ou activités relevant : a) du ministre de la Défense ; b) du SCRS ; c) du Centre de la sécurité des communications ; d) de toute autre personne désignée par règlement.

L’exemption gouvernementale a été décriée par de nombreux intervenants, dont la LDL. L’utilisation de l’IA par les institutions fédérales et organismes de sécurité doit faire l’objet d’un encadrement légal assurant un contrôle indépendant et public.

Objet de la loi

La LIAD vise l’établissement d’exigences canadiennes pour la conception, le développement et l’utilisation des systèmes d’intelligence artificielle (SIA) ainsi que l’interdiction de certaines conduites relativement aux SIA qui peuvent causer un préjudice sérieux aux individus (physique ou psychologique, dommages aux biens, perte économique) ou un préjudice à leurs intérêts. La loi ne prend donc en compte que le préjudice personnel et non les graves préjudices collectifs que peuvent engendrer les SIA. Cela est fortement critiqué.

Système d’IA à incidence élevée

La LIAD impose diverses obligations au responsable d’un système d’IA à incidence élevée (SIÉ), obligations qui peuvent varier selon qu’il gère ou rend disponible ce système : évaluation des effets négatifs potentiels, la prise de mesures pour évaluer et atténuer les risques, la mise en place d’une surveillance humaine, le signalement d’incidents graves, la publi- cation sur un site web de la description du SIÉ et la tenue de registres pertinents. Les amendements déposés en novembre dernier étendent ces obligations aux systèmes à usage général comme ChatGPT (voir l’encadré ci-dessous).

Ces amendements établissent en outre sept classes d’activités où l’utilisation de l’IA est considérée à incidence élevée :

1. décisions concernant l’emploi (recrutement, embauche, rémunération, etc.) ;

2. décision de fournir ou non un service à un particulier (ex. : prêt, assurance) ;

3. le traitement de données biométriques relativement à :
a) l’identification d’une personne (sauf consentement) ou ;
b) l’évaluation du comportement ou de l’état d’esprit d’une personne physique ;

4. la modération ou la priorisation de contenu sur les plateformes en ligne ;

5. les services de santé ou d’urgence ;

6. la prise de décision par les tribunaux ou les organismes administratifs ;

7. pour assister un agent de la paix dans l’exercice de ses fonctions liées au contrôle d’application de la loi.

D’autres classes pourraient être ajoutées par voie règlementaire et chaque secteur pourra faire l’objet d’une règlementation particulière. En renvoyant le tout à la règlementation, le gouvernement s’octroie un vaste pouvoir quant à la portée de la loi.

De fait, la LIAD met en place un système d’autorégulation. C’est l’organisation elle-même qui évalue si elle opère un SIÉ. Pas de certification ou audit préalables des systèmes d’IA par un tiers indépendant. Tout au plus, le commissaire à l’IA (dont il sera question ci-après) pourra-t-il demander à voir l’évaluation réalisée par l’entreprise et signifier ou non son accord. Il pourrait aussi exiger une vérification s’il a des motifs raisonnables de croire qu’il y a eu contravention à certains articles de la loi. De son côté, le ministre pourrait exiger la mise hors service d’un SIA en cas de préjudice sérieux et imminent.

Le tout n’a rien de rassurant. L’utilisation de l’IA pour les sept finalités de l’annexe n’est pas interdite, mais seulement soumise à quelques obligations, principalement règlementaires. Or chacun de ces secteurs devrait à lui seul faire l’objet d’une légis- lation (et non d’un règlement) fixant notamment des limites et des interdits. Pensons à la biométrie (incluant la reconnaissance faciale) pour laquelle le comité ETHI de la Chambre des communes réclamait en 2022 « Que le gouvernement définisse dans la ou les lois appropriées les utilisations acceptables de la technologie de reconnaissance faciale ou d’autres technologies algorithmiques et interdise les autres utilisations, dont la surveillance de masse9 ».

Par ailleurs, les SIA n’entrant pas dans la catégorie à incidence élevée ou dans la classe système à usage général sont laissés à découvert, ce que de nombreuses organisations ont condamné : « Cela com- porte toutefois un problème du même ordre, l’accent mis actuellement sur les systèmes à incidence élevée étant fondé sur une mauvaise compréhension des conséquences cumulatives et corrélatives potentielles des systèmes à faible incidence qui n’atteindraient probablement pas ce seuil et échapperaient à la règlementation. » (Lettre collective10 signée par la LDL).

Mécanismes non indépendants

Le ministre de l’Industrie (ISDE), rédacteur de la LIAD, serait aussi chargé de sa règlementation, de sa surveillance et de son application. Le ministre pourra aussi désigner un cadre supérieur de son ministère au poste de Commissaire à l’IA. Le conflit d’intérêts est patent. Le ministre chargé de la promotion de l’industrie de l’IA ne saurait agir en toute indépendance dans l’application de la loi ; pas plus que son subordonné, le commissaire à l’IA. Cette faille a été signalée par de nombreux groupes, dont la LDL.

Conclusion

Le projet de loi C-27 a de la suite dans les idées. En multipliant les exceptions au consentement, il facilite la circulation, l’accès, l’utilisation et la communication de renseignements personnels (qu’ils soient nominatifs, dépersonnalisés ou anonymisés). Ce qui ne manquera pas de servir l’industrie de l’IA, toujours avide de données. Ce secteur économique profitera en outre d’un encadrement législatif minimal, supervisé par un ministre gagné à sa cause. Cela dit, évidemment, si C-27 est adopté dans sa forme actuelle…

  1. En ligne : https://futureoflife.org/open-letter/stoppons-les-experimentations-sur-les-ia-une-lettre-ouverte/
  2. Pour accéder aux différents mémoires cités dans ce Voir : https://www.noscommunes.ca/committees/fr/INDU/StudyActivity?studyActivityId=12157763
  3. Loi sur la protection des renseignements personnels et les documents électroniques, C. 2000, ch. 5.
  4. Le mot fondamental a été ajouté par un amendement déposé à l’automne par le ministre. Voir   :   https://www.ourcommons.ca/content/Committee/441/INDU/WebDoc/WD12633023/12633023/MinisterOfInnovationScienceAndIndustry-2023-10-20-f.pdf
  5. En ligne : https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/memoires-presentes-dans-le-cadre-de-consultations/sub_indu_c27_2304/
  6. Témoignage de Mme Brenda McPhail (directrice exécutive par intérim, maitresse de programme de politique publique dans la société numérique, McMaster University, à titre personnel) devant le comité INDU, le 26 octobre 2023. En ligne : https://www.ourcommons.ca/DocumentViewer/fr/44-1/INDU/reunion-92/temoignages
  7. Sauf si violation d’un accord de conformité.
  8. En ligne : https://liguedesdroits.ca/lettre-collective-c-27-reglementation_intelligence_artificielle/
  9. En ligne : https://www.noscommunes.ca/Content/Committee/441/ETHI/Reports/RP11948475/ethirp06/ethirp06-pdf
  10. En ligne : https://liguedesdroits.ca/lettre-collective-c-27-reglementation_intelligence_artificielle/