Les défis à relever dans le cadre d’une réforme législative des lois en matière de vie privée

This content is not available in the selected language.

Complément de la capsule 01 de série Justice + IA. Invitée : Me Éloïse Gratton, LL.D., Ad. E / Associée et Co-chef national, Respect de la vie privée et protection des renseignements personnels, BLG

1. La définition de renseignement personnel

Le premier défi est que nos lois s’appliquent à toute collecte, utilisation ou partage de « renseignement personnel ». Cette notion de renseignement personnel (ci-après RP) est définie de façon très large, soit comme tout renseignement qui concerne une personne identifiable. Cette définition peut poser certains problèmes lorsqu’elle est appliquée dans un contexte de recherche, d’analyse ou de développement de l’IA.

  • Souvent, les RP qui sont collectés ne sont pas vraiment sensibles. Quand on parle de renseignements comme le nombre de minutes qu’on consulte un certain site web, ce n’est pas quelque chose qu’on considère comme un renseignement particulièrement intime. Ce sont plutôt et souvent les inférences qui sont tirées à partir de ces renseignements et la manière dont ces inférences sont faites qui peuvent susciter des inquiétudes.
  • L’IA a cette capacité justement à tirer des inférences sur des individus ou sur des groupes à partir de l’analyse des données.  Il est parfois très difficile d’anticiper les inférences qui seront produites par les algorithmes d’apprentissage automatique; ainsi on connait l’intrant (les données), mais on connait rarement l’extrant.
  • Il y a donc un problème si ces inférences ne sont pas couvertes par nos lois en matière de vie privée puisque justement, elles ne se rapportent pas à une personne en particulier, mais plutôt à plusieurs personnes qui partagent des caractéristiques communes. Un des premiers exemple frappant touchant à la publicité ciblée est celui de la chaîne de magasin Target qui, en analysant l’historique d’achat d’une consommatrice, était parvenue à prédire que celle-ci était enceinte. Target lui a donc envoyé des publicités personnalisées pour femme enceinte… à la surprise du père de la jeune femme en question qui a appris que sa fille était enceinte en ouvrant sa boite courriel!
  • Certains RP peuvent révéler des informations et des tendances concernant des groupes d’individus. Des décisions peuvent être prises sur la base d’attributs de groupe comme le sexe, l’orientation sexuelle, les préférences politiques. Il est donc possible que des données puissent nuire aux membres de ces groupes, par exemple en étant utilisées de manière discriminatoire, même involontairement, lorsque ces données sont traitées par l’IA. Aux États-Unis, un phénomène qui a été largement documenté est celui du “Redlining” qui consiste à refuser ou limiter l’accès à des prêts aux populations situées dans certaines zones géographiques déterminées sur la base de leur code postal. Ainsi, il faut demeurer vigilant lorsqu’on confie à l’IA la charge de faire des recommandations ou prendre des décisions sur la base de l’analyse de données, puisque l’IA peut perpétuer ces mêmes discriminations.
  • C’est donc un élément à considérer dans le cadre de la réforme de nos lois en matière de vie privée – on doit s’assurer de couvrir les renseignements qui sont des inférences sur des individus ou sur des groupes d’individus surtout si ces renseignements seront utilisés d’une façon qui pourrait avoir un impact sur des individus.

2.  L’exception en matière de consentement

Nos lois en matière de protection des RP sont basées principalement sur le modèle du consentement – donc une organisation qui souhaite recueillir, utiliser ou partager des RP doit en principe obtenir le consentement préalable de l’individu.

  • On réalise que de nos jours, ce modèle de consentement souffre de nombreuses limites, en particulier dans le contexte du développement d’algorithmes d’apprentissage automatique qui nécessitent de grandes quantités de données d’entraînement.  Ces données peuvent être des RP obtenus directement d’individus, des données qui sont publiquement accessibles, des données obtenues de tierces parties ou encore d’organismes publiques.
  • Dans certains cas, une organisation peut avoir collecter des RP avec le consentement des individus, mais être empêchée de réutiliser ces renseignements à des fins de recherche (par exemple pour l’entraînement et le développement d’algorithmes). La loi exige que l’organisation obtienne un consentement supplémentaire si les fins de recherches n’avaient pas été prévues au moment de collecter les renseignements.
  • Dans certaines circonstances, par exemple lorsque des données sont recueillies auprès d’un grand nombre d’individus ou auprès de sources de données disparates, il n’est pas toujours réaliste ni souhaitable de demander le consentement des individus. Une approche plus équilibrée et plus souple qui tienne compte à la fois des avantages et des risques de la recherche en IA pourrait être considérée. Par exemple, nos lois pourraient inclure des exceptions à l’exigence d’obtenir un consentement si l’organisation souhaite utiliser les RP à des fins de « recherche et de développement » ou encore à des « fins socialement bénéfiques ». 
  • Une chose que l’on doit souligner est que lorsque les renseignements sont « anonymisés », soit lorsqu’ils ne permettent plus d’identifier directement ou indirectement un individu, ils ne seront plus considérés comme des « renseignements personnels » au sens des lois applicables. Dans ce cas, les organisations ont beaucoup plus de flexibilité : on n’a pas de consentement à obtenir et on a aussi moins d’obligations et de comptes à rendre. Le hic avec l’anonymisation, c’est qu’en retirant les identifiants directs et indirects des renseignements, on diminue leur valeur pour des fins d’entrainement d’algorithmes. Il est très important que les algorithmes d’apprentissages automatiques aient des données représentatives de la réalité. Or, avec des données anonymisées il y a un risque de perdre en représentativité.
  • Lorsque l’on utilise des RP à des fins de recherche, notamment en matière d’IA, on a rarement besoin de connaitre l’identité de l’individu. Dans ces cas, il est possible de travailler avec des renseignements dépersonalisés (également appelées « pseudonymisés ») ce qui signifie que les identifiants directs ont été supprimés – peut-être qu’un nom ou une adresse courriel est remplacé par un code numérique. Les renseignements dépersonnalisés présentent moins de risques pour la vie privée d’une personne, parce qu’ils peuvent plus difficilement être associés à un individu identifiable.
  • Nos lois devraient offrir davantage de flexibilité aux organisations lorsqu’elles utilisent des renseignements dépersonnalisés à des fins de recherche. Cela permettrait de soutenir le développement d’une IA responsable et éthique en améliorant l’accès à des ensembles de données nécessaires pour entraîner les algorithmes – surtout si ces activités sont liées au développement d’outils qui visent à promouvoir le développement de la science, de la connaissance et du bien commun.
  • Ceci étant dit, plusieurs s’inquiètent du fait que les RP, même dépersonnalisés peuvent potentiellement être ré-identifiés puisque des outils de plus en plus sophistiqués sont aujourd’hui disponibles. Plusieurs études ont démontré qu’il était possible de ré-identifier des renseignements dépersonnalisés en effectuant des croisements avec des renseignements publiquement disponibles faisant en sorte qu’il est souvent possible de ré-identifier un individu.
  • Si l’on veut favoriser la recherche, il faut s’assurer que l’utilisation de renseignements dépersonnalisés à des fins de recherche soit encadrée :
    • Cela pourrait comprendre l’obligation de faire une réévaluation périodique des techniques de dépersonnalisation utilisées pour s’assurer qu’au fil du temps, les mesures appliquées sont toujours suffisantes pour garantir que les renseignements répondent aux standards et aux meilleures pratiques en matière d’anonymisation.
    • Cela pourrait aussi impliquer – lorsque des renseignements dépersonnalisés sont partagées avec des organisations tierces ou des institutions publiques – de conclure une entente avec lesquelles les renseignements sont partagés, laquelle viendrait par exemple interdire la ré-identification des renseignements dépersonnalisés et même prévoir des sanctions pécuniaires importantes en cas de violation de cette interdiction.

3. La détermination des finalités et limitation de la collecte

Deux principes phares de nos lois en matière de vie privée sont particulièrement difficiles à concilier dans un contexte d’utilisation d’IA.

  • Premièrement, en vertu du principe de finalité, les organisations doivent identifier au préalable les objectifs spécifiques pour lesquels des RP sont collectés, utilisés ou partagés. Comme elles doivent obtenir un consentement éclairé de la part des individus, elles doivent être transparentes quant à l’utilisation qu’elles feront de leurs RP.
  • Deuxièmement, selon le principe de limitation de la collecte, les organisations doivent s’assurer de ne collecter que les RP qui sont « nécessaires » pour atteindre ces objectifs prédéterminés.
  • Or, dans le cadre du développement de systèmes l’IA, c’est souvent difficile ou même impossible de savoir à l’avance quel type de RP seront « nécessaires » pour entraîner un modèle d’apprentissage automatique, car la valeur inhérente du modèle provient de sa capacité à établir de nouvelles corrélations que nous les humains nous ne pouvons pas prédire ou identifier à l’avance. Il est donc très difficile de fournir aux individus toutes les informations pour qu’ils puissent donner un consentement « éclairé » au moment de la collecte lorsqu’on ne sait pas encore quelles seront les utilisations projetées au terme de l’entraînement de l’algorithme.
  • Pour favoriser le développement de l’IA, la législation devrait permettre plus de souplesse dans l’application du principe de finalité. Par exemple, nos lois devraient accorder une plus grande marge de manœuvre en vue du traitement subséquent des RP lorsque la nouvelle fin visée est « compatible » avec la finalité établie à la base. Si, dans le cadre de l’entraînement d’un algorithme, une nouvelle finalité émerge et que celle-ci est compatible avec la fin pour laquelle les renseignements personnels ont initialement été recueillis, l’obligation d’obtenir à nouveau le consentement devrait être levée. Également, des renseignements recueillis pour une fin spécifique, par exemple dans le cadre de la prestation d’un service, devraient pouvoir être utilisés par cette organisation pour entraîner les algorithmes qu’elle développe et ainsi améliorer ses services.
  • La compatibilité pourrait être évaluée en tenant compte de facteurs tels que la sensibilité des données, les conséquences potentielles de cette utilisation secondaire et l’existence de certaines garanties. Il est intéressant de constater que le RGPD en Europe crée une présomption de compatibilité lorsque l’utilisation secondaire des RP est à des fins de recherche scientifique ou à des fins statistiques. Dans une étude récente commandée par le Parlement européen sur le thème de l’IA et son adéquation avec le RGPD, de telles mesures ont été jugées suffisamment souples pour permettre aux entreprises de réutiliser des RP pour procéder au développement et à l’entrainement des algorithmes d’IA.

4. La prise de décision automatisée

Une autre inquiétude liée à l’IA est que l’on se retrouve avec des systèmes qui seront utilisés afin de prendre des décisions pouvant avoir un impact significatif sur la vie d’un individu, et ce, sans que ce dernier ne soit en mesure de comprendre quels renseignements ont été utilisés pour prendre la décision et quelles sont les raisons qui justifient la décision.

  • Dans certains cas, on pourrait avoir de la difficulté à expliquer comment on en est arrivés à une décision. Par exemple, des algorithmes sont de plus en plus utilisés dans le domaine bancaire pour déterminer si une personne est admissible à un prêt.
  • On retrouve également aux États-Unis différents algorithmes qui font des recommandations aux juges quant à la peine à imposer à une personne reconnue coupable.
  • Plusieurs études ont d’ailleurs démontré le caractère discriminatoire de ces décisions (ou recommandations) algorithmiques.

Nos lois en matière de PRP devraient au minimum prévoir un droit d’obtenir une explication valable lorsqu’un individu fait l’objet d’une décision automatisée qui est basée sur ses RP. Qu’est-ce qu’une « explication valable » dans le contexte d’une décision algorithmique? Il y a beaucoup de recherche qui se fait à ce sujet dans le domaine qu’on appelle “Explainable AI”. On peut penser qu’une explication doit au minimum permettre aux individus de comprendre quels renseignements ont été utilisés pour prendre la décision, quels sont les paramètres pris en compte par l’algorithme pour arriver à la décision et quels sont les effets de la décision pour l’individu.

Ce droit est surtout important lorsque des décisions peuvent avoir un impact important sur la vie de l’individu :

  • On peut penser à une décision d’offrir ou non un produit ou un service, une assurance, un prêt bancaire;
  • On peut aussi penser à une décision qui détermine si l’individu recevra un certain soin en matière de santé, s’il est éligible à recevoir certains avantages sociaux, si on accepte de lui louer un logement, de lui offrir un emploi ou une promotion. 
  • Un droit d’obtenir des explications aiderait les individus à comprendre les décisions qui les concernent, ce qui leur permettrait d’exercer d’autres droits garantis par nos lois en protection des RP comme le droit à la contestation, le droit d’accès aux RP, le droit de corriger des renseignements personnels erronés, le droit de retirer son consentement.
  • Le droit de recevoir une explication d’une décision automatisée protège également les droits de la personne, comme le droit de ne pas être soumis à des décisions discriminatoires.

Pour être réellement efficace, le droit à l’explication des décisions prises au moyen d’un processus décisionnel automatisé devrait toutefois s’accompagner d’un droit à la contestation de ces décisions. La contestation d’une décision automatisée pourrait par exemple impliquer de faire réviser la décision par un décideur humain. Les organisations qui utilisent des systèmes de prise de décision automatisée devraient également prévoir un mécanisme d’audit afin de s’assurer de l’absence de biais dans les décisions. Le droit à la contestation est donc un complément utile au droit à une explication, et pris ensemble, ces deux droits permettraient de réduire les risques de discrimination algorithmique lorsqu’on utilise l’IA dans un contexte décisionnel.

5. L’interopérabilité des lois

Certains projets de lois récemment proposés (on pense ici au projet de loi C-11 au Fédéral et au Projet de loi n° 64 au Québec), promettent de remodeler l’avenir de l’économie numérique du Canada et, plus précisément, le développement de technologies novatrices au Canada, y compris celles qui utilisent l’IA.

Un dernier enjeu avec ces réformes législatives est la question de l’interopérabilité des lois. L’interopérabilité se situe à deux niveaux. D’abord, comme on a plusieurs lois qui s’appliquent au Canada en matière de PRP – c’est-à-dire au niveau provincial et au niveau fédéral – il est important d’avoir un certain niveau d’harmonisation entre les lois des provinces et la loi fédérale afin de faciliter les échanges interprovinciaux.

Ensuite, il importe que l’approche des lois canadiennes en matière de protection des renseignements personnels soit cohérente avec celle des lois adoptées par les partenaires commerciaux clés du Canada, comme les États Unis et l’Union européenne. L’interopérabilité est doublement bénéfique : elle facilite et encadre les échanges transfrontaliers de RP de façon cohérente et elle est profitable pour les organisations en réduisant les ressources qu’elles doivent consacrer pour se conformer aux lois.

This content has been updated on 7 July 2021 at 11 h 51 min.

Comments

Comment