Passer au contenu principal
IMPORTANT : Pour la sécurité de tous, Fasken exige que toute personne qui se trouve sur place dans ses bureaux canadiens fournisse une preuve de vaccination complète contre la COVID-19. Cela s’applique aux avocats, au personnel, aux clients, aux fournisseurs de services et aux autres visiteurs.
Bulletin

PL64 : Un frein pour l’intelligence artificielle?

Fasken
Temps de lecture 16 minutes
S'inscrire

Aperçu

Bulletin #30 | Série spéciale - Projet de loi n° 64 et la réforme des lois québécoises sur la protection des renseignements personnels

La présente contribution résume nos observations sur le projet de loi 64 et son impact sur l’écosystème de l’intelligence artificielle au Québec. Malgré des pas dans la bonne direction, le projet de loi suscite encore plusieurs préoccupations et, dans sa version actuelle, pourrait ralentir l’innovation et l’essor de l’intelligence artificielle au détriment de la société québécoise. 

Le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, déposé en juin 2020, est actuellement au stade de l’étude détaillée visant à adopter chacun de ses articles un par un. Cette étude a commencé par les dispositions concernant les organismes publics et vient de passer à celles visant les entreprises privées. Les amendements adoptés dans le secteur public donnent déjà de bons indices sur ce qui s’annonce pour la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé »), sans oublier les amendements dans le secteur privé adoptés lors de la dernière journée parlementaire ainsi que ceux divulgués il y a quelques jours. 

Comme nous allons l’expliquer, en l’état actuel, les perspectives sont inquiétantes pour l’écosystème de l’intelligence artificielle au Québec et son bon développement dans les prochaines années. Nous sommes toutefois convaincus qu’il est encore temps de rectifier le tir, et ce, en revisitant les principes, l’application et les conséquences du projet de loi 64.

(Re)penser les principes

L’objet même du projet de loi 64 est indiscutable : il faut moderniser le cadre relatif à la protection des renseignements personnels pour donner plus de contrôle aux individus et responsabiliser davantage les organisations. Cet objectif ne doit jamais être perdu de vue. Il doit aussi reposer sur des principes directeurs, agissant tout à la fois comme phares et balises, pour atteindre la bonne destination. On pense alors immédiatement aux concepts d’harmonisation législative, de proportionnalité des règles et d’équilibre des intérêts. 

Or, en dressant un portrait-robot de ce projet de loi, force est de constater que ces principes – pourtant bien connus – sont remis en question. Premièrement, le projet de loi 64 est plus strict que le Règlement général sur la protection des données (le « RGPD ») de l’Union européenne ou encore que le projet de loi C-11 sur le plan fédéral. Deuxièmement, le projet de loi 64 est souvent absolu dans son application par son manque d’exceptions et de limitations, permettant notamment de considérer la réalité des organisations. Troisièmement, le projet de loi 64 est à sens unique puisqu’il envisage principalement le droit des individus à la vie privée sans reconnaître le besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels. 

Un tel constat n’est pas si nouveau puisqu’il a déjà été dénoncé par de nombreux intervenants dans le cadre des consultations particulières et, plus récemment, par des professionnels dans le domaine de la protection des données et de la vie privée. Nous aimerions ici apporter notre pierre à l’édifice, en illustrant ces propos avec des exemples précis en matière d’intelligence artificielle tout en identifiant les répercussions négatives pour l’ensemble de l’écosystème québécois. 

(Re)situer l’application

Le projet de loi 64 introduit de nouvelles règles d’application qui sembleront évidentes pour certains, anodines pour d’autres, ou encore résolument théoriques. L’exercice qui suit vise à déconstruire ces préjugés et stimuler la réflexion, en ancrant le projet de loi dans une perspective résolument pratique. 

À la lumière de la Loi sur le secteur privé tel qu’amendé par le projet de loi 64, voici donc des exemples concrets qui préoccupent les professionnels dans le domaine de l’intelligence artificielle. Cette liste est organisée par ordre d’article (et non de priorité) et ne prétend pas à l’exhaustivité. 

  • Évaluation des facteurs relatifs à la vie privée (art. 3.3 de la Loi sur le secteur privé, art. 95 du projet de loi). Une telle évaluation devrait être réalisée pour « tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels », tout en étant désormais conditionnée à une analyse de proportionnalité en fonction « de la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support ». Cette disposition, qui a pourtant évoluée dans le bon sens, demeure préoccupante. D’abord, il n’y a aucune raison que ce type d’évaluation soit réservée aux projets technologiques (et incidemment ayant une composante d’IA), ce qui va d’ailleurs à l’encontre du principe de neutralité technologique. Ensuite, une telle disposition suggère que tout professionnel offrant un algorithme utilisant un ou plusieurs renseignements personnels devra systématiquement évaluer le type et le degré de détails afférents à l’évaluation des facteurs relatifs à la vie privée ; le critère de proportionnalité étant hautement subjectif et risquant de créer une certaine confusion. Finalement, l’expérience de conformité RGPD démontre que l’évaluation des facteurs relatifs à la vie privée est loin d’être un exercice sans conséquence : il requiert l’implication de nombreux intervenants, peut prendre plusieurs semaines à compléter, demeure tributaire de nombreuses ressources, et doit donc se limiter aux projets présentant des risques élevés pour les individus.
  • Profilage (art. 8.1 de la Loi sur le secteur privé, art. 99 du projet de loi). Tout professionnel ayant recours à « une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage » d’un individu devra au préalable l’informer « du recours à une telle technologie ; et des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage ». Si l’impératif de transparence est tout à fait souhaitable, celui de systématiquement demander un consentement positif exprès (ou de type « opt-in ») pour activer une fonctionnalité visée n’est pas toujours approprié. D’un côté, certaines fonctionnalités sont inhérentes à un service technologique (une application de livraison doit localiser le client, par exemple) et il apparaît déraisonnable de demander un consentement distinct alors que c’est l’objet même de la relation avec l’utilisateur. De l’autre côté, la définition de profilage est très large en vertu du projet de loi et englobe presque toutes les activités en ligne ; les « intérêts » ou le « comportement » d’un individu recoupant en effet une vaste gamme de choses. Ultimement, similairement à la confidentialité par défaut abordée ci-dessous, les individus risquent de se « fatiguer » de telles actions répétitives, et ce, au détriment de la vie privée ainsi que du commerce et de l’innovation. Il serait plus raisonnable de conditionner une telle exigence aux attentes raisonnables des individus. 
  • Confidentialité par défaut (art. 9.1 de la Loi sur le secteur privé, art. 100 du projet de loi). Ce principe implique qu’un professionnel développant un algorithme avec des paramètres de confidentialité et l’offrant au public devrait nécessairement « s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée ». Une telle disposition apparaît contre-productive puisqu’elle n’incite pas à développer le plus de paramètres de confidentialité possible, et ainsi donner plus de contrôle aux individus, puisqu’ils doivent toujours être activés un par un par les individus. Autrement dit, un algorithme offrant moins de contrôle aux utilisateurs serait plus facilement en conformité avec la loi que celui disposant d’une gamme plus étendue de paramètres de confidentialité. Par ailleurs, compte tenu de la nature et du nombre de paramètres de confidentialité que peut contenir une solution technologique, une telle approche risque de décourager les utilisateurs à se servir de toutes les fonctionnalités d’un service tout en ayant un impact négatif sur la quantité de données obtenue et incidemment l’amélioration de ladite solution technologique. Finalement, et encore une fois, une telle exigence est unique au monde à notre connaissance ; le RGPD adopte à cet égard une approche plus souple en exigeant plutôt de prendre les « mesures appropriées » afin de garantir que, par défaut, seuls les renseignements personnels nécessaires soient traités pour des fins déterminées. 
  • Décision fondée exclusivement sur un traitement automatisé (art. 12.1 de la Loi sur le secteur privé, art. 102 du projet de loi). Dans ce cas de figure, le projet de loi exige d’« informer la personne concernée au plus tard au moment où il l’informe de cette décision » en fournissant sur demande « les renseignements personnels utilisés pour rendre la décision ; les raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision ; le droit de faire rectifier les renseignements personnels utilisés pour rendre la décision ». La notion de « décision » est large en ce sens que tout algorithme utilisant des renseignements personnels pour fournir un indice ou un résultat est susceptible d’être assujetti à ce régime, sans égard aux conséquences de cette « décision » pour l’individu. Par exemple, tout système d’assistance vocale (reposant sur l’interprétation et l’exécution d’une commande audio d’un individu) ou de correction automatique (fondé sur les actions passées d’un individu) seraient des « décisions » devant donc respecter les exigences sus-décrites, et ce pour toute et chacune des « décisions » prises, ce qui est tout simplement irréaliste. Une telle interprétation est d’autant plus alarmante que ce type de décisions est amené à devenir la norme avec l’essor de l’intelligence artificielle. Cette réalité a été bien comprise par le législateur européen puisque le RGPD s’intéresse plutôt aux décisions fondées exclusivement sur un traitement automatisé produisant « des effets juridiques pour l’individu ou l’affectent de manière significative de façon similaire ». Une approche similaire devrait être adoptée au Québec puisqu’elle permet de protéger les individus tout en évitant un fardeau excessif pour tout projet impliquant un traitement automatisé – qui vont devenir de plus en plus fréquents avec le développement de l’intelligence artificielle.
  • Transfert transfrontalier de données (art. 17 de la Loi sur le secteur privé, art. 103 du projet de loi). Tout transfert de renseignement personnel à l’extérieur du Québec devrait reposer sur une évaluation des facteurs relatifs à la vie privée tenant compte de plusieurs facteurs (dont « les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait ; [et] le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables ») et démontrant « que le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus ». S’il convient de saluer le changement de cap découlant des amendements adoptés dans le secteur public (notamment le retrait de la notion d’« équivalence »), ces exigences vont complexifier la gestion de données – inhérentes à tout projet d’intelligence artificielle – tout en suscitant une certaine confusion pour les professionnels du milieu. D’une part, le Québec serait l’une des seules juridictions au monde à imposer une évaluation des facteurs relatifs à la vie privée pour tout transfert extra-provincial de renseignements personnels au lieu de se limiter à des mesures de protection (y compris contractuelles). Cette exigence est loin d’être anodine, comme nous l’avons amplement expliqué ci-dessus. D’autre part, il faudrait que l’évaluation démontre que les renseignements personnels bénéficient d’une protection « adéquate », et ce, « au regard des principes de protection des renseignements personnels généralement reconnus ». Cette dernière expression est nouvelle, aucunement définie et demeure donc incertaine pour le développement de projets pancanadiens et internationaux dans le domaine de l’intelligence artificielle. 

(Re)évaluer les conséquences 

Le projet de loi 64 ne sera donc pas sans conséquence pour les individus et les organisations œuvrant dans le domaine de l’intelligence artificielle. En effet, le développement, l’implantation et la distribution publique de projets reposant sur l’intelligence artificielle – nécessitant par essence une quantité suffisante de données – vont devenir plus coûteux, plus longs, plus complexes au Québec pour les raisons décrites ci-dessus, sans parler de l’incertitude liée aux nouvelles règles d’application du projet de loi 64 (notamment en matière de transfert de données). Ceci va entraîner une perte de compétitivité des entreprises québécoises, ainsi qu’une perte d’attractivité du Québec pour les organisations étrangères, et ce, au détriment de la société québécoise dans son ensemble. 

Une telle situation peut encore être évitée en recentrant le projet de loi 64 au même niveau que le RGPD (largement perçue comme une des législations les plus avant-gardistes en matière de vie privée) tout en se focalisant sur les attentes des individus et les situations présentant des risques élevés, par opposition à des obligations trop absolues et parfois ambiguës. 

Nous espérons que cette contribution mènera à la proposition de nouveaux amendements et apportera un éclairage utile lors de l’étude détaillée du projet de loi 64 dans le secteur privé – qui devrait débuter sous peu. La situation est urgente puisque certains amendements (soit ceux portant sur les évaluations des facteurs relatifs à la vie privée et le profilage) viennent d’être adoptés, et ce, malgré les conséquences négatives et majeures qui vont en découler pour l’ensemble de l’écosystème de l’intelligence artificielle au Québec. Il faut agir vite. 

 

CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation.  

LISTE DE DISTRIBUTION Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution.

 

Auteurs

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire