Nous savons que pour former et utiliser l’IA, il faut recueillir, divulguer et traiter des données, y compris des renseignements personnels. Au Canada et dans la plupart des autres pays, la collecte, l’utilisation et la divulgation de renseignements personnels sont réglementées dans une certaine mesure. Le développement ou l’utilisation de l’IA peut poser divers problèmes liés à la protection de la vie privée, lesquels doivent être réglés de manière à protéger les organisations contre les risques de non-conformité, mais aussi la vie privée des personnes dont les renseignements sont traités à ces fins. L’utilisation de renseignements personnels par l’IA peut également revêtir une dimension éthique dans certains cas.
Le simple fait que le Canada n’ait pas encore adopté de loi spécifique à l’IA ne signifie pas qu’il n’existe pas de lois canadiennes qui protègent l’utilisation des renseignements personnels par l’IA. La Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») et ses équivalents provinciaux essentiellement similaires régissent la collecte, l’utilisation et la divulgation des renseignements personnels dans le cadre des « activités commerciales ». Le Québec a adopté un régime qui, à bien des égards, s’apparente davantage au Règlement général sur la protection des données de l’Union européenne, notamment en ce qui concerne les pouvoirs d’application et le caractère contraignant des obligations.
Les provinces ont également adopté des lois sur l’accès à l’information et la protection de la vie privée dans le secteur public, ainsi que des lois spécifiques à la santé. Plusieurs de ces instruments législatifs abordent les thèmes suivants : veiller à ce que les organisations soient responsables et transparentes ; obtenir le consentement des personnes lorsqu’il y a lieu de le faire ; limiter la collecte, l’utilisation, la divulgation et la conservation des données ; et mettre en place des mesures de protection.
La demande de lois spécifiques à l’IA s’est manifestée parallèlement à l’innovation des technologies d’IA émergentes. Cela s’explique principalement par le fait que, bien que les nouveaux outils d’IA puissent être utiles, ils comportent également des risques pour le droit à la vie privée des personnes en cas de collecte de données sans consentement, d’entrées de données biaisées pouvant entraîner des résultats discriminatoires, et d’utilisation ou de mauvais usage intentionnel par des acteurs malintentionnés. Par exemple, les outils d’IA peuvent être manipulés par l’empoisonnement d’ensembles de données et être utilisés pour lancer des cyberattaques, notamment au moyen d’un logiciel malveillant ou par hameçonnage.
L’équipe de la protection de la vie privée et la cybersécurité de Miller Thomson surveille les développements dans ce domaine et continue d’aider ses clients à trouver le juste équilibre entre l’évolution des nouvelles technologies d’IA et le respect de la législation – existante et nouvelle – en matière de protection de la vie privée et des données et de la législation spécifique à l’IA.
