Écrit par Stephen Burns, Sébastien Gittens et David Wainer

Le Commissariat à l’information et à la protection de la vie privée de l’Alberta (le « Commissariat ») a récemment publié un rapport (le « Rapport ») résumant les recommandations du Commissariat concernant un cadre pour réglementer l’utilisation de l’intelligence artificielle (IA) en Alberta. Bien que ces recommandations ne soient pas encore adoptées, les organisations devraient tenir compte de leur impact potentiel.

Le rapport note que les lois sur l’IA « font généralement partie des cadres législatifs traitant de stratégies numériques plus larges ». Par conséquent, le rapport aborde largement trois aspects d’un cadre potentiel d’IA en Alberta : (i) une loi autonome sur l’IA; (ii) la modernisation de la législation actuelle sur la protection des renseignements personnels en Alberta; et (iii) veiller à ce que les deux premiers points complètent les stratégies numériques plus larges. Ce blogue discutera de chacun des éléments qui précèdent.

Fait en Alberta Loi sur l’IA

Le CIPVP recommande que la législation actuelle sur la protection de la vie privée en Alberta « soit complétée par une loi autonome sur l’IA » et qu’une « loi sur l’IA ait une portée élargie [...] ». Le CIPVP recommande que toute loi autonome sur l’IA en Alberta s’harmonise largement avec d’autres règlements existants sur l’IA, comme la loi sur l’intelligence artificielle de l’UE et la loi proposée sur l’intelligence artificielle et les données. Par exemple, le CIPVP note que certaines utilisations de l’IA sont interdites dans la loi sur l’intelligence artificielle de l’UE et se demande si ces restrictions devraient être incluses dans la législation spécifique à l’IA en Alberta.

L’une des principales recommandations formulées par le CIPVP à l’égard d’une loi autonome sur l’IA en Alberta est qu’elle inclue les principes de protection de la vie privée dès la conception et stipule expressément que les formes d’information les moins invasives sont utilisées pour entraîner l’IA dans la mesure du possible. Le CIPVP note que ces formes d’information, par ordre de préférence du CIPVP, sont : (i) des renseignements anonymisés ou des données synthétiques; (ii) les renseignements anonymisés; (iii) les renseignements pseudonymisés; et (iv) les renseignements personnels.

Le CIPVP recommande également que cette législation : (i) « prévoie des recours et une surveillance par divers organismes de réglementation » lorsque les droits fondamentaux des personnes ou des groupes (par exemple en raison de préjugés) peuvent être touchés par l’utilisation de l’IA; et (ii) délimite clairement la responsabilité de la sécurité de l’information sur l’IA entre les développeurs du système d’IA et l’entité qui le déploie.

Modernisation de la législation actuelle sur la protection des renseignements personnels en Alberta

Dans le cadre de l’examen du Comité permanent de la gestion des ressources de l’Alberta, le CIPVP a recommandé que des droits à la vie privée supplémentaires soient encodés dans la Personal Information Protection Act (PIPA) de l’Alberta en mars 2024. Pour un examen des considérations non liées à l’IA mises de l’avant par le CIPVP à l’époque, veuillez consulter notre aperçu du sujet.

En ce qui concerne l’IA, le CIPVP a recommandé que le gouvernement de l’Alberta envisage : (i) d’énumérer expressément les fins autorisées pour la collecte, l’utilisation et la communication de renseignements personnels pour l’IA dans PIPA; et (ii) de codifier certains droits pour assurer un fonctionnement équitable et respectueux de la vie privée des systèmes d’IA.

Soulignant les préoccupations concernant l’utilisation de la prise de décision automatisée dans le secteur privé, le CIPVP a expressément recommandé que la PIPA soit modifiée pour :

1. permettre aux personnes de contester la prise de décision automatisée et d’être avisées (en langage simple) de l’utilisation de celles-ci (avant que la décision ne soit prise);
2. rendre publiques (en langage simple) des politiques et des procédures décrivant l’utilisation par une organisation de systèmes décisionnels automatisés, les droits à la vie privée d’une personne et la façon dont une personne peut exercer ces droits;
3. aviser les personnes de la prise de décisions automatisées avant ou au moment où les renseignements personnels à utiliser sont recueillis auprès de la personne et, si les renseignements personnels ont été recueillis indirectement, une divulgation de l’endroit où ces renseignements personnels ont été obtenus et en vertu de quelle autorité;
4. informer la personne des renseignements personnels utilisés pour prendre une décision, ainsi que des raisons et des critères qui ont mené à cette décision;
5. établir un processus permettant à une personne d’examiner l’exactitude des renseignements personnels, de contester l’utilisation de la prise de décision automatisée pour prendre une décision et de demander un réexamen par une personne après que la décision a été prise;
6. si une organisation utilise un système automatisé qui peut causer un préjudice ou une injustice à une personne ou à un groupe, déclarer les statistiques qui y sont associées (sous la forme déterminée par le CIPVP ou le règlement), évaluer régulièrement les extrants pour atténuer ces effets, soumettre une évaluation des facteurs relatifs à la vie privée ou une évaluation des facteurs algorithmiques au CIPVP pour examen avant d’utiliser le système; et permettre au CIPVP d’établir comment les évaluations d’impact algorithmiques doivent être menées; et
7. si une organisation prévoit utiliser un système automatisé qui peut causer un préjudice ou une injustice à une personne ou à un groupe, autoriser le Commissariat à vérifier l’utilisation de celui-ci, à examiner et à commenter les évaluations soumises par une organisation, et à ordonner à une organisation de cesser d’utiliser un système si le système peut être : ou cause du tort à une personne ou à un groupe.

Le rapport : (i) réitère certaines des exigences proposées par le CIPVP à la législation sur la protection de la vie privée régissant les organismes du secteur public qui ont été soumises au ministère de la Technologie et de l’Innovation en mars 2024; et (ii) note que « si des modifications à [la Loi sur les renseignements médicaux] sont apportées et que l’IA est abordée, elle devrait suivre les mêmes recommandations de haut niveau que celles prévues dans la PIPA et [la législation sur la protection des renseignements personnels dans le secteur public] [...] ». Le CIPVP a publié des lignes directrices pour fournir des renseignements et des pratiques recommandées concernant l’adoption de l’IA pour préserver la vie privée dans certaines circonstances pour les dépositaires de renseignements sur la santé.

Stratégie numérique de l’Alberta

Le rapport indique clairement qu’une loi autonome sur l’IA et des modifications à la législation existante sur la protection de la vie privée doivent être apportées en même temps que la stratégie numérique proposée actuellement par le ministère de la Technologie et de l’Innovation de l’Alberta (la « stratégie numérique »). Une fois la stratégie numérique finalisée, nous prévoyons qu’elle guidera l’Alberta dans une transformation visant à moderniser les équipes techniques qui « soutiennent les applications ou les services, les processus de prestation de services numériques et l’approche globale [de l’Alberta] en matière de technologie et d’innovation ».

Recommandations

Le rapport énumère certaines mesures que les organisations peuvent actuellement prendre pour atténuer les effets négatifs potentiels de l’utilisation de l’IA pour traiter des renseignements personnels. Il s’agit, par exemple : (i) de limiter les utilisations à haut risque de l’IA (car ce terme serait « dérivé de la Loi sur l’IA de l’UE ») et, lors de ces utilisations, de les rendre transparentes; et (ii) la surveillance des atteintes, des préjugés, de la discrimination et d’autres préjudices. Le CIPVP note toutefois qu’il s’agit de mesures provisoires qu’une organisation peut faire le pont entre une éventuelle législation liée à l’IA.

En conclusion

Le rapport traite d’un cadre législatif général pour réglementer l’IA en Alberta, y compris la mise en œuvre d’une loi autonome sur l’IA et des modifications à la législation, chacune d’entre elles devant être réalisée en harmonie avec la stratégie numérique du gouvernement de l’Alberta. Bien que ce cadre proposé n’ait pas encore été mis en œuvre, le rapport démontre que le CIPVP surveille activement les risques d’atteinte à la vie privée liés à l’utilisation de l’IA.

Bien que le rapport formule d’autres recommandations qui s’appliquent aux organismes publics ou à ceux qui recueillent, utilisent ou divulguent des renseignements sur la santé, les organisations du secteur privé sont encouragées à faire le point sur la façon dont elles utilisent ou prévoient utiliser l’IA dans leurs activités et à prendre des mesures proactives pour : (i) atténuer les effets négatifs potentiels découlant d’une telle utilisation; et (ii) s’assurer que la conformité à la réglementation future n’est pas perturbatrice au moment de l’entrée en vigueur de cette réglementation. la force.

Si vous avez des questions sur la façon dont votre organisation peut utiliser et mettre en œuvre l’IA, nous vous invitons à contacter l’un des auteurs de cet article.