À l’ère post-projet de loi C-27 : où en sommes-nous sur l’encadrement de l’IA?
Par Soleïca Monnier, avocate, Fasken et Katherine Bergeron, Avocate
Ce texte n’a pas été réalisé par l’IA, mais par de réels homo sapiens.
Depuis le lancement de ChatGPT en 2022, l’intelligence artificielle (« IA ») a connu une croissance exceptionnelle. Cet engouement a poussé plusieurs autorités à vouloir encadrer son utilisation. Pour répondre aux préoccupations croissantes en lien avec l’utilisation de l’IA par les organisations, le gouvernement Trudeau a déposé, la même année, le projet de loi C-27[1]. Ce dernier visait à moderniser certaines lois fédérales sur la protection des renseignements personnels dans le secteur privé, y compris l’introduction de la Loi sur l’intelligence artificielle et les données et de la Loi sur la protection de la vie privée du consommateur. Toutefois, le 6 janvier 2025, le gouvernement fédéral a annoncé la prorogation du Parlement, mettant ainsi un terme au projet de loi C-27 et il est encore trop tôt pour déterminer si le nouveau gouvernement élu le 28 avril 2025 se penchera sur une nouvelle mouture de C-27.
Existe-t-il un vide juridique en matière de conception, de commercialisation et d’utilisation de l’IA? Certainement pas. Cet article vous propose un tour d’horizon des lois sur la protection des renseignements personnels et des textes non contraignants (p. ex. lignes directrices, principes) portant sur l’IA, pouvant s’appliquer aux entreprises faisant affaire au Canada.
Points-clés à retenir
- Bien que le projet de loi C-27 soit mort au feuilleton, les entreprises faisant affaire au Canada disposent tout de même d’outils pour encadrer leur utilisation de l’IA, notamment les lois sur la protection des renseignements personnels comme la LPRPSP (Québec) et la LPRPDE (fédéral) et les Principes pour des technologies d’IA générative responsables, dignes de confiance et respectueuses de la vie privée.
- Cet article vous offre une revue des textes applicables, par territoire et selon le caractère contraignant ou non du texte identifié. Les perspectives américaine et européenne sont également présentées, de même que sectorielle.
Canada
Fédéral
| Législation | La Loi sur la protection des renseignements personnels et les documents électroniques[1] ( « LPRPDE ») La LPRPDE, qui s’applique au secteur privé, encadre la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales, ou ceux d’employés ou candidats à un emploi d’une entreprise de compétence fédérale comme une banque, une ligne aérienne et d’autres entreprises de transport interprovincial ou international, de même que les entreprises de télécommunication, ou celles exerçant des activités de forage en mer; un radiodiffuseur et un télédiffuseur. Bien que la LPRPDE ne vise pas précisément l’IA, elle est pertinente dès que des renseignements personnels[2] sont traités dans un système d’IA, notamment à des fins d’entraînement des systèmes. Or, l’expression renseignements personnels inclut également les renseignements accessibles publiquement et ceux dépersonnalisés, c’est-à-dire les renseignements qui permettent, indirectement (par exemple, par combinaison avec d’autres) d’identifier une personne, ce qui élargit considérablement les cas d’application en matière d’IA. |
| Politiques, directives et cadres administratifs | Principes pour des technologies de l’intelligence artificielle (IA) générative responsables, dignes de confiance et respectueuses de la vie privée[3] Le 7 décembre 2023, le Commissariat à la protection de la vie privée du Canada (le « CPVPC »), avec ses homologues provinciaux et territoriaux, ont publié 10 principes clés relatifs à la protection de la vie privée applicables au développement, à l’offre et à l’utilisation de systèmes d’IA générative[4], auxquels les organisations peuvent adhérer sur une base volontaire. L’application de ces principes varie selon le rôle de l’organisation concernée, qu’il s’agisse d’un développeur, d’un fournisseur ou d’une organisation utilisant l’IA générative. Ces principes reposent sur les concepts de nécessité, de transparence et d’exactitude, déjà prévus dans les lois sur la protection des renseignements personnels. Mais les principes vont plus loin. Par exemple, le document mentionne que les organisations devraient accorder une considération spéciale à l’incidence du recours à l’IA sur les groupes vulnérables. En outre, les principes identifient plusieurs zones interdites potentielles liées à l’IA générative en raison des risques importants en matière d’atteinte à la vie privée. Parmi celles-ci figurent la création de contenu à des fins malveillantes pour contourner un système d’authentification, de même que la production et publication de renseignements faux et diffamatoires sur une personne. L’adoption de ces principes non-contraignants est une occasion pour les entreprises d’utiliser l’IA d’une manière plus éthique et responsable. |
Québec
| Législation | La Loi sur la protection des renseignements personnels dans le secteur privé[1] (« LPRPSP ») La LPRPSPs’applique aux organisations qui exploitent une entreprise sur le territoire québécois. Il s’agit de la loi la plus stricte au Canada. Similairement à la LPRPDE, la LPRPSP trouve application dès qu’un système d’IA traite des renseignements personnels. Par ailleurs, la LPRPSP intègre déjà une obligation formulée en termes généraux qui pourrait s’appliquer en matière d’IA. Elle impose d’informer les utilisateurs concernés de toute décision entièrement automatisée[2] qui repose en partie sur l’utilisation de renseignements personnels et de leur donner l’occasion d’émettre des observations[3]. Or, l’automatisation de tâches ou de décisions est un cas d’application type de l’IA. Cela dit, cette disposition comporte certaines limites. Notamment, la personne concernée doit elle-même faire une demande pour obtenir des renseignements supplémentaires et elle ne s’applique pas aux décisions qui ne sont pas entièrement automatisées, ce qui réduit sa portée en pratique. |
| Politiques, directives et cadres administratifs | La Déclaration de Montréal pour un développement responsable de l’intelligence artificielle[4](« Déclaration de Montréal ») Publiée en 2018, la Déclaration de Montréal établit, entre autres, un cadre éthique pour le développement et le déploiement de l’IA, ainsi que pour l’orientation de la transition numérique. Elle s’adresse à toute personne ou organisation souhaitant contribuer au développement de l’IA de manière responsable. La Déclaration de Montréal repose sur des principes et des valeurs éthiques, comme la protection de la vie privée et l’intimité contre de l’intrusion de systèmes d’IA et de systèmes d’acquisition et d’archivage des renseignements personnels. Elle n’est pas contraignante. |
Alberta
| Législation | Personal Information Protection Act[1] (« PIPA de l’Alberta ») La PIPA de l’Albertas’applique aux organisations ayant des activités sur le territoire albertain et encadre la collecte, l’utilisation et la communication de renseignements personnels. Bien que la PIPA ne vise pas précisément l’IA, cette loi est pertinente dès que des renseignements personnels sont traités dans un système d’IA. Par exemple, l’organisation qui utilise les renseignements personnels d’une personne physique dans son système d’IA devra s’assurer d’obtenir son consentement pour les utiliser[2]. |
Colombie-Britannique
| Législation | Personal Information Protection Act[1] (« PIPA de la C.-B. ») La PIPA de la C.-B. s’applique aux organisations ayant des activités sur le territoire de la Colombie-Britannique et encadre la collecte, l’utilisation et la communication de renseignements personnels. Bien que la PIPA ne vise pas expressément les systèmes d’IA, elle demeure applicable dès que des renseignements personnels y sont traités. Par exemple, une organisation qui utilise de tels renseignements dans son système d’IA doit veiller au respect du principe de minimisation des données, en ne traitant que les renseignements nécessaires aux fins déterminées[2]. |
Perspectives internationales
Ce survol n’est pas exhaustif. Nous nous concentrons sur les textes de l’UE, car ils peuvent s’appliquer aux organisations canadiennes en raison de leur caractère extraterritorial.
Union européenne
Tout comme la LPRPSP,le Règlement général sur la protection des données[14] (le « RGPD ») traite des décisions prises de manière entièrement automatisées[15]. Les personnes concernées ont ainsi le droit de ne pas faire l’objet d’une telle décision lorsqu’elle produit des effets juridiques à leur égard ou les affecte de manière significative. En outre, ces personnes ont droit d’être informées de l’existence de ce type de décision à tout moment, ainsi que le droit de demander l’intervention d’un être humain, notamment pour obtenir des explications sur la décision rendue.
L’Union européenne a adopté le Règlement sur l’intelligence artificielle[16] (le « RIA »), lequel vise à garantir que les systèmes d’IA déployés sur le marché européen respectent des standards éthiques, protègent les droits fondamentaux, et priorisent la sécurité et la transparence. Cette loi revêt une grande importance, car, à l’instar du RGPD, elle peut s’appliquer aux entreprises canadiennes ayant des activités sur le territoire de l’Union européenne ou qui ciblent des consommateurs européens[17].
États-Unis
Il n’existe pas de texte propre à l’IA, ni de législation fédérale sur la protection des renseignements personnels aux États-Unis, outre les lois sectorielles qui protègent notamment les renseignements de santé, financiers et les renseignements des enfants. Récemment, le président Trump a révoqué un ordre exécutif signé par Joe Biden qui abordait les risques liés à l’IA, en raison de son désir de favoriser l’innovation et de continuer à soutenir la liberté d’expression[18]. En conséquence, l’adoption d’une loi fédérale américaine consolidée sur l’IA semble peu probable à court terme.
Règlementation sectorielle
En raison des spécificités propres à certains secteurs d’activité, l’on s’attend à ce que des textes sectoriels sur l’IA soient ajoutés aux lois générales existantes. À titre d’exemple, l’Autorité des marchés financiers (AMF) a publié un document qui propose des lignes directrices non contraignantes visant à encadrer le développement, l’intégration et l’utilisation de systèmes d’IA dans le secteur financier[19].
Conclusion
Dans le contexte économique et politique actuel, notamment en raison de la guerre tarifaire avec les États-Unis, le gouvernement canadien pourrait adopter une approche similaire à celle de son voisin du Sud, en privilégiant l’innovation au détriment d’un encadrement plus strict[20]. Le Canada n’adoptera sans doute pas de législation canadienne particulière sur l’IA à court terme.
Les entreprises devront donc surveiller l’évolution du cadre juridique de l’IA tant au Canada qu’à l’international. Même en l’absence d’une loi fédérale canadienne régissant l’IA, plusieurs lois et textes non contraignants existent, dont ceux répertoriés dans le présent article, et peuvent servir de base pour guider les organisations vers de meilleures pratiques quant à l’utilisation responsable de l’IA.
[1] Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois ou, de son titre abrégé, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, projet de loi n° C-27 (dépôt en 2e lecture – 24 avril 2024), 1re sess., 44e légis. (Can.).
[2] Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c. 5
[3] Un renseignement personnel désigne tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier, Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1, art. 2.
[4] « Principes pour des technologies de l’intelligence artificielle (IA) générative responsables, dignes de confiance et respectueuses de la vie privée », Commissariat à la protection de la vie privée du Canada, 7 décembre 2023, en ligne : https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/technologie/intelligence-artificielle/gd_principes_ia/.
[5] L’IA générative est définit par le conseil sur la cybersécurité comme étant « un type d’intelligence artificielle qui génère du nouveau contenu en modélisant les caractéristiques des données tirées des grands jeux de données qui alimentent le modèle : « L’intelligence artificielle générative – ITSAP.00.041 », Gouvernement du Canada, juillet 2023, en ligne : https://www.cyber.gc.ca/fr/orientation/lintelligence-artificielle-generative-itsap00041.
[6] Loi sur la protection des renseignements personnels dans le secteur privé, préc., note 3.
[7] Voir l’interprétation des notions de décisions et de traitement automatisées : « Décision fondée exclusivement sur un traitement automatisée », Gouvernement du Québec, 19 mai 2025, en ligne : https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/technologie-et-droit-a-la-protection-des-renseignements-personnels/decision-traitement-automatise.
[8] Loi sur la protection des renseignements personnels dans le secteur privé, préc., note 3, art. 12.1.
[9] « Déclaration de Montréal pour un développement responsable de l’intelligence artificielle », Déclaration de Montréal IA responsable, 4 décembre 2018, en ligne : https://declarationmontreal-iaresponsable.com/la-declaration/.
[10] Personal Information Protection Act, SA 2003, c. P-6-5.
[11] Id., art. 7.
[12] Personal Information Protection Act, SBC 2003, c. 63.
[13] Id., art. 11.
[14] RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »).
[15] Id., art. 22.
[16] RÈGLEMENT (UE) 2024/168 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n°300/2008 , (UE) n°167/2013, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (« RIA »).
[17] RGPD, préc., note 14, art. 3.
[18] David Shepardson, « Trump revokes Biden executive order on addressing AI risks », Reuters, 21 janvier 2025, en ligne : https://www.reuters.com/technology/artificial-intelligence/trump-revokes-biden-executive-order-addressing-ai-risks-2025-01-21/.
[19] « Document de réflexion et de discussion/Meilleures pratiques pour l’utilisation responsable de l’IA dans le secteur financier », Autorité des marchés financiers, février 2024, en ligne : https://lautorite.qc.ca/grand-public/publications/pour-les-professionnels/ia-dans-le-secteur-financier.
[20] Blair Attard-Frost, « The Death of Canada’s Artificial Intelligence and Data Act: What Happened, and What’s Next for AI Regulation in Canada? », Montreal AI Ethics Institute, 17 janvier 2025, en ligne : https://montrealethics.ai/the-death-of-canadas-artificial-intelligence-and-data-act-what-happened-and-whats-next-for-ai-regulation-in-canada/.
Commentaires (0)
L’équipe du Blogue vous encourage à partager avec nous et nos lecteurs vos commentaires et impressions afin d’alimenter les discussions sur le Blogue. Par ailleurs, prenez note du fait qu’aucun commentaire ne sera publié avant d’avoir été approuvé par un modérateur et que l’équipe du Blogue se réserve l’entière discrétion de ne pas publier tout commentaire jugé inapproprié.