La Commission d’accès à l’information (la « CAI ») a récemment publié une décision au sujet de l’utilisation d’un système d’intelligence artificielle (« IA »). Cette décision aborde certaines nouvelles dispositions introduites par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi 64 »)1, qui n’entreront en vigueur que le 22 septembre 2023, et donne un aperçu du cadre d’analyse que pourrait adopter la CAI en lien avec ces dispositions.
Contexte
La décision de la CAI fait suite à son enquête concernant l’utilisation d’un système d’IA par le Centre de services scolaire du Val-des-Cerfs (l’« organisme »), dont elle a été mise au courant lors de la publication d’un article de journal.
L’organisme avait conclu un partenariat avec des spécialistes de l’analyse de données d’un cabinet comptable pour le développement d’un algorithme permettant d’identifier les élèves présentant un risque important de décrochage scolaire. Pour ce faire, l’organisme a temporairement permis à son partenaire d’accéder à une base de données contenant des renseignements personnels dépersonnalisés au sujet d’élèves de l’organisme, notamment des résultats scolaires ainsi que des statistiques relatives à l’aide financière, à l’absentéisme, aux mesures disciplinaires et aux fréquents changements d’adresse. Ce partenariat a mené au développement d’un algorithme d’apprentissage automatique capable de générer un ensemble d’indicateurs prédictifs du risque de décrochage scolaire chez les élèves de la 6e année du primaire.
La décision de la CAI analyse la conformité de l’organisme à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur l’accès ») en lien avec le développement et l’utilisation de ce système d’IA.
Le présent bulletin présente les principales conclusions de la CAI et leur incidence sur l’application de la législation québécoise en matière de protection des renseignements personnels aux systèmes d’IA. Étant donné que la Loi sur l’accès et la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé ») comportent plusieurs similitudes et que la Loi 64 apporte des changements équivalents aux deux lois à plusieurs égards, cette décision est également pertinente pour le secteur privé.
1. Anonymisation ou dépersonnalisation
La CAI a considéré que les données transmises par l’organisme à son partenaire pour le développement de l’algorithme sont des renseignements personnels dépersonnalisés et non des renseignements anonymisés. Rappelons que la Loi 64 prévoit que des renseignements personnels sont dépersonnalisés lorsqu’ils ne permettent plus d’identifier directement un individu, alors qu’ils sont anonymisés lorsqu’il est en tout temps raisonnable de prévoir dans les circonstances qu’ils ne permettent plus, de façon irréversible, d’identifier directement ou indirectement l’individu. Il s’agit d’une distinction cruciale considérant que les renseignements dépersonnalisés demeurent assujettis à la législation, contrairement aux renseignements anonymisés.
En l’espèce, l’organisme avait retiré 80 catégories de données jugées sensibles (ex. noms, adresses postales, courriels, numéros de téléphone, noms d’utilisateurs, etc.) de la base de données d’entraînement avant de permettre l’accès à son partenaire afin de réduire le risque d’identification des élèves et des parents. Or, la CAI a jugé que les mesures prises par l’organisme n’étaient pas « irréversibles ». L’analyse de la CAI est assez sommaire à cet égard : elle mentionne simplement que les renseignements dans la base de données permettent à l’organisme d’identifier les élèves en utilisant d’autres données recueillies tout au long de leur cheminement scolaire.
Cette interprétation confirme le critère très élevé de la législation québécoise en matière d’anonymisation de renseignements personnels. Les organisations qui soutiennent que leur projet implique uniquement un traitement de données anonymisées devront donc être prêtes à expliquer de manière détaillée leur méthode d’anonymisation afin de convaincre la CAI de leur conformité au critère prévu par la loi et aux meilleures pratiques généralement reconnues. Une organisation pourrait par exemple présenter une analyse du risque de réidentification effectuée par une firme spécialisée ou encore démontrer la conformité de ses pratiques aux recommandations du réseau canadien pour l’anonymisation (CANON).
2. Fins compatibles
La Loi sur l’accès prévoit qu’un organisme public ne peut utiliser des renseignements personnels qu’aux fins pour lesquelles ils ont été recueillis, à moins d’obtenir le consentement des individus concernés (art. 65.1). La loi prévoit toutefois certaines exceptions, notamment lorsque l’utilisation est à des fins compatibles avec celles pour lesquelles les renseignements ont été recueillis, c’est-à-dire lorsqu’il y a un lien pertinent et direct entre la finalité nouvelle et les fins initiales de la collecte.
En l’espèce, la CAI a considéré que le développement d’un algorithme visant à identifier de façon précoce les élèves à risque de décrochage scolaire constituait une fin compatible avec la réussite scolaire, qui était l’un des objectifs généraux de l’organisme lors de la cueillette initiale des renseignements personnels des élèves. L’organisme n’était donc pas tenu d’obtenir un nouveau consentement, auprès des parents, pour utiliser les renseignements des élèves à cette fin. Cette conclusion illustre une interprétation assez large de la notion de « fin compatible » qui sera d’ailleurs introduite dans la Loi sur le privé à compter du 22 septembre 2023.
Qui plus est, la CAI a jugé que l’exception permettant d’utiliser des renseignements personnels sans consentement à des fins compatibles s’applique même lorsque cette utilisation s’effectue par un prestataire de services (c’est-à-dire le cabinet comptable) pour le compte d’un organisme. Précisons que dans ce dossier, le traitement de renseignements personnels par le mandataire était encadré par une entente de communication conformément à l’article 67.2 de la Loi sur l’accès (qui est très similaire au nouvel article 18.3 de la Loi sur le privé, qui entrera en vigueur le 22 septembre prochain).
3. Données inférées
La CAI considère que les données inférées par le système d’IA, c’est-à-dire des indicateurs prédictifs du risque de décrochage scolaire, constituent des renseignements personnels puisqu’ils permettent de dresser un profil de l’élève et sont susceptibles d’avoir un effet sur les décisions prises à son sujet.
La CAI va plus loin en précisant que la production de ces indicateurs par l’algorithme équivaut à une « nouvelle collecte » de renseignements personnels. Par conséquent, l’organisme doit s’assurer que cette collecte est conforme aux critères prévus par la Loi sur l’accès, soit le critère de nécessité prévu à l’article 642 (art. 4 et 5 de la Loi sur le privé) et l’obligation d’information prévue à l’article 653 (art. 8 de la Loi sur le privé). À cet égard, la CAI a ordonné à l’organisme d’informer les parents d’élèves dont les renseignements ont servi au développement de l’outil :
- du projet et de son objectif;
- du fait que des renseignements personnels colligés lors de l’inscription et du cheminement scolaire de ces élèves ont été utilisés dans le cadre de ce projet;
- du fait que l’analyse de ces renseignements personnels par l’algorithme a permis de créer de nouveaux renseignements personnels sur ces élèves; et
- des fins pour lesquelles ces renseignements ont été recueillis, des catégories de personnes qui y ont eu accès et de leurs droits d’accès et de rectification.
Cette conclusion illustre l’importance de la transparence lors de l’utilisation de systèmes d’IA, particulièrement lorsque ceux-ci traitent des renseignements personnels de mineurs. La CAI a d’ailleurs récemment publié un rapport qui contient plusieurs recommandations visant à améliorer la protection de la vie privée des mineurs.
4. Conservation des données
La CAI indique que lorsque des données brutes sont transmises à un mandataire pour le développement d’un algorithme, elles doivent être supprimées des serveurs du mandataire lorsque le mandat est effectué.
En outre, la CAI a remis en question l’argument de l’organisme selon lequel les documents générés pendant la conception de l’algorithme, notamment un document contenant une liste d’identifiants dépersonnalisés auxquels sont associés des facteurs de risque et un niveau de risque, pouvaient être conservés conformément à la période de trois ans prévue au calendrier de conservation de l’organisme pour les documents relatifs aux études, enquêtes ou sondages et aux statistiques. Soulignons également que la Loi 64 introduit une obligation de transparence accrue en ce qui concerne la durée de conservation des renseignements personnels recueillis auprès des individus en rendant cette information accessible sur demande (art. 65 al. 3 de la Loi sur l’accès et 8 al. 3 de la Loi sur le privé). Les organisations devraient s’assurer d’avoir une politique de rétention complète et à jour afin de pouvoir se conformer à ces futures exigences.
5. Évaluation des facteurs relatifs à la vie privée (EFVP)
Bien que cette obligation ne soit pas encore en vigueur en vertu de la Loi sur l’accès, la CAI a recommandé à l’organisme de procéder à une évaluation des facteurs relatifs à la vie privée avant d’aller de l’avant avec le déploiement de l’algorithme et de la réviser de façon périodique. À cet effet, notons que la Loi 64 introduit une obligation d’effectuer une EFVP dans trois situations précises, soit :
- lors d’un projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant un traitement de renseignements personnels;
- avant de communiquer des renseignements personnels à l’extérieur du Québec ou de confier un traitement de renseignements personnels à un tiers situé à l’extérieur du Québec; et
- avant de communiquer des renseignements personnels sans consentement à une personne ou à un organisme qui souhaite les utiliser à des fins d’étude, de recherche ou de production de statistiques.
Les organisations devraient donc se doter d’une procédure pour effectuer une EFVP lorsque la loi le prévoit ou lorsqu’un projet risque d’avoir une incidence sur le respect de la vie privée des individus. À cet égard, le guide d’accompagnement de la CAI (qui sera révisé à la lumière de la Loi 64) recommande aux organisations de réaliser une EFVP lorsqu’un projet impliquant des renseignements personnels fait appel à un système d’IA.
***
La décision Centre de services scolaire du Val-des-Cerfs jette un éclairage pertinent sur l’interprétation de certaines nouvelles dispositions introduites par la Loi 64 dans les secteurs public et privé.
Pour toute question sur les récents développements concernant le cadre juridique régissant la protection des renseignements personnels au Québec, veuillez communiquer avec l’un·e des membres de l’équipe Respect de la vie privée et protection des renseignements personnels de BLG.
1 Aussi appelée « Loi 25 ».
2 Un organisme public ne peut recueillir des renseignements personnels si cela n’est pas nécessaire à l’exercice des attributions de cet organisme ou à la mise en œuvre d’un programme dont il a la gestion. Ce critère a été interprété comme exigeant la démonstration d’un objectif légitime, important et réel et d’une proportionnalité entre l’atteinte à la vie privée et l’objectif poursuivi (voir Laval (Ville) c. X., 2003 CanLII 44085 (C.Q.).
3 L’article 65 prévoit qu’un organisme doit informer les individus des éléments suivants avant ou au moment de recueillir leurs renseignements personnels :
- nom et adresse de l’organisme public au nom de qui la collecte est faite;
- fins pour lesquelles ce renseignement est recueilli;
- catégories de personnes qui auront accès à ce renseignement;
- caractère obligatoire ou facultatif de la demande;
- conséquences pour la personne concernée ou, selon le cas, pour le tiers, d’un refus de répondre à la demande;
- droits d’accès et de rectification prévus par la loi.
