guide

L’IA au Canada L’IA au Canada

Guide juridique relatif au développement et à l’utilisation de l’intelligence artificielle
10 septembre 2025 100 MIN DE LECTURE
Télécharger le PDF

Accueil Articles Rapports L’IA au Canada

Contents

Contents

Protection des renseignements personnels et développement de l’IA

Choses à savoir

  • Il n’est pas certain en droit que l’on puisse invoquer le « consentement implicite » pour collecter ou utiliser des renseignements personnels aux fins de l’entraînement d’un modèle d’IA ou de la génération d’extrants, ni dans quelle mesure il peut l’être, ni que l’on puisse faire du consentement à l’utilisation de renseignements personnels à de telles fins une « condition de service » (sans possibilité de refus).

Choses à faire

  • Identifier et documenter le pouvoir légal de l’entreprise (c.-à-d. si elle s’appuie sur le consentement ou sur une exception au consentement) relativement à la collecte et à l’utilisation de renseignements personnels en vue d’entraîner un modèle d’IA ou de générer des extrants. L’entreprise qui s’appuie sur le consentement doit s’assurer que celui-ci est valide et significatif. L’entreprise qui fait appel à un tiers pour la collecte des renseignements personnels doit s’assurer que celui-ci les a collectés dans le respect de la loi et qu’il est autorisé à les lui communiquer aux fins prévues (p. ex., l’entraînement d’un modèle d’IA).
  • Se rappeler que, sous réserve de quelques exceptions, la publication de renseignements personnels, y compris en ligne, est assujettie aux lois sur la protection des renseignements personnels au Canada (même lorsqu’ils sont visés par une exception au consentement).
  • Faire preuve d’ouverture et de transparence (p. ex. dans la politique relative à la protection des renseignements personnels publiée et dans les flux d’intégration et de départ de l’utilisateur) quant à la nature, la manière, le moment et la raison pour lesquels les renseignements personnels sont recueillis, utilisés ou communiqués lors du développement, de l’entraînement ou de l’exploitation du modèle ou du système d’IA, et fournir ces renseignements de manière compréhensible. Communiquer toute limitation connue concernant l’exactitude des extrants de l’IA (p. ex. l’âge des données utilisées pour entraîner le modèle) et tout risque connu ou probable.
  • Ne collecter, utiliser et communiquer des renseignements personnels qu’à des fins documentées, légitimes et appropriées.
    • S’abstenir d’utiliser des renseignements personnels pour développer ou déployer des systèmes d’IA à des fins qui enfreignent les « zones interdites » relevées par le Commissariat à la protection de la vie privée du Canada, telles que « le profilage qui peut mener à un traitement injuste, contraire à l’éthique ou discriminatoire, ou la création de résultats qui menacent les droits et libertés fondamentaux ».
    • Utiliser un processus d’évaluation par une équipe adverse pour repérer les possibles utilisations inappropriées involontaires du modèle ou du système d’IA de l’entreprise et, le cas échéant, prendre des mesures propres à empêcher les utilisations inappropriées (comme l’établissement de mesures techniques ou l’élaboration de politiques d’utilisation acceptable obligatoires).
  • Ne collecter, utiliser, conserver et communiquer des renseignements personnels que dans la mesure nécessaire pour atteindre l’objectif approprié explicitement indiqué, notamment en supprimant les renseignements personnels des ensembles de données utilisés pour entraîner les modèles d’IA lorsque cela est possible et approprié. S’assurer que les renseignements personnels utilisés pour entraîner un modèle d’IA sont aussi exacts que l’exigent les fins auxquelles le modèle est utilisé.
    • S’abstenir d’utiliser des renseignements personnels si des données anonymisées ou synthétiques permettent d’atteindre la ou les fins indiquées.
    • Si des renseignements personnels sont nécessaires, supprimer les identifiants directs de l’ensemble de données dans la mesure du possible, de manière à ne conserver que des renseignements personnels dépersonnalisés.
  • Entreprendre des évaluations des facteurs relatifs à la vie privée, des évaluations de l’incidence algorithmique et des évaluations des biais (et revoir celles-ci régulièrement), et évaluer la résilience aux inférences ou autres attaques.
  • Élaborer un programme complet de gouvernance de l’IA ou revoir et améliorer le programme de gouvernance de la protection des renseignements personnels de l’entreprise ainsi que ses politiques et pratiques en matière de sécurité afin de traiter les questions liées à l’IA, notamment en permettant aux personnes de demander l’accès à leurs renseignements personnels, de poser des questions, de déposer des plaintes et de corriger des renseignements personnels inexacts.
  • Déterminer si, et dans quelle mesure, les lois d’autres territoires (telles que la loi européenne sur l’IAou le Règlement général sur la protection des données de l’UE) s’appliquent au modèle ou au système d’IA que l’entreprise met à la disposition d’utilisateurs à l’extérieur du Canada.

Ressources utiles

Suivant
Expertises connexes

S’abonner

Restez informé

Abonnez-vous aux articles Osler pour rester informé des questions ayant une incidence sur votre entreprise.

S’abonner

Osler est un cabinet d’avocats en droit des affaires de premier plan qui pratique à l’échelle nationale et internationale à partir de bureaux au Canada et à New York. Il compte parmi ses clients des chefs de file du secteur et du monde des affaires dans tous les segments de marché qui en sont à diverses étapes de leur croissance. Notre réputation repose sur notre engagement à l’égard du succès de nos clients, ainsi que sur notre expérience, notre expertise et notre approche coopérative pour lesquels nous sommes reconnus. Nous croyons que notre succès est le reflet de la réussite de nos clients.