guide

L’IA au Canada L’IA au Canada

Guide juridique relatif au développement et à l’utilisation de l’intelligence artificielle
10 septembre 2025 116 MIN DE LECTURE
Télécharger le PDF

Accueil Articles Rapports L’IA au Canada

Contents

Contents

Protection des renseignements personnels et utilisation de l’IA

Choses à savoir

  • Les lois canadiennes sur la protection des renseignements personnels s’appliquent si des renseignements personnels sont utilisés pour affiner un modèle d’IA, si une requête saisie dans un modèle ou un système d’IA comprend des renseignements personnels, ou si un modèle ou un système d’IA est utilisé pour générer des extrants qui comprennent des renseignements personnels.
  • Dans les lois canadiennes sur la protection des renseignements personnels, la définition du terme « renseignements personnels » est très générale et comprend les renseignements qui peuvent être utilisés, soit seuls ou avec d’autres renseignements, pour identifier un particulier.
  • Contrairement aux lois sur la protection des renseignements personnels de certains territoires, comme celles de l’Union européenne, les lois canadiennes sur la protection des renseignements personnels reposent sur le consentement, avec des exceptions limitées, et ne permettent pas le traitement des renseignements personnels sur la base des « intérêts légitimes ».
  • Les obligations de conformité varient en fonction de la nature de l’entreprise et du secteur dans lequel elle exerce ses activités (p. ex., les services financiers, les télécommunications, le commerce de détail, les soins de santé ou le secteur public), de la nature et de la sensibilité des renseignements personnels traités, et des activités que l’entreprise exerce à l’aide d’un modèle ou d’un système d’IA (p. ex., la prise de décisions automatisée pour accorder un prêt ou sélectionner un candidat à un emploi).

Choses à faire

  • Identifier et documenter le pouvoir légal de l’entreprise (c.-à-d. si elle s’appuie sur le consentement ou sur une exception au consentement) relativement à la collecte et à l’utilisation de renseignements personnels en vue d’affiner un modèle d’IA ou de demander à un modèle ou un système d’IA de générer des extrants. L’entreprise qui s’appuie sur le consentement doit s’assurer que celui-ci est valide et significatif. L’entreprise qui fait appel à un tiers pour la collecte des renseignements personnels doit s’assurer que celui-ci les a collectés dans le respect de la loi et qu’il est autorisé à les lui communiquer aux fins prévues.
  • Se rappeler que la publication de renseignements personnels, y compris en ligne, est assujettie aux lois sur la protection des renseignements personnels au Canada (même lorsqu’ils sont visés par une exception au consentement).
  • Faire preuve d’ouverture et de transparence (p. ex. dans la politique relative à la protection des renseignements personnels publiée et dans les flux d’intégration et de départ de l’utilisateur) envers les personnes concernées quant à la nature, la manière, le moment et la raison pour lesquels les renseignements personnels sont recueillis, utilisés ou communiqués lors de l’affinage ou de l’utilisation du modèle ou du système d’IA, et fournir ces renseignements de manière compréhensible. Communiquer toute limitation connue concernant l’exactitude des extrants de l’IA (p. ex. l’âge des données utilisées pour entraîner le modèle) et tout risque connu ou probable.
  • Ne collecter, utiliser et communiquer des renseignements personnels qu’à des fins documentées, légitimes et appropriées.
    • Éviter les utilisations inappropriées des modèles ou des systèmes d’IA, y compris les fins qui enfreignent les « zones interdites » relevées par le Commissariat à la protection de la vie privée du Canada, telles que « le profilage ou la catégorisation susceptibles de donner lieu à un traitement injuste, contraire à l’éthique ou discriminatoire qui est interdit en vertu de la législation sur les droits de la personne; la collecte, l’utilisation ou la communication de renseignements personnels à des fins reconnues comme causant un préjudice important à des personnes ou à des groupes ou susceptibles de le faire, ou les activités reconnues comme menaçant les droits et libertés fondamentaux ou susceptibles de le faire ».
  • Déterminer si l’utilisation d’un modèle ou d’un système d’IA qui comporte la collecte, l’utilisation ou la communication de renseignements personnels est nécessaire et proportionnée, et s’il existe d’autres technologies plus respectueuses de la vie privée qui pourraient être utilisées pour atteindre la même fin.
  • Éviter de demander à un modèle ou à un système d’IA de réidentifier toute donnée précédemment dépersonnalisée.
  • Vérifier l’exactitude et la fiabilité des extrants du modèle ou du système d’IA par rapport à la fin visée.
  • Ne collecter, utiliser, conserver et communiquer des renseignements personnels que dans la mesure nécessaire pour atteindre l’objectif approprié explicitement indiqué.
    • S’abstenir d’utiliser des renseignements personnels si des données anonymisées ou synthétiques permettent d’atteindre la ou les fins indiquées.
    • Si des renseignements personnels sont nécessaires, supprimer les identifiants directs (p. ex., dans les requêtes ou les extrants) dans la mesure du possible, de manière à ne conserver que des renseignements personnels dépersonnalisés.
  • S’assurer que les renseignements personnels utilisés pour affiner un modèle d’IA sont aussi exacts que l’exigent les fins auxquelles le modèle est utilisé.
  • Entreprendre des évaluations des facteurs relatifs à la vie privée, des évaluations de l’incidence algorithmique et des évaluations des biais (et revoir celles-ci régulièrement), et évaluer la résilience aux inférences ou autres attaques.
  • Élaborer un programme complet de gouvernance de l’IA ou revoir et améliorer le programme de gouvernance de la protection des renseignements personnels de l’entreprise ainsi que ses politiques et pratiques en matière de sécurité afin de traiter les questions liées à l’IA, notamment en permettant aux personnes de demander l’accès à leurs renseignements personnels, de poser des questions, de déposer des plaintes et de corriger des renseignements personnels inexacts.
  • Si un outil d’IA est accessible au public, s’assurer que les personnes savent qu’elles interagissent avec l’outil d’IA et les informer des risques d’atteinte à la vie privée et des options à leur disposition.
  • Si un système d’IA est utilisé dans le cadre d’un processus décisionnel :
    • indiquer clairement aux personnes concernées que le système sera utilisé dans le cadre d’un processus décisionnel et leur fournir une description générale du fonctionnement du système et de la façon dont il est utilisé;
    • indiquer clairement, ou être prêt à indiquer, aux personnes concernées comment une décision susceptible d’avoir des répercussions importantes sur elles a été prise (y compris les renseignements personnels qui ont été utilisés pour prendre cette décision), comment demander que la décision soit soumise à une révision ou à un réexamen par un être humain et comment demander que les renseignements personnels qui ont été utilisés soient corrigés, ainsi que toute autre option ou tout autre recours à leur disposition;
    • au besoin, notamment lorsque la décision aura des répercussions importantes sur les personnes concernées, inclure dans le processus décisionnel un être humain chargé de la révision des décisions;
    • tenir des dossiers adéquats pour permettre aux personnes concernées de présenter une demande d’accès à l’information concernant une décision;
    • s’assurer que les décisions concernant un groupe précis ne sont prises qu’après avoir déterminé que le groupe est représenté de façon adéquate et exacte dans les données d’entraînement du système.
  • Déterminer si, et dans quelle mesure, les lois d’application générale (telles que les lois sur les droits de la personne et les lois sur le travail et l’emploi) s’appliquent au modèle ou au système d’IA que l’entreprise utilise.
  • Déterminer si, et dans quelle mesure, les lois d’autres territoires (telles que la loi européenne sur l’IA ou le Règlement général sur la protection des données de l’UE) s’appliquent au modèle ou au système d’IA que l’entreprise utilise.

Ressources utiles

Suivant
Expertises connexes

S’abonner

Restez informé

Abonnez-vous aux articles Osler pour rester informé des questions ayant une incidence sur votre entreprise.

S’abonner

Osler est un cabinet d’avocats en droit des affaires de premier plan qui pratique à l’échelle nationale et internationale à partir de bureaux au Canada et à New York. Il compte parmi ses clients des chefs de file du secteur et du monde des affaires dans tous les segments de marché qui en sont à diverses étapes de leur croissance. Notre réputation repose sur notre engagement à l’égard du succès de nos clients, ainsi que sur notre expérience, notre expertise et notre approche coopérative pour lesquels nous sommes reconnus. Nous croyons que notre succès est le reflet de la réussite de nos clients.