Qu’annonce la Loi sur la protection des renseignements pour l’IA ?

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels a été adoptée le 21 septembre dernier, lançant le compte à rebours pour les organismes et entreprises québécois qui devront s’y conformer dans les trois prochaines années.

Il s’agit d’un enjeu de taille pour tous les acteurs du milieu de l’intelligence artificielle (IA), pour qui l’accès aux données est primordial.

En effet, avec la nouvelle loi, précédemment connue sous le nom de Projet de loi 64, le gouvernement du Québec vient éclaircir plusieurs questions à propos des renseignements personnels, qui sont souvent utilisés pour développer les algorithmes d’apprentissage automatique et profond.

Qui est responsable de la sécurisation des données ? Qui doit être contacté en cas de fuite d’informations ? Comment doit être comprise la notion de consentement des personnes ?

Tous ces enjeux sont éclaircis dans cette pièce législative.

INQUIÉTUDES DE L’INDUSTRIE

Dans un article précédent, CScience IA rapportait que la Fédération des chambres du commerce du Québec (FCCQ) craignait qu’un fardeau trop lourd soit imposé aux entreprises en développement de l’IA.

« Si le “bâton” est trop fort, plusieurs entreprises craindront de donner accès à leurs données. […] L’enjeu principal pour les parlementaires est de trouver le bon équilibre entre d’un côté la protection des données personnelles et de l’autre côté l’innovation et le développement économique », affirmait alors la FCCQ dans un mémoire.

« La Loi ne vient pas interdire l’IA, mais simplement mieux l’encadrer » – Cynthia Chassigneux, avocate associée, Langlois Avocats

En effet, parmi les inquiétudes de la FCCQ, la notion de responsabilité était centrale. Désormais, la responsabilité de la gestion des renseignements personnels est « enchâssée » dans le corps de la loi. C’est la plus haute instance dans une organisation recueillant des données personnelles qui en est responsable, mais ce rôle peut être délégué.

D’ailleurs, la désignation d’un responsable de la protection des renseignements personnels au sein de tout organisme ou entreprise concerné par la loi devra se faire d’ici le 21 septembre 2022, date à laquelle cet article de la nouvelle loi entrera en vigueur.

AMENDES SALÉES

« Il ne faudrait pas attendre cette entrée en vigueur des dispositions pour nommer un responsable, faire la cartographie des renseignements personnels et établir un cadre de gouvernance au sein des entreprises », avertit Cynthia Chassigneux, avocate associée au cabinet Langlois Avocats.

En effet, les organismes pris en défaut risquent de grosses amendes, allant jusqu’à 25 M$ ou 4 % du chiffre d’affaires pour une entreprise et 100 000 $ pour une personne physique.

De plus, la majeure partie des articles de la Loi entreront en vigueur le 21 septembre 2023.

À partir de cette date, les organisations visées devront déterminer les fins de la collecte avant celle-ci et informer les personnes concernées de ces fins lors de la collecte, sur demande notamment.

Le consentement manifeste des individus devra être obtenu, et ce, donné à des fins spécifiques et ne valant que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Aussi, par défaut, les paramètres de confidentialité du produit ou du service technologique offert au public devront assurer le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.

Enfin, lorsqu’un projet faisant appel à des données sera terminé, ces informations devront être détruites ou anonymisées. « Ce qui n’est pas une mince affaire », rappelle l’avocate.

« Les renseignements personnels conservés devront être anonymisés en tout temps. Ce qui veut dire qu’il faut que l’anonymisation soit fonctionnelle dans un contexte futur. Les entreprises devront se tenir au courant des progrès technologiques qui pourraient éventuellement invalider cette anonymisation », insiste Me Chassigneux.

Suivez ce lien pour consulter un compte rendu de l’avocate à propos de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Crédit photo: Pexels / Ekaterina Bolovtsova