Assujettir l’intelligence artificielle au respect de la vie privée et des droits humains

Les enjeux liés à l’intelligence artificielle vont même au-delà du respect de la vie privée comme la prise de décision et le consentement ; en débattre publiquement devient une nécessité.

Retour à la table des matières

Anne Pineau, membre du comité sur la surveillance des populations
Ligue des droits et libertés

Les lois de protection des renseignements personnels (fédérales ou provinciales) adoptées dans les années 80 et 90 s’avèrent totalement inadéquates à l’ère de l’Internet et particulièrement dans le contexte du développement effréné de l’intelligence artificielle (IA). Le siphonnage massif de données sur les réseaux sociaux, la reconnaissance faciale, l’Internet des objets, les systèmes de localisation GPS, les drones dopés à l’IA, les capteurs de données des villes intelligentes, les assistants vocaux au nom rassurant : tout cet attirail d’encerclement se développe sans contrôle ni débat public et paraît en voie d’anéantir toute possibilité de vie privée, en plus de mettre à mal de nombreux autres droits humains.


Devenez membre 

Tous les articles du dossier Écologie et droits humains : penser les crises seront mis en ligne dès septembre. 

Un cadre règlementaire s’impose

Comment alors réformer ces lois? Faut-il abandonner les principes à leur fondement, à savoir le consentement à la divulgation des données personnelles, la cueillette des seules données nécessaires et l’utilisation de celles-ci aux strictes fins pour lesquelles elles ont été recueillies? Comment par ailleurs encadrer l’utilisation d’algorithmes au fonctionnement obscur? Ce sont là quelques-unes des questions que pose le Commissaire fédéral à la vie privée (CVP) dans une consultation lancée en février dernier[1]. Le Commissaire veut définir un cadre règlementaire canadien adéquat en matière d’intelligence artificielle et proposer des modifications en conséquence à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)[2].

La Ligue des droits et libertés (LDL) a pris part à cet exercice en présentant un mémoire; le présent texte présente succinctement les positions défendues par la LDL à cette occasion[3] .

Une protection globale de la vie privée et sa reconnaissance comme condition à l’exercice d’autres droits

L’IA a un impact sur toutes les facettes de la vie privée (renseignements personnels, déplacements, localisation, autonomie, intimité, etc.).

Cette technologie compromet aussi les autres droits humains. Notamment, elle rend possible une surveillance extrême des individus (tant par des entreprises privées que par l’État) susceptible d’affecter la liberté d’expression, la liberté d’association et la démocratie. La reconnaissance faciale met en péril le droit à l’anonymat et éventuellement le droit à l’égalité. Les chambres d’écho (ou bulle de filtre[4]) des réseaux sociaux peuvent, quant à elles, amoindrir la circulation de l’information et la diversité d’opinions et mener à de la manipulation commerciale ou politique. En outre, des algorithmes mal calibrés peuvent entretenir, voire aggraver, des pratiques discriminatoires.

Bref, la cueillette, l’utilisation et le traitement de données personnelles par l’IA dépassent de loin la seule question de la protection des données; elles concernent la vie privée au sens large de même que l’ensemble des autres droits fondamentaux. La LPRPDE devrait être modifiée pour refléter ce fait.

Prise de décision automatisée

L’IA rend possible la prise de décision automatisée. Il importe donc de reconnaître le droit de s’opposer aux décisions prises par ordinateur et celui de pouvoir exiger une intervention humaine. Ce droit devrait pouvoir s’exercer à toutes les étapes du processus. Par ailleurs, même s’il y a consenti, l’individu devrait avoir accès aux critères ayant conduit à la décision et pouvoir en contester le bien-fondé. Dans la mesure où des décisions affectant les personnes sont prises sur la base de ces algorithmes, il est essentiel que les raisonnements sous-jacents soient compréhensibles, que les responsabilités soient clairement définies et qu’un droit de recours existe.

Droit à la transparence et à l’explication

L’utilisation de l’IA dans l’analyse de données se généralise à tous les secteurs. Les algorithmes peuvent intervenir dans le recrutement en emploi, l’établissement de cotes de crédit financières, l’accès à des établissements d’enseignement, l’évaluation des demandes d’immigration et de statut de réfugié, dans le système de justice, la détection de la fraude, le droit à certains services ou prestations, etc. Son utilisation est susceptible d’affecter de façon disproportionnée les groupes déjà discriminés socialement. De nombreux cas démontrent en effet que des vices de conception ou l’utilisation de données historiques biaisées peuvent conduire l’algorithme à reproduire, voire aggraver, des attitudes et comportements discriminatoires.

Les enjeux collectifs entourant le traitement de données massives commandent l’édiction d’obligations légales de transparence et d’explication des modes de fonctionnement des systèmes. Le fonctionnement logique des algorithmes devrait être divulgué publiquement et de façon proactive[5]. Un système d’audit indépendant pourrait garantir que les algorithmes utilisés respectent la loi et sont exempts de biais discriminatoires. De plus, des évaluations d’impacts des algorithmes sur les droits fondamentaux devraient être effectuées avant leur déploiement et tout au long de leur utilisation.

Consentement, cueillette minimale de données et respect des finalités

L’industrie prétend avoir besoin de toujours plus de données pour alimenter l’IA; la vie privée devrait céder le pas en conséquence. La LDL s’oppose à cette vision.

Les traces numériques que nous laissons derrière nous se multiplient et mettent en péril le concept même de vie privée. Cette industrie insatiable a pour finalité l’espionnage à grande échelle de la population. Comme l’explique la professeure Zuboff, de la Harvard Business School, le modèle d’affaires consiste dans l’extraction et la vente de la vie privée des usager-ère-s à d’autres entreprises, sous la forme de modèles prédictifs[6]. Une telle surveillance (finalité) devrait être interdite. Elle suppose une renonciation, générale et préalable, à la vie privée des utilisatrices et utilisateurs des réseaux sociaux. Il devient pratiquement impossible de connaitre avec exactitude l’ampleur de la renonciation. Le consentement est de plus souvent extorqué dans la mesure où le choix n’existe pas; c’est tout ou rien. Par ailleurs, les entreprises l’obtiennent par un simple clic, censé prouver l’acceptation de longues politiques d’utilisation indéchiffrables.

L’accès nécessaire aux réseaux sociaux

Or, l’accès aux réseaux sociaux et autres plateformes sur internet est pratiquement essentiel de nos jours. La Cour suprême notait en 2017 : le choix de ne pas être en ligne ne saurait constituer un choix véritable à l’ère d’Internet[7].

L’État devrait garantir le droit à la vie privée par défaut et interdire le consentement du type tout ou rien en laissant la possibilité aux individus de choisir facilement et clairement les seules informations dont ils acceptent la collecte.

Bref, il faut revoir le modèle du consentement, mais non s’en défaire totalement. Il importe que l’individu puisse invoquer l’absence de consentement. Cependant, le consentement de l’usager-ère ne doit pas dégager l’entreprise de toute responsabilité, par exemple lorsque les données récoltées sont excessives, sans lien avec la finalité ou que la personne n’avait pas le choix de consentir.

Les pouvoirs du CVP et la responsabilité en matière d’IA

Nous souscrivons à la proposition de faire du Commissariat l’instance de premier niveau pour entendre les plaintes des individus, rendre des ordonnances exécutoires, initier des enquêtes proactives et imposer des sanctions financières en cas de non-respect de la loi. Toutefois, ces mesures ne seront effectives que si le Commissariat dispose des ressources humaines et financières nécessaires à leur mise en application.

Sur le plan de la responsabilité civile, il va de soi que la faute pour les défaillances de conception des systèmes d’IA doit reposer sur les humain-e-s et les entreprises et non sur la machine. Il conviendrait de prévoir la responsabilité solidaire des différents intervenant-e-s dans la conception et la mise en œuvre d’un système d’IA, de même que des présomptions de responsabilité.

De nécessaires débats publics sur l’IA

Les enjeux entourant l’IA vont bien au-delà de la question de la vie privée. L’érosion des logiques collectives est aussi en cause. L’enfermement algorithmique mine le droit à l’information et la capacité de mener des débats publics éclairés. La quantification de soi et autres capteurs de données personnelles peuvent remettre en cause les principes de mutualisation (en assurances notamment) et de solidarité sociale. La surveillance de masse porte aussi atteinte à la vie démocratique. L’IA soulève encore bien d’autres enjeux qui dépassent la portée de la LPRPDE, notamment des problèmes relatifs au droit d’auteur, au droit à l’information et aux lois antitrust.

Nous sommes d’avis que tous ces enjeux doivent faire l’objet de débats publics. Qui peut utiliser l’IA? À quelles fins? Dans quelles conditions? Quelles garanties s’imposent en matière de publicité, de reddition de comptes et de responsabilité dans l’usage de ces algorithmes et technologies impliquant l’IA?

Par ailleurs il appartient à l’État, au terme de ces débats, de fixer les limites et de définir les responsabilités assurant une protection véritable de la vie privée et des autres droits fondamentaux.


[1] Consultation sur les propositions du Commissariat visant à assurer une règlementation adéquate de l’intelligence artificielle. https://www.priv.gc.ca/fr/a-propos-du-commissariat/ce-que-nous-faisons/consultations/consultation-ai/pos_ai_202001/

[2] La LPRPDE s’applique, au Canada, aux organisations du secteur privé qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales. Le Québec ayant une loi similaire en matière de protection des renseignements personnels (L.R.Q., c.P-39.1), c’est la loi provinciale qui s’applique au Québec en ce qui a trait à la collecte, à l’utilisation ou à la communication de renseignements personnels dans le secteur privé.

[3] LDL, L’Intelligence artificielle : des lois inadéquates, https://liguedesdroits.ca/memoire-lintelligence-artificielle-des-lois-inadequates/

[4] Filtrage des informations qui nous parviennent via les fils d’actualités des réseaux sociaux.

[5] L’algorithme doit dire ce qu’il fait et faire ce qu’il dit.

[6] « Nous sommes les objets dont la matière est extraite, expropriée, puis injectée dans les usines d’intelligence artificielle de GOOGLE qui fabriquent les produits prédictifs vendus aux clients réels : les entreprises qui paient pour jouer sur les nouveaux marchés comportementaux. » Zuboff, Shoshana, « Un capitalisme de surveillance », Le Monde diplomatique, janvier 2019, p.10-11

[7] Douez c. Facebook, Inc., 2017 CSC 33, https://canlii.ca/t/h4g1c

 

Retour à la table des matières