Déclaration sur l’IA générative Commissariat à la protection de la vie privée du Canada

estimated reading time: 6 min

Le 21 juin 2023

1. Nous, les autorités de protection des données et de la vie privée du G7, nous sommes rencontrés pour discuter des développements et des défis récents qui sont liés aux technologies de l’intelligence artificielle (IA) générative, dans l’optique de la protection des données et de la vie privée.
2. Dans un contexte où l’on assiste au développement et au déploiement rapide des technologies d’IA générative, à la prolifération généralisée de leurs utilisations dans le monde et à leur adoption croissante dans divers domaines, nous reconnaissons que l’IA générative suscite des préoccupations de plus en plus grandes quant aux risques et aux répercussions potentielles qu’elle peut présenter pour la vie privée, la protection des données et d’autres droits fondamentaux de la personne, si elle n’est pas correctement développée et réglementée. À cet égard, nous accueillons favorablement la Déclaration des min istres du numérique et des technologies du G7 d’avril 2023. Cette déclaration vient appuyer l’approche suivante : les lois, les règlements, les politiques et les normes relatifs à l’IA « doivent être axés sur l’être humain et guidés par des valeurs démocratiques, telles que la protection des droits de la personne et des libertés fondamentales et la protection de la vie privée et des données personnelles » [traduction].
3. Nous constatons que la législation actuelle s’applique aux produits et aux utilisations de l’IA générative, même si différentes juridictions continuent d’élaborer des lois et des politiques propres à l’IA.
4. Nous soulignons ci-après les principaux domaines où il y a des préoccupations quant aux risques pour la protection de la vie privée et des données qui pourraient se présenter dans le contexte d’outils d’IA, notamment :
   • Le fondement juridique pour le traitement des renseignements personnels, en particulier ceux des min eurs et des enfants, concernant ce qui suit :
   • les ensembles de données utilisés pour entraîner, vérifier et tester les modèles d’IA générative;
   • les interactions des individus avec les outils d’IA générative;
   • le contenu produit par les outils d’IA générative.
5. Les mesures de sécurité pour protéger contre les menaces et les attaques visant à :
6. reconstruire le modèle d’IA générative (attaque par inversion de modèle) pour extraire et reproduire les renseignements personnels qui ont été traités à l’origine dans les ensembles de données utilisés pour entraîner le modèle;
7. compromettre l’efficacité des mesures conçues pour favoriser la conformité aux autres exigences de la protection des données et de la vie privée.
8. Les mesures d’atténuation et de contrôle pour veiller à ce que les renseignements personnels générés par les outils d’IA générative soient :
9. exacts, complets et à jour;
10. dépourvus d’effets discriminatoires, illégaux ou autrement injustifiables.
11. Les mesures de transparence visant à promouvoir l’ouverture et l’explicabilité dans le fonctionnement des outils d’IA générative, surtout lorsque ces outils sont utilisés dans la prise de décision concernant des individus ou en soutien à cette prise de décision.
12. La production de documents techniques tout au long du cycle de développement pour évaluer la conformité des outils d’IA générative aux exigences de la protection des données et de la vie privée.
13. Les mesures techniques et organisationnelles pour veiller à ce que les individus qui sont touchés par ces systèmes, ou qui interagissent avec ces derniers, aient la capacité d’exercer leurs droits relativement aux outils d’IA générative en ce qui concerne :
14. l’accès à leurs renseignements personnels;
15. la rectification des renseignements personnels inexacts;
16. l’effacement des renseignements personnels;
17. le refus de faire l’objet de décisions fondées exclusivement sur un traitement automatisé, lesquelles ont des répercussions importantes.
18. Les mesures de responsabilité pour veiller à ce que les niveaux de responsabilité appropriés soient adoptés parmi les acteurs de la chaîne d’approvisionnement de l’IA, en particulier lorsque des modèles d’IA générative sont conçus les uns à partir des autres.
19. Limiter la collecte de données personnelles en recueillant uniquement celles qui sont nécessaires pour accomplir une tâche précise.
20. Nous tenons à souligner les récents développements au sein du G7. En particulier celui-ci : la Garante per la protezione dei dati personali – dans le cadre d’une enquête toujours en cours – a suspendu temporairement les services qui utilisent l’IA générative en Italie en raison d’une infraction présumée au Règlement général sur la protection des données (RGPD) et à sa loi nationale, bien que la suspension ait été levée après que des améliorations ont été apportées sur le plan de la transparence et des droits des personnes pour ce service, conformément à l’ordonnance de l’autorité italienne. Nous faisons valoir qu’une attention particulière de la part des entreprises technologiques aux obligations imposées par la loi et aux conseils des autorités de protection des données et de la vie privée et, le cas échéant, qu’une communication étroite entre les entreprises technologiques et ces autorités peuvent contribuer à une conception, à un développement et à un déploiement responsables des produits et des services d’IA générative. Cette approche permet de garantir la reconnaissance et la protection du droit à la vie privée et d’autres droits fondamentaux de la personne. Par ailleurs, nous attirons l’attention sur les diverses mesures prises actuellement par les autorités de protection des données et de la vie privée du G7, notamment :
    • examen de l’IA générative en fonction de leurs lois respectives et publication d’un avis d’application de la réglementation;
    • coopération et échange d’information sur de possibles mesures d’application de la loi au moyen, par exemple, de forums internationaux, d’un groupe de travail spécial et de rencontres bilatérales entre les autorités de protection des données et de la vie privée;
    • communication d’information sur l’IA, comme des orientations sur les meilleures pratiques à adopter pour protéger les données et assurer la conformité aux lois sur la protection des renseignements personnels;
    • soutien à des projets d’IA innovateurs ainsi qu’aux acteurs qui font preuve d’innovation, notamment au moyen d’un bac à sable réglementaire.
21. Les développeurs et les fournisseurs doivent intégrer la protection de la vie privée dans la conception, le fonctionnement et la gestion des nouveaux produits et services qui utilisent les technologies de l’IA générative, en se fondant sur le concept de « la vie privée dès la conception », et inscrire leurs choix et leurs analyses dans une évaluation des facteurs relatifs à la vie privée. En particulier, les développeurs et les fournisseurs doivent se conformer aux lois existantes et adhérer aux principes clés de protection des données et de la vie privée qui sont applicables et adoptés à l’échelle internationale, par exemple : la min imisation des données, la qualité des données, la finalité, la limitation de l’utilisation, les mesures de sécurité, la transparence, les droits des personnes concernées, y compris le droit d’être informé de la collecte et de l’utilisation de leurs données personnelles, et la responsabilité. Les développeurs et les fournisseurs devraient également mettre en place des mesures pour veiller à ce que les diffuseurs et les utilisateurs de leurs systèmes aient aussi la capacité de respecter leurs obligations en matière de protection des données et de la vie privée.
22. Les autorités de protection des données et de la vie privée du G7 conviennent qu’il est nécessaire d’approfondir la discussion sur la protection des données personnelles et la collaboration à cet égard – dans le contexte de l’IA générative et d’un point de vue éthique, juridique, social et technique. Nous continuerons de nous pencher sur la façon de protéger au mieux la vie privée relativement à l’IA générative dans le cadre des travaux du groupe de travail sur les technologies émergentes et du groupe de travail sur la coopération en matière d’application de la loi, constitués dans le cadre de la table ronde des autorités de protection des données et de la vie privée du G7. Nous contribuerons aux discussions sur l’IA générative tenues dans d’autres forums internationaux et soulignerons la nécessité d’accorder une attention particulière aux questions de protection des données et de la vie privée.