La législation canadienne sur la technologie de reconnaissance faciale est dangereuse, affirment des groupes de la société civile et des universitaires

Right2YourFace | Direction Informatique

Le 1er novembre 2023, la Coalition Right2YourFace – un groupe d’éminents organismes de la société civile et d’universitaires – a envoyé la lettre ci-dessous au ministre de la Sécurité publique, au ministre de l’Innovation, des Sciences et de l’Industrie et à d’autres parties concernées, déclarant que le nouveau projet de loi du gouvernement en matière de protection de la vie privée et d’IA ne suffit pas et sera dangereux pour les Canadien.nes.

Veuillez agir pour protéger les Canadien.nes contre la technologie de reconnaissance faciale!

ACTION

Lettre transpartisane sur l’incidence du projet de loi C-27 sur la surveillance des technologies de reconnaissance faciale

À la veille de l’étude du projet de loi C-27 par le Comité permanent de l’industrie et de la technologie (INDU), la coalition Right2YourFace exprime ses profondes préoccupations quant aux implications du projet de loi C-27 pour la surveillance de la technologie de reconnaissance faciale (TRF) au Canada.

La TRF est un type de technologie de reconnaissance biométrique qui fait appel aux algorithmes d’intelligence artificielle (IA) et à d’autres outils informatiques ostensiblement pour identifier des personnes d’après les traits de leur visage. Les chercheurs ont constaté que ces outils technologiques sont parmi les plus envahissants qui soient. Les données biométriques, comme nos visages, sont des types de renseignements sensibles en soi. Comme nous l’avons mentionné dans notre lettre de préoccupation transpartisane concernant la réponse du gouvernement au Rapport sur la technologie de reconnaissance faciale et le pouvoir grandissant de l’intelligence artificielle de l’ETHI, le recours à la TRF menace les droits de la personne, les principes d’équité et les libertés fondamentales, notamment le droit à la vie privée, la liberté d’association, la liberté de réunion et le droit à la non-discrimination. Les systèmes d’IA sont adoptés à un rythme de plus en plus rapide et le Canada a besoin d’une mesure législative significative pour prévenir les préjudices causés par la TRF. Dans sa formule actuelle, le projet de loi C-27 n’est pas cette mesure. Il n’est pas adapté à l’objectif visé et nécessite des modifications importantes.

Le projet de loi C-27 comprend trois parties et nos préoccupations portent principalement sur deux d’entre elles : la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur l’intelligence artificielle et les données (LIAD). La LPVPC énonce les règles relatives à la collecte, à l’utilisation et à la confidentialité des données qui s’appliquent aux mises en œuvre régies par la Loi sur l’intelligence artificielle et les données (LIAD). Si la LIAD régit des applications comme la TRF, la LPVPC régit la collecte et l’utilisation des ensembles de données sur lesquels les systèmes de TRF s’appuient. Par conséquent, nous estimons que la LPVPC et la LIAD doivent être modifiées afin de protéger pleinement les renseignements biométriques vulnérables.

Nous avons recensé cinq problèmes fondamentaux liés au projet de loi, y compris des éléments de la LPVPC et de la LIAD, qui requièrent une attention immédiate afin d’éviter des préjudices importants. Ce sont les suivants :

  1. La LPVPC ne considère pas les renseignements biométriques comme des renseignements sensibles et ne définit pas du tout ce qu’est un « renseignement sensible ». Cette omission laisse certains de nos renseignements les plus précieux et les plus vulnérables – y compris notre visage qui doit être protégé par le droit – sans protection adéquate.
  2. L’exemption prévue par la LPVPC pour les « besoins commerciaux légitimes » est trop large et ne protégera pas les consommateurs contre les entités privées qui souhaitent utiliser la TRF.
  3. L’expression « système à incidence élevée » n’est pas définie dans la LIAD. En reportant la définition de ce concept essentiel dans les règlements, on prive les Canadiens d’une base significative pour évaluer l’incidence de la loi, et la TRF doit en faire partie.
  4. La LIAD ne s’applique pas aux institutions gouvernementales, y compris les agences de sécurité nationale qui utilisent l’IA à des fins de surveillance, et exempte les technologies d’IA du secteur privé mises au point pour être utilisées par ces agences de sécurité nationale, ce qui crée un déséquilibre de pouvoir sans précédent.
  5. La LIAD se concentre sur le concept de préjudice individuel, ce qui exclut l’incidence de la TRF sur les collectivités dans leur ensemble.

Les renseignements biométriques sont des renseignements sensibles et doivent être définis comme tels

Toutes les données ne sont pas construites de la même manière et il n’existe pas de traitement universel de celles-ci. Les renseignements biométriques sont une forme particulièrement sensible de renseignements qui touchent au cœur de l’identité d’un individu. Ils comprennent, entre autres, les données faciales, les empreintes digitales et les modèles vocaux, et comportent un risque particulier de préjugés raciaux et sexistes. Les renseignements biométriques doivent être considérés comme des renseignements sensibles et bénéficier des protections appropriées. Bien que la LPVPC mentionne les renseignements sensibles en référence aux renseignements personnels des mineurs, le texte de la loi ne les définit pas et ne les protège pas. Certains de nos renseignements identifiables les plus précieux et les plus vulnérables ne bénéficient donc pas d’une protection adéquate. La LPVPC devrait prévoir des dispositions particulières pour les renseignements sensibles, et sa définition devrait explicitement prévoir une protection renforcée des données biométriques – étant entendu que les données biométriques les plus sûres sont les données biométriques qui n’existent pas.

La notion de « besoins commerciaux légitimes » doit être mieux définie pour éviter les abus

L’article 12, paragraphe 2, de la LPVPC stipule que les fins qui « correspondent à des besoins commerciaux légitimes de l’organisation » sont des fins acceptables pour collecter des renseignements sur l’utilisateur à son insu ou sans son consentement. Il n’est pas difficile de voir des entreprises présenter leur utilisation de la TRF comme étant au service d’objectifs commerciaux légitimes tels que la prévention des pertes, ce qui est déjà le cas dans le secteur privé bien qu’il soit établi qu’il s’agit d’une violation de la Loi sur la protection des renseignements personnels du Canada. Il est inquiétant de constater que l’échappatoire de la LCVPC concernant les besoins commerciaux légitimes fait pencher la balance en faveur des entreprises plutôt que de la vie privée, suggérant que le droit à la vie privée des individus est moins important que le profit.

Il devrait être clairement établi que les droits et les libertés d’une personne doivent être adéquatement pris en considération. La disposition 5 de la LPVPC stipule que l’objectif de la loi est d’établir « des règles régissant la protection des renseignements personnels ». Les entreprises, par conséquent, ne devraient pas avoir carte blanche pour décider que leur utilisation de la TRF – et les risques pour la protection des renseignements personnels qui accompagnent l’utilisation et la collecte de ces données très sensibles – est légitime et que les données biométriques peuvent être collectées à l’insu de l’intéressé ou sans son consentement.

Qu’est-ce qu’un système à incidence élevée?

La LIAD impose des mesures supplémentaires aux « systèmes à incidence élevée », exigeant de leurs administrateurs qu’ils « évaluent et atténuent les risques de préjudices ou de résultats biaisés ». Étant donné que la TRF et les systèmes d’IA qui lui sont associés ont la capacité d’identifier des personnes à partir des renseignements biométriques susmentionnés, la TRF doit être considérée comme ayant une incidence élevée. Cependant, la loi ne donne aucune définition de ce qui constitue une incidence élevée, laissant cette étape cruciale à la réglementation.

L’analyse fondée sur le risque associé aux systèmes à incidence élevée suggérée par la formulation de la LIAD nous mène sur la mauvaise voie. Le système de distribution de bons de réduction d’un magasin d’alimentation serait-il considéré comme ayant une incidence élevée et nécessiterait-il donc une évaluation et une atténuation des risques de dommages ou de résultats biaisés? Et si ce système utilisait la TRF? Ce qui peut sembler être un système de distribution de bons à faible incidence peut en fait incorporer et collecter des données biométriques. Compte tenu des risques et des préjudices que la TRF fait peser sur les droits de la personne et les libertés fondamentales, les incidences de la TRF sont à la fois élevées et dangereuses.

Une analyse fondée sur les droits doit accompagner les calculs fondés sur les risques. Une définition des systèmes à incidence élevée englobant la TFR et d’autres technologies d’identification biométrique doit être incluse dans le projet de loi lui-même.

La Sécurité nationale est absente du projet de loi, mais elle doit être abordée dans le cadre de celui-ci

L’article 3, paragraphe 2, de la LPVPC stipule que la loi ne s’applique pas aux « à l’égard des produits, services ou activités qui relèvent de la compétence ou de l’autorité » d’institutions gouvernementales, notamment le ministère de la Défense nationale (MDN), le Service canadien du renseignement de sécurité (SCRS), le Centre de la sécurité des télécommunications (CST), ou de « toute autre personne qui est responsable d’un ministère ou d’un organisme fédéral ou provincial et qui est désignée par règlement ». En clair, les technologies du secteur privé mises au point pour être utilisées par l’une ou l’autre de ces institutions sont exclues du champ d’application de la LIAD. Étant donné le lien entre la TRF et les systèmes de surveillance et d’IA plus larges, l’exclusion du MDN, du SCRS et du CST – trois piliers de l’infrastructure de surveillance du Canada – de la LIAD laisse place à des violations flagrantes de la vie privée au nom de la sécurité de l’État.

De plus, l’alinéa 3(2)d) donne au législateur la possibilité d’exclure le ministère ou l’agence de son choix à tout moment après l’adoption de la LIAD. Cela va à l’encontre de la notion de gouvernement responsable et entraîne le risque que d’autres organisations et ministères utilisant ou souhaitant utiliser la TRF échappent à une réglementation significative et à une consultation publique.

Le préjudice collectif – et pas seulement individuel – doit être pris en considération

Si la protection des données individuelles est au cœur de la LIAD, le Parlement ne doit pas oublier que l’IA en général et la TRF en particulier reposent sur des données collectives susceptibles de causer des préjudices collectifs à la société. Les systèmes de TRF sont systématiquement moins précis pour les personnes racialisées, les enfants, les personnes âgées, les membres de la communauté LGBTQ+ et les personnes handicapées, ce qui est en contradiction directe avec l’intention du projet de loi C-27 de limiter les résultats biaisés. Cela rend d’autant plus nécessaire l’inclusion du préjudice collectif dans le projet de loi C-27.

Observations finales

Les questions susmentionnées ne sont en aucun cas exhaustives, mais constituent des problèmes cruciaux associés à l’échec du projet de loi C-27 de protéger les individus et les collectivités contre les risques de la TRF. Si nous convenons que les protections de la vie privée au Canada doivent répondre aux besoins d’un paysage numérique en constante évolution, les changements législatifs et politiques ne peuvent se faire au détriment des droits de la personne fondamentaux ou de protections significatives des renseignements personnels. Le Parlement doit s’attaquer sérieusement à ces problèmes flagrants. Ensemble, nous pouvons œuvrer en faveur d’un paysage numérique qui privilégie la protection des renseignements personnels, la dignité et les droits de la personne plutôt que le profit.

Nous vous prions d’agréer l’expression de notre considération respectueuse.

Association canadienne des libertés civiles

Conseil du Canada de l’accès à la vie privée

Ligue des droits et libertés

Coalition pour la surveillance internationale des libertés civiles

Projet d’éducation sur la criminalisation et la punition

The Dais à Toronto Metropolitan University

Digital Public

Tech Reset Canada

BC Freedom of Information and Privacy Association

Voyez la liste complète des signataires ici (sous la version anglaise).

Visionnez la conférence de presse ici.

Puisque vous êtes ici…

… nous avons une faveur à vous demander. À la CSILC, nous travaillons sans relâche afin de protéger et promouvoir les droits humains et les libertés civiles dans le contexte de la soi-disant “guerre au terrorisme” au Canada. Nous ne recevons aucune aide financière des gouvernements municipaux, provinciaux et fédéral, ni d’aucun parti politique.Vous pouvez devenir notre mécène sur Patreon et recevoir des récompenses en échange de votre soutien. Vous pouvez donner aussi peu que 1$ par mois (c’est seulement 12$ par année!) et vous pouvez vous désabonner en tout temps. Tout don nous aidera à poursuivre notre travail.support-usVous pouvez également faire un don unique ou donner mensuellement par Paypal en cliquant sur le bouton ci-dessous. Vous hésitez à donner? Consulter la page sur nos nombreuses Réalisations et Acquis depuis 2002. Merci de votre générosité!