Bienvenue à la 18e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes. Conformément à l'article 10 (3)h) du Règlement et à la motion adoptée par le Comité le lundi 13 décembre 2021, le Comité reprend son étude sur l'utilisation et les impacts de la technologie de reconnaissance faciale.
La réunion d'aujourd'hui se déroule en mode hybride, conformément à l'ordre de la Chambre du 25 novembre 2021. Les députés y participent donc en personne dans la salle ou à distance par Zoom. Conformément à la directive du Bureau de régie interne du 10 mars 2022, toutes les personnes ici présentes doivent porter un masque, sauf les députés lorsqu'ils sont assis à leur place pendant les délibérations.
J'aimerais maintenant formuler quelques commentaires à l'intention des témoins et des députés. Tout d'abord, veuillez attendre que je vous nomme avant de prendre la parole. Les personnes qui participent à la séance par vidéoconférence sont priées de cliquer sur l'icône du microphone pour activer leur micro et de le mettre en sourdine lorsqu'elles ne s'expriment pas.
En ce qui concerne l'interprétation, sachez que si vous participez à la séance par Zoom, vous pouvez sélectionner au bas de votre écran l'audio du parquet, l'audio anglais ou l'audio français. Si vous êtes présents dans la salle, veuillez utiliser votre écouteur et sélectionnez le canal souhaité comme vous le feriez normalement.
J'aimerais maintenant souhaiter la bienvenue à nos témoins. Nous accueillons des représentants du Commissariat à la protection de la vie privée du Canada, à savoir Daniel Therrien, commissaire à la protection de la vie privée du Canada, et David Weinkauf, analyste principal de recherche en technologie de l'information.
Nous recevons également des représentants du Commissariat à l’information et à la protection de la vie privée de l’Ontario, à savoir Patricia Kosseim, commissaire, et Vance Lockton, conseiller principal en technologie et politique.
Enfin, nous accueillons la présidente de la Commission d'accès à l'information du Québec, Diane Poitras.
Nous allons maintenant entendre notre premier témoin. Chaque témoin peut faire une déclaration préliminaire d'une durée maximale de cinq minutes.
Commissaire Therrien, la parole est à vous.
:
Bonjour, monsieur le président.
Je vous remercie tous de m'avoir invité aujourd'hui. Je vous félicite d'avoir entrepris cet important travail dans le dossier de la reconnaissance faciale.
Comme c'est le cas de toutes les technologies, la reconnaissance faciale peut, si elle est utilisée de manière responsable, offrir d'importants avantages à la société. Cependant, elle peut aussi s'avérer extrêmement envahissante, permettre la surveillance à grande échelle, produire des résultats tendancieux et miner les droits de la personne, y compris le droit de participer librement, sans surveillance, à la vie démocratique. Elle se distingue des autres technologies dans la mesure où elle s'appuie sur la biométrie, c'est-à-dire sur des caractéristiques permanentes qui, contrairement à un mot de passe, ne peuvent être modifiées. Elle réduit considérablement l'autonomie personnelle, y compris le contrôle que chacun devrait exercer sur ses renseignements personnels. Son utilisation couvre les secteurs publics et privés, parfois pour des raisons importantes, comme lors d'enquêtes portant sur des crimes graves, ou pour prouver l'identité de quelqu'un, parfois pour des raisons de simple commodité.
La portée de votre étude est vaste. Dans le temps qui est à ma disposition, je mettrai l'accent sur l'utilisation de la technologie de reconnaissance faciale dans un contexte policier. Lors de ma dernière comparution devant vous au sujet de votre présente étude, le Commissariat avait terminé son enquête sur Clearview AI, une plateforme du secteur privé qui, selon nous et nos collègues du Québec, de la Colombie-Britannique et de l'Alberta, effectuait de la surveillance de masse.
Depuis, le Commissariat a examiné l'usage qu'avait fait la GRC de la technologie de Clearview AI. Nous en sommes venus à la conclusion que la GRC n'avait pas pris de mesures pour vérifier la légalité de la collecte de renseignements par Clearview AI et, en fait, qu'elle ne disposait d'aucun système lui permettant de s'assurer que les nouvelles technologies utilisées par l'entreprise sont conformes à la loi. Au bout du compte, nous avons déterminé que l'usage que faisait la GRC de la technologie de Clearview AI était illégal, puisqu'il reposait sur la collecte et l'utilisation illégale d'images faciales par son partenaire commercial.
[Traduction]
Forts de ces constatations, nous avons travaillé de concert avec nos homologues chargés de la protection de la vie privée de l’ensemble du Canada en vue d’élaborer des orientations conjointes sur l’utilisation de la reconnaissance faciale par les corps policiers. Ce document a pour objectif d’aider les services de police à s’assurer que toute utilisation de la technologie de reconnaissance faciale est conforme à la loi, limite les risques d’atteinte à la vie privée et respecte le droit à la vie privée. Nous publions la version finale de ce document aujourd’hui.
Dans le cadre de ce travail, nous avons lancé une consultation publique nationale portant sur l’utilisation de la technologie de la reconnaissance faciale par les services de police. Durant cette consultation, nous avons régulièrement entendu dire que les lois actuelles qui réglementent l’utilisation de la reconnaissance faciale n’offrent pas une protection suffisante contre les risques liés à la technologie. Même si tous les intervenants ont convenu que la loi devait être clarifiée, aucun consensus n’a été établi relativement à la teneur de nouvelles dispositions législatives. Il reviendra aux législateurs de décider comment concilier divers intérêts.
Au terme de cette consultation, mes collègues des provinces et territoires et moi-même sommes d’avis que l’approche à privilégier serait d’adopter un cadre législatif fondé sur quatre éléments clés, que nous avons décrit dans une déclaration commune que nous rendons publique aujourd’hui.
Nous recommandons en premier lieu que la loi définisse clairement et de manière explicite les fins pour lesquelles les services de police seraient autorisés à faire usage de la technologie de reconnaissance faciale, en plus d’interdire tout autre usage. Les fins autorisées devraient être impérieuses et proportionnelles aux risques très élevés que présente la technologie.
En deuxième lieu, puisqu’il n’est pas réaliste de penser que la loi puisse prévoir toutes les situations possibles, il importe qu’en plus de prévoir des restrictions concernant les fins autorisées, la loi exige aussi que l’utilisation de la reconnaissance faciale par les services de police soit à la fois nécessaire et proportionnelle pour tout déploiement donné de la technologie.
En troisième lieu, nous recommandons que l’usage de la reconnaissance faciale par les services de police fasse l’objet d’une surveillance indépendante rigoureuse. Cette surveillance devrait inclure des mesures de mobilisation préventive, comme des évaluations des facteurs relatifs à la vie privée, ou EFVP, des autorisations préalables au niveau des programmes, des préavis avant l’utilisation de la technologie ou le pouvoir de réaliser des vérifications et de rendre des ordonnances.
Enfin, nous recommandons que des mesures de protection de la vie privée appropriées soient mises en place afin d’atténuer les risques pour les personnes, y compris des mesures relatives à l’exactitude, à la conservation et à la transparence dans le cadre des projets d'utilisation de la reconnaissance faciale.
Je vous invite à tenir compte de nos recommandations pendant la mise au point de votre étude sur cet enjeu important.
[Français]
Je vous remercie de m'avoir donné l'occasion de témoigner devant vous.
Je répondrai volontiers à vos questions après les déclarations de mes collègues.
Je vous remercie de m'avoir invitée à prendre la parole aujourd'hui.
Je suis accompagnée de M. Vance Lockton, conseiller principal en technologie et politiques de mon bureau.
J'aimerais m'appuyer sur ce que vous venez d'entendre de la part du commissaire Therrien. Bien que tous les commissaires à la protection de la vie privée du Canada recommandent l'adoption d'un cadre législatif sur l'utilisation de la reconnaissance faciale dans le domaine de l'application de la loi, nous reconnaissons également que certains services de police utilisent déjà cette technologie ou envisagent de le faire. C'est pourquoi nous publions, aujourd'hui, un document d’orientation pour les services de police dans le but de minimiser les risques en attendant la mise en place d'un cadre législatif, tel que l'a décrit mon collègue, M. Therrien.
J'aimerais souligner cinq éléments clés de ce document d'orientation.
Premièrement, avant de recourir à la reconnaissance faciale à quelque fin que ce soit, les services de police doivent établir que la loi les autorise à le faire. Cela n'est pas acquis et ne peut pas être présumé. La reconnaissance faciale nécessite de recourir à des données biométriques délicates. La police doit donc consulter ses conseillers juridiques pour confirmer qu'elle dispose d'une autorité légale en vertu de la common law ou d'une loi particulière en vigueur sur son territoire de compétence. Elle doit aussi s'assurer que la Charte canadienne des droits et libertés est respectée et que l'utilisation de la reconnaissance faciale est nécessaire et pertinente, compte tenu des circonstances.
[Traduction]
Deuxièmement, les services de police doivent établir des mesures rigoureuses en matière de responsabilité. Ainsi, ils doivent intégrer des mesures de protection de la vie privée à toutes les étapes d'un projet de reconnaissance faciale et mener une évaluation des facteurs relatifs à la vie privée, ou une EFVP, afin de déterminer les risques et de les atténuer avant la mise en œuvre.
Ils doivent aussi mettre en place un programme solide de gestion de la protection de la vie privée, assorti de politiques et de procédures clairement documentées visant à limiter les fins de la reconnaissance faciale, de systèmes rigoureux de consignation de toutes les utilisations et divulgations connexes, et de titulaires de poste clairement responsables de la surveillance et de la conformité.
Un tel programme doit être examiné chaque année pour en garantir l'efficacité; il doit prévoir une formation appropriée et veiller à ce que les tiers fournisseurs de services respectent toutes leurs obligations en matière de protection de la vie privée.
Troisièmement, les services de police doivent garantir la qualité et l'exactitude des renseignements personnels utilisés par le système de RF, afin de prévenir les faux positifs, de réduire les risques de préjugés et d'éviter de causer des préjudices à des particuliers, des groupes ou des communautés. Pour assurer cette exactitude, il faut mener des essais internes et externes du système de RF afin de déterminer s'il a un effet discriminatoire et de prévoir une intervention humaine pour atténuer les risques associés aux décisions automatisées qui pourraient avoir une incidence importante sur les droits des personnes.
Quatrièmement, les services de police ne devraient pas conserver de renseignements personnels plus longtemps que nécessaire. Il faut donc détruire les images qui ne permettent pas d'établir de correspondance, et supprimer de la base de données les empreintes faciales dès que les critères de conservation ne sont plus respectés.
Cinquièmement, les services de police doivent s'occuper des questions de transparence et de communication avec le public. Dans le contexte d'enquêtes policières, il n'est pas toujours possible d'avertir directement le public chaque fois que la reconnaissance faciale est utilisée. Cependant, il est possible pour un service de police de faire preuve de transparence au niveau des programmes, par exemple, en publiant ses politiques officielles sur le recours à la RF, en décrivant en termes simples son programme de RF et en fournissant un résumé de son évaluation des facteurs relatifs à la vie privée.
Toutefois, la communication avec le public ne doit pas être à sens unique — les principaux intervenants et, en particulier, les représentants des groupes faisant l'objet d'une surveillance policière excessive doivent être consultés au cours de la conception même du programme de reconnaissance faciale. Compte tenu de l'importance de la réconciliation au Canada, cette consultation doit inclure la participation des communautés et des groupes autochtones.
Ce ne sont là que quelques-unes des mesures décrites dans le document d'orientation.
Nous croyons que ce document contient des mesures importantes d'atténuation des risques, mais je répète que notre principale recommandation porte sur l'établissement éventuel d'un cadre législatif complet pour régir l'utilisation de la RF par les services de police canadiens. Il faut établir des balises claires ayant force de loi pour que les services de police puissent faire un usage approprié de la technologie de RF, dans un cadre transparent susceptible de mériter la confiance durable du public.
Merci.
:
Merci, monsieur le président.
Bonjour, je vous remercie de cette invitation à échanger au sujet de la reconnaissance faciale.
En complément des propos de mes collègues, j'aimerais aborder brièvement les problèmes soulevés par d'autres utilisations de cette technologie et présenter ce que prévoit la législation québécoise. Comme l'ont mentionné plusieurs intervenants, l'utilisation de plus en plus répandue de la reconnaissance faciale dans différents contextes soulève des problèmes importants, notamment en ce qui a trait au respect de la vie privée.
Cette technologie qui allie biométrie et intelligence artificielle, notamment, est particulièrement invasive, entre autres parce qu'elle collecte et utilise des caractéristiques uniques du corps pour les transformer en données. Ces caractéristiques, comme certains traits de notre visage, sont au cœur de notre identité. Le fait que cette technologie puisse être utilisée à notre insu augmente la perte de contrôle sur nos renseignements et les risques de surveillance indue. Certaines utilisations proposées pour la reconnaissance faciale et ses dérivés infèrent des caractéristiques intimes à partir du visage ou de nos expressions faciales, comme l'âge, le sexe, l'origine ethnique, nos émotions, notre niveau d'attention, de fatigue ou de stress, des renseignements de santé ou certains traits de notre personnalité. Ces caractéristiques peuvent servir à catégoriser, détecter ou profiler des individus, et ce, à des fins commerciales, pour effectuer une certaine forme de surveillance ou encore pour prendre des décisions à leur sujet.
La création de banques de renseignements biométriques pose aussi des risques importants pour la vie privée. Il est difficile pour une personne dont les données biométriques ont été compromises de contester une transaction ou une action en cas d'erreur ou de fraude à l'identité compte tenu de la grande fiabilité qu'on accorde à ces renseignements uniques et permanents. Puisqu'il est quasi impossible de remplacer une donnée biométrique compromise, il peut être tout aussi complexe de rétablir son identité.
Soulignons aussi les risques élevés que ces banques biométriques créées dans un but précis soient utilisées à d'autres fins à notre insu et sans une évaluation adéquate des problèmes et des risques de cette nouvelle utilisation. C'est pourquoi la création de telles banques et le recours à la biométrie à des fins d'identification sont encadrés au Québec par la Loi concernant le cadre juridique des technologies de l'information et par les lois protégeant les renseignements personnels applicables aux organisations publiques et privées. Ainsi, la création de toute banque biométrique doit être déclarée à la Commission. À compter de septembre prochain, cela sera le cas de toute utilisation de la biométrie à des fins d'identification.
Au Québec, on ne peut recourir à la biométrie à des fins d'identification sans le consentement exprès de la personne concernée. Aucune caractéristique biométrique ne peut être saisie à son insu. Seul le minimum de caractéristiques biométriques peut être recueilli et utilisé. Tout autre renseignement qui pourrait être découvert à partir de ces caractéristiques ne peut être ni utilisé ni conservé. Enfin, les renseignements biométriques et toute note les concernant doivent être détruits lorsque l'objet qui fonde la vérification ou la confirmation d'identité est accompli. La Commission a de larges pouvoirs et peut rendre toute ordonnance concernant de telles banques, incluant les pouvoirs de suspendre ou d'interdire leur mise en service ou d'ordonner leur destruction. En plus de ces dispositions précises, les règles générales relatives à la protection des renseignements personnels s'appliquent. Cela implique, entre autres, que le recours à la reconnaissance faciale soit nécessaire et proportionnel à l'objectif poursuivi.
Nous constatons que les organisations n'accordent malheureusement pas toute l'importance qu'elles devraient à cette évaluation de conformité et aux problèmes liés à l'utilisation de la reconnaissance faciale. La popularité de la biométrie engendre une certaine banalisation de ses implications sur les citoyens. C'est pourquoi la Commission recommande qu'une évaluation des facteurs relatifs à la vie privée soit obligatoirement réalisée au préalable. Une telle évaluation sera d'ailleurs obligatoire à compter de septembre 2023. De plus, les renseignements biométriques seront expressément désignés comme des renseignements personnels sensibles. Bien que l'encadrement actuel de la biométrie au Québec permette à la Commission d'avoir un certain portrait de l'utilisation de la reconnaissance faciale et qu'il lui accorde des pouvoirs d'intervention, nous avons demandé qu'il soit bonifié pour tenir compte de l'évolution de cette technologie et des différents contextes de son utilisation.
Je vous remercie de votre attention. Je me ferai un plaisir d'échanger avec vous au cours des prochaines minutes.
Je me réjouis de la présence et des compétences de tous les commissaires qui participent à la séance d'aujourd'hui.
Je signale à tous les témoins que j'espère que nous serons en mesure d'obtenir une copie de la déclaration commune mentionnée afin qu'elle puisse être intégrée aux témoignages. Pourriez-vous simplement confirmer que cela est possible? Merci beaucoup.
Commissaire Therrien, au cours des dernières réunions consacrées à l'étude qui nous occupe, nous avons appris et entendu beaucoup de choses à propos de certains des défis associés à la technologie de reconnaissance faciale. Vous avez fait allusion aux consultations qui ont été menées. Pourriez-vous expliquer au Comité la nature de ces consultations en ce qui concerne la technologie de reconnaissance faciale et son utilisation, énumérer certains des intervenants qui ont participé à ces consultations et décrire certaines des tendances que vous avez pu remarquer au cours de ce processus?
Lorsque nous avons publié notre rapport d'enquête sur l'utilisation de Clearview par la GRC en juin dernier dans un rapport spécial au Parlement, nous avons lancé en même temps une consultation auprès des intervenants qui souhaitaient parler du projet de directives que nous avions publié au même moment. Une trentaine de groupes ou de personnes nous ont écrit, et nous avons également tenu des réunions avec un certain nombre d'intervenants.
Les intervenants représentaient la société civile, les groupes minoritaires et la police elle-même. J'ai rencontré à plusieurs reprises la GRC et l'Association canadienne des chefs de police, et mes collègues ont également rencontré les équivalents provinciaux. Un large éventail de personnes a été consulté. Les points de vue étaient variés, évidemment, parce que les intérêts étaient différents, mais tous étaient d'accord pour dire que, dans sa forme actuelle, la loi est insuffisante. Selon leurs intérêts, les divers intervenants ne s'entendaient pas nécessairement sur le contenu de cette loi.
:
Je commencerai par parler des cas où les gens sont tombés d'accord sans parler de la nécessité de modifier la loi.
De nombreuses personnes estimaient que les orientations avaient été rédigées ou élaborées avec un certain degré de généralité afin que les conseils soient utiles, mais elles souhaiteraient que les orientations soient au moins complétées par des conseils sur ce qui a été qualifié de « cas d'utilisation ». Notre réaction à cela est qu'il est effectivement nécessaire de fournir des conseils sur des utilisations particulières dans des contextes différents, car le contexte a une grande importance, mais nous pensons toujours qu'il est important et pertinent de disposer de conseils généraux qui peuvent être complétés à mesure que des cas d'utilisation sont définis.
Certains intervenants appartenant à la société civile ou à des groupes minoritaires ont demandé un moratoire sur l'utilisation de la reconnaissance faciale. La GRC n'approuvait évidemment pas cette idée. Notre position, en tant que commissaires, est que des lois claires devraient prescrire quand la reconnaissance faciale peut être utilisée, car elle peut être utilisée à des fins légitimes et utiles, ainsi que pour le bien de la société dans certaines circonstances — par exemple, dans des cas de crime grave ou pour retrouver des enfants disparus —, mais ces utilisations devraient être définies de manière assez étroite. La loi devrait également prescrire les utilisations interdites, ce qui serait, je suppose, une interdiction partielle ou un moratoire partiel sur l'utilisation de la reconnaissance faciale.
Si vous le permettez, je préciserai qu'en ce qui concerne la question du moratoire, nous ne pouvons pas, en tant qu'autorités de protection des données, imposer un moratoire ayant force de loi. Pour qu'un moratoire soit contraignant pour les services de police, il faudrait qu'il prenne la forme d'une loi.
J'ai été frappé par le témoignage que vous avez entendu la semaine dernière de la part d'un représentant de la GRC, à savoir que « La GRC croit que l'utilisation de la reconnaissance faciale doit être ciblée, limitée dans le temps et assujettie à des vérifications effectuées par des experts formés. »
:
Merci beaucoup, monsieur le président.
Je remercie également M. Therrien, Mme Kosseim et Mme Poitras de leurs témoignages aujourd'hui.
Je vais d'abord m'adresser à M. Therrien. Ensuite, je m'adresserai aux deux autres témoins.
Monsieur Therrien, je sais que vous avez déposé un rapport concernant l'utilisation de la reconnaissance faciale par la GRC, et je vous en remercie. J'ai trouvé cela très intéressant et très utile. Cela dit, j'aimerais prendre un peu de recul afin de pouvoir appliquer cela à tout le monde, non seulement aux gouvernements, mais aussi au secteur privé, comme la loi du Québec tente de le faire.
Croyez-vous que les conseils que vous avez donnés à la GRC relativement à l'utilisation de la reconnaissance faciale s'appliqueraient de manière générale au secteur privé?
:
Je vous remercie de votre question.
Comme mon collègue l'a dit, il est certain que les principes devraient s'appliquer, peu importe le secteur, en tenant compte évidemment du contexte et de l'éventail des risques en jeu. Je précise que l'Ontario ne possède pas de loi sur la protection des renseignements personnels qui s'appliquent au secteur privé. Toutefois, mon bureau est fortement d'accord sur l'idée proposée par le gouvernement d'en adopter une un jour.
En matière de protection des renseignements personnels, la plupart des entreprises sont assujetties aux lois fédérales. Or, cela laisse beaucoup de lacunes en Ontario. Dans beaucoup de secteurs, aucune loi ne protège les renseignements personnels des employés d'une grande majorité d'entreprises. Il s'agit donc d'une grande lacune. Je crois qu'il est important que les principes de base que nous mettons de l'avant dans nos lignes directrices s'appliquent et que nous procédions aux adaptations nécessaires pour les autres contextes. Nos lignes directrices sont précisément conçues pour le secteur de l'application de la loi et des services policiers.
Madame Poitras, j'applaudis à votre projet de loi, qui oblige les entreprises à se soumettre aux directives prévues par la loi d'ici 2023.
Je sais que je vous place dans une situation un peu inconfortable en vous posant cette question, mais pouvons-nous en faire plus, au Québec ou au gouvernement fédéral, pour protéger les citoyens des déboires de la technologie de reconnaissance faciale?
Le gouvernement fédéral devrait-il adopter une loi semblable à celle qui existe au Québec?
:
À quelques reprises, on vous a parlé d'un moratoire, souhaitable ou non, qui serait appliqué en attendant qu'une loi bonifiée soit adoptée. Il est clair, selon moi, qu'un moratoire pouvant lier les corps de police doit prendre la forme d'une loi. Cela dit, j'ai trouvé intéressant que le représentant de la GRC, la semaine dernière, évoque certains principes quant à l'utilisation de la reconnaissance faciale par la GRC. C'est la version anglaise que j'ai ici.
[Traduction]
Il a dit qu'elle doit être « ciblée, limitée dans le temps et assujettie à des vérifications effectuées par des experts formés. De plus, [elle] ne doit pas servir à confirmer l'identité, mais plutôt être considérée comme un outil d'enquête. »
[Français]
La question de la revue par un individu a été évoquée.
Vous pourriez demander à la GRC de s'engager à n'utiliser la reconnaissance faciale qu'en vertu des principes énoncés par son représentant la semaine dernière. Ce serait, selon moi, la meilleure façon d'arriver à un moratoire en attendant que la loi soit bonifiée.
:
Je vous remercie de votre question.
Comme vous le savez, la Commission d'accès à l'information du Québec a participé à l'enquête conjointe, avec ses homologues du gouvernement fédéral, de l'Alberta et de la Colombie‑Britannique. Par la suite, nous avons rendu une ordonnance en vertu de nos propres pouvoirs provinciaux. Notre décision a été portée en appel, comme il est possible de le faire au Québec, et elle est présentement devant les tribunaux.
Nous nous ferons un plaisir de vous faire parvenir la décision que nous avons rendue, qui explique notre position et qui se trouve sur notre site Internet. Malheureusement, comme l'affaire est devant les tribunaux, je m'abstiendrai de tout commentaire par respect pour le processus judiciaire.
:
Je vous remercie de la question.
La GRC n'était pas d'accord avec notre conclusion sur une question de droit, à savoir qu'elle violait la loi visant le secteur public en recourant à Clearview, mais elle a beaucoup collaboré avec nous en reconnaissant qu'elle devait se doter d'un meilleur mécanisme de vérification lorsqu'elle utilise des nouvelles technologies, qu'il s'agisse de reconnaissance faciale ou d'autres technologies.
Elle a donc accepté, je crois, l'idée qu'elle doit mettre en place des mécanismes de vérification, et nous avons de bonnes discussions avec elle depuis juin l'an dernier. Je ne pense pas qu'elle arrivera à mettre en œuvre toutes ces recommandations dans un délai d'un an, mais il y a eu d'importants progrès de réalisés.
:
Je vais donner une réponse d'avocat, qui, je pense, sera claire.
La disposition en cause est celle de la Loi sur la protection des renseignements personnels qui régit la collecte de renseignements, dans ce cas‑ci par la GRC. Ce que dit la GRC, c'est que cet article, l'article 4 de la Loi sur la protection des renseignements personnels, n'exige pas explicitement qu'une institution fédérale comme la GRC s'assure de la légalité des pratiques de son partenaire commercial avant que le secteur public n'utilise l'information.
Il est vrai que l'article 4 n'exige pas explicitement cela d'une institution fédérale; nous pensons que l'exigence existe implicitement. En gros, imaginez que les institutions fédérales puissent sous-traiter et être en mesure, par l'entremise de contrats avec le secteur privé, de s'engager dans des pratiques qu'elles ne peuvent pas adopter directement. C'est inacceptable. Nous pensons que la loi ne le permet pas.
Cela dit, est‑ce crédible ou raisonnable? La position de la GRC repose sur une base crédible. Dans la mesure où il y a une ambiguïté dans la loi, je vous encourage vivement à combler cette lacune et à exiger des institutions gouvernementales — pas seulement de la GRC, mais de toutes les institutions gouvernementales — qu'elles s'assurent que ce qu'elles achètent est légal lorsqu'elles font appel au secteur privé.
:
Je vous remercie beaucoup.
[Français]
Je remercie tous les témoins qui sont parmi nous aujourd'hui.
Je vais d'abord m'adresser à M. Therrien, mais je vais le faire en anglais, étant donné que c'est plus facile pour moi.
[Traduction]
Vous avez mentionné que tous les intervenants que vous avez consultés étaient d'accord pour dire que la loi sur la protection de la vie privée au Canada devait être mise à jour. C'est logique, car lorsqu'elle a été rédigée, nous ne connaissions pas la technologie de reconnaissance faciale.
J'aimerais savoir quel genre de conseil vous donneriez aux législateurs pour que la loi soit souple afin que nous n'ayons pas à la réécrire chaque fois qu'une nouvelle technologie apparaît. Comment pouvons-nous faire en sorte qu'elle soit souple et continue de s'appliquer lorsqu'il y a de nouveaux progrès technologiques?
:
C'est une bonne question.
Je dirais tout d'abord que nous avons, en effet, des lois. Nous avons évidemment la Charte et nous avons la common law, et il y a certaines lois comme la Loi sur la GRC qui régissent la situation. Dans le secteur privé, nous avons la Loi sur la protection des renseignements personnels et les documents électroniques.
Pour ce qui est de la souplesse nécessaire pour éviter que la loi ne devienne obsolète, l'un des avantages de la Loi sur la protection des renseignements personnels et les documents électroniques est qu'elle est fondée sur des principes, de sorte qu'elle ne vise pas à réglementer des situations particulières, mais traite de principes. Cependant, je pense que la reconnaissance faciale est l'élément où nous commençons à voir les limites des avantages d'une approche basée sur des principes, parce que si on réglemente la reconnaissance faciale en disant que l'utilisateur doit rendre des comptes, ou si on applique des principes de cette nature, ou la proportionnalité, on laisse beaucoup de latitude à la police pour exercer ces grands principes d'une manière qui convient à ses intérêts.
Je ne dis pas qu'il ne devrait pas y avoir de loi fondée sur des principes. De façon générale, cela a beaucoup de sens, mais dans le cas de la reconnaissance faciale, en raison des risques extrêmement élevés concernant la vie privée et d'autres droits, comme les droits démocratiques, le droit de manifester ou le droit à l'égalité, nous disons qu'il devrait y avoir des dispositions particulières — par exemple, dans le cas de la police — pour interdire les utilisations sauf dans certaines circonstances.
Une loi fondée sur des principes qui repose sur une base solide a du sens, mais dans le cas de la reconnaissance faciale, elle devrait inclure l'ajout de quelques règles particulières qui garantissent que les grands principes ne sont pas utilisés abusivement ou interprétés de manière trop large.
:
Merci, monsieur le président.
Monsieur Therrien, je vais procéder rapidement, mais, si vous pouviez nous fournir des informations par la suite, ce serait formidable.
On a parlé de Clearview AI, qui a fui le pays pour aller quelque part où il ne serait pas assujetti à nos lois, mais il y a également des compagnies comme Palantir, qui sont des acteurs importants dans l'industrie de la reconnaissance faciale et de la gestion des données.
Ces entreprises sont-elles capables d'autoréglementation?
:
En tant qu'autorités de protection des données, nous croyons que nous aurions un rôle à jouer pour ce qui est de la protection des données personnelles. Cependant, la reconnaissance faciale met en cause d'autres droits, comme le droit à l'égalité dans les cas de discrimination contre certains groupes, et il y a les droits démocratiques aussi.
Alors, nous ne demandons pas d'avoir un monopole sur la réglementation de la reconnaissance faciale, mais je pense que, comme dans d'autres domaines, il serait possible et utile d'avoir un certain nombre d'organismes de réglementation. Dans les cas de discrimination, par exemple, ce seraient la Commission canadienne des droits de la personne ou les équivalents dans les provinces.
Alors, nous pensons que nous avons un rôle à jouer dans la protection des données, mais d'autres agences de réglementation devraient aussi avoir des responsabilités.
Monsieur le président, l'un des témoins nous a déjà répondu aujourd'hui qu'une industrie privée ne pouvait pas s'autoréglementer. Vous vous souvenez certainement que, dans un témoignage précédent, la GRC a exprimé son désaccord avec les conclusions du commissaire à la protection de la vie privée concernant les infractions présentes, et je veux donc interroger le Commissariat à la protection de la vie privée à ce sujet.
Le Commissariat à la protection de la vie privée a conclu que l'utilisation de Clearview AI par la GRC contrevenait à la Loi sur la protection des renseignements personnels et à la LPRPDE. Dans son témoignage, la GRC a exprimé son désaccord avec les conclusions de l'enquête. Par votre intermédiaire, monsieur le président, pourquoi le Commissariat à la protection de la vie privée estime-t‑il que la GRC a enfreint la Loi sur la protection des renseignements personnels et la LPRPDE?
:
C'est possible. Je n'ai pas encore réfléchi aux éléments exacts de la législation qui devraient être modifiés.
Comme je l'ai indiqué dans ma réponse à une question précédente de Mme Hepfner, je pense que nous devons nous fonder sur des principes, auxquels s'ajouteraient quelques dispositions pour veiller à ce que les principes généraux ne puissent pas donner lieu à une interprétation trop généreuse. Il s'agirait assurément la LPRPDE, de la Loi sur la protection des renseignements personnels, et potentiellement du Code criminel.
La common law accorde une autorité importante à l'utilisation de diverses technologies. Le Code criminel pourrait éventuellement être examiné dans l'optique de restreindre certains de ces pouvoirs de la common law, mais je n'y ai pas réfléchi sérieusement.
:
Notre point de départ en tant que commissaires — mes collègues des provinces et territoires et moi-même — est que la loi devrait en définitive préciser les circonstances « permises » et « interdites » de l'utilisation de la reconnaissance faciale. Nous sommes en effet d'avis qu'il existe des circonstances impérieuses dans lesquelles cette technologie devrait être utilisable par les forces de police. Je ne serais pas favorable à une interdiction totale de cette technologie, nous devons pouvoir l'utiliser dans des circonstances impérieuses.
Lorsque j'ai fait référence à la GRC, je suggérais qu'à défaut de la législation que nous espérons vraiment voir adoptée dans un avenir assez proche, si la GRC s'engageait à n'utiliser cette technologie qu'en fonction d'une politique — et le représentant de la GRC la semaine dernière a relevé certaines caractéristiques de cette politique comme étant « ciblées, limitées dans le temps », etc. — il s'agirait d'un moratoire partiel volontaire, si vous me permettez cette expression.
En ce qui concerne l'interdiction totale de la reconnaissance faciale jusqu'à l'adoption d'une nouvelle loi, je n'y serais pas favorable.
:
Nous revenons à la question à laquelle j'ai répondu il y a quelques minutes.
Une législation fondée sur des principes et neutre sur le plan technologique pour le secteur privé est un bon point de départ. La raison pour laquelle nous recommandons l'adoption d'une législation particulière pour les forces de police est liée aux inconvénients de cette technologie particulière de reconnaissance faciale. Il se pourrait que certaines utilisations de cette technologie par des entreprises privées présentent des risques extrêmement élevés, non seulement pour la protection des renseignements personnels, mais aussi pour d'autres droits. Clearview en est un bon exemple. C'est ce que nous appelons de la surveillance de masse.
M. Fergus a mentionné d'autres circonstances. Je suis d'accord pour dire que le fait de susciter des émotions dans le but de vendre un produit, ou dans tout autre but, ne devrait pas être autorisé.
Nous allons fournir quelques exemples de législations adéquates. Il existe un projet de législation dans l'Union européenne, qui n'a pas encore été adopté, et qui constitue un bon modèle. Il faudrait évidemment l'adapter. Il stipule, entre autres, que la reconnaissance faciale ne doit pas être utilisée pour enfreindre les droits de la personne. Ce principe s'applique horizontalement, que ce soit à l'État ou aux entreprises privées. Je pense que les parlementaires canadiens devraient y réfléchir sérieusement.
:
Pour ce faire, il faut une législation fondée sur des principes, complétée — si nécessaire, compte tenu du contexte — par une législation plus spécifique.
Je tiens à ajouter ceci. Je vous ai entendu demander à certains témoins de ce Comité s'il est trop tard. Il n'est jamais trop tard. D'ailleurs, le fait que certaines pratiques se produisent actuellement ne devrait pas vous empêcher de faire le nécessaire et de réglementer la technologie d'une manière qui respecte les droits des Canadiens.
Nous vivons, pas complètement, mais en partie, dans un monde d'autorégulation qui a engendré certaines pratiques inacceptables. Le fait qu'elles soient routinières ou banales, comme le dirait ma collègue Diane Poitras, ne signifie pas que l'on doive continuer à les autoriser.
:
C'est une bonne question parce que le consentement des personnes, dans le contexte de la reconnaissance faciale, n'est pas toujours approprié.
Premièrement, il y a une asymétrie des pouvoirs, que ce soit entre le citoyen et l'État ou entre le citoyen et une grosse entreprise, comme les géants du Web, par exemple.
Deuxièmement, il est difficile de donner un consentement éclairé, qui est l'une des qualités essentielles d'un consentement. C'est une technologie extrêmement complexe, et la capacité du citoyen à donner un consentement éclairé est, à mon avis, très limitée. La façon de pallier ces consentements est d'autoriser, dans la loi, certaines utilisations, comme, par exemple, certaines des recommandations qui sont faites aujourd'hui. On pourrait également interdire certaines utilisations, là où l'on croit que, même avec un consentement ou une autorisation, l'usage ne serait pas approprié dans une société démocratique. Je pense que le fait de définir dans la loi certaines utilisations acceptables ou non est un premier pas dans la bonne direction.
:
Merci, monsieur le président.
Vous savez sans doute que nous avons passé beaucoup de temps à essayer de commencer à comprendre la technologie de reconnaissance faciale, mais je crois que l'intelligence artificielle représente peut-être un outil encore plus important au moyen duquel les interventions du secteur public et du secteur privé dans notre vie quotidienne modifient rapidement notre contexte social. Je pense à Rapport minoritaire. Je pense à la rhétorique de la police en matière de maintien de l'ordre proactif et à sa capacité de pratiquer une surveillance prédictive.
Mes questions s'adressent à la commissaire à l'information et à la protection de la vie privée de l'Ontario, qui a participé au processus qui a mené à l'élaboration de la politique sur l'utilisation des technologies d'intelligence artificielle par la Commission des services policiers de Toronto en formulant des commentaires dans le cadre de l'ébauche de la politique avant la consultation publique.
Les recommandations que vous avez formulées en vue de l'amélioration du projet de politique ont-elles été prises en compte dans la politique finale?
:
Je vais revenir à l'une de vos questions précédentes.
Si, dans certaines circonstances, on exigeait un mandat délivré par un tribunal, nous serions probablement dans une situation où ces modifications seraient apportées par l'entremise du Code criminel. Je n'ai pas beaucoup réfléchi à l'instrument global. Il est important que la loi soit adaptable, et donc fondée sur des principes, et il faut déterminer les utilisations qui sont permises et celles qui sont interdites. Donc, si on souhaite entrer dans des mécanismes tels que les mandats, le Code criminel serait peut-être justifié.
Pour ajouter à ce que disait ma collègue, la commissaire Kosseim, à propos de l'évolution de la loi — ce qui prend du temps —, nous avons actuellement un ensemble disparate de lois qui régissent la reconnaissance faciale. Nous avons la Charte au plus haut niveau. Nous avons la common law. Nous avons certaines lois, notamment des lois sur la protection de la vie privée, mais nous avons aussi d'autres lois. C'est donc un réseau complexe de lois.
Nous n'avons pas vu beaucoup d'exemples de l'utilisation de la technologie, mais grâce à l'utilisation de Clearview par la GRC, nous avons constaté que l'utilisation de la technologie par les services de police est parfois discutable.
Ce que j'essaie de dire, c'est qu'il faut agir assez rapidement, parce qu'entretemps, cet ensemble de lois peut être utilisé de nombreuses façons.
:
Je vous remercie, monsieur le président.
J'aimerais remercier tous les témoins qui comparaissent aujourd'hui. Ce processus d'apprentissage est très instructif.
Je serais heureuse que les trois témoins répondent à ma prochaine question.
Vous avez tous parlé de la nécessité de se doter de pouvoirs de vérification forts et indépendants en matière de surveillance dans le cas des processus qui utilisent la technologie de reconnaissance faciale, en particulier lorsqu'il s'agit des organismes d'application de la loi. Des représentants de la GRC et du Service de police de Toronto ont comparu brièvement la semaine dernière, et ils nous ont parlé de l'évaluation des risques et des conditions d'utilisation.
Quels sont les mécanismes ou les recommandations proposées sur la question de savoir qui détermine le niveau de risque qui justifie l'utilisation? Je suis heureuse que des recommandations aient été formulées, mais les détails sur la façon dont cela serait fait sont plutôt limités. L'évaluation des risques pourrait se faire en fonction des besoins immédiats. C'est presque comme si nous allions évaluer si l'utilisation était justifiée après coup.
M. Therrien pourrait peut-être répondre en premier.
:
Nous revenons à la complexité de l'élaboration de la loi.
Prenons l'exemple d'un crime grave qui, selon nos recommandations, permettrait à la police d'utiliser la reconnaissance faciale. La loi ne peut pas prévoir tous les cas individuels. Comme vous le dîtes, un service de police devra, dans ce cas, mener une évaluation de la gestion des risques.
Qu'est‑ce qui fait partie de la discussion avec l'organe de surveillance, y compris les commissaires à la protection de la vie privée? Je pense que cela commence par une discussion avant la mise en place du programme, c'est‑à‑dire une évaluation des facteurs relatifs à la vie privée. Comment évaluera‑t‑on le risque dans certaines circonstances?
Ensuite, si la police souhaite mettre sur pied un programme, nous pensons qu'il faudrait une autorisation dans le cadre du programme. Par exemple, la police décrit un programme qui vise à assurer la protection de personnes très importantes dans les espaces publics. C'est l'objectif du programme. La police et le Commissariat à la protection de la vie privée discutent de ce programme avant l'utilisation de la technologie. Une fois que la technologie est adoptée et effectivement utilisée, le cadre de surveillance devrait inclure le pouvoir d'enquêter sur les plaintes et de rendre des décisions sur la légalité de l'utilisation de la technologie dans un cas donné.
:
Je vous remercie de votre question.
Pour répondre directement à votre dernière question, nous croyons qu'un certain niveau de transparence est absolument essentiel. Nous comprenons qu'il ne sera pas possible de faire preuve de transparence pour chaque utilisation précise, mais la transparence devrait certainement s'appliquer aux programmes, notamment dans les évaluations des facteurs relatifs à la vie privée — si ce n'est pas dans leur intégralité, au moins sous forme de résumé des évaluations des facteurs relatifs à la vie privée.
En ce qui concerne votre question précédente sur la surveillance, je pense qu'il existe de multiples façons d'exercer cette surveillance sans passer par un examen législatif complet. Cela comprend les commissions qui jouent un rôle important en matière de surveillance, l'autorité provinciale en matière de protection des données, y compris mon bureau et mes collègues, ainsi que le public. La Commission ontarienne des droits de la personne, par exemple, dans ma province, a joué un rôle important en consultation avec notre organisme et d'autres intervenants dans l'élaboration d'un programme de caméra corporelle qui a été adopté.
Je pense qu'un processus de consultation multilatérale doit avoir lieu pour déterminer l'éventail complet des risques. Je tiens à souligner un point que nous avons évoqué à plusieurs reprises, à savoir qu'il existe un large éventail de cas d'utilisation, y compris des utilisations administratives de la reconnaissance faciale qui pourraient être acceptables et être adoptées.
Je sais que je vais manquer de temps et je veux être sûre de pouvoir poser ma prochaine question.
Madame Poitras, j'aimerais vous poser cette question.
Vous avez parlé de consentement, notamment en ce qui concerne l'utilisation commerciale et d'autres contextes. Par exemple, Cadillac Fairview et d'autres entreprises exploitent des espaces publics, mais ce sont des espaces de propriété privée.
Quels types de mécanismes pourrions-nous envisager pour l'exploitation et la gestion de la technologie de la reconnaissance faciale dans ces espaces, tout en nous assurant que le public est informé?
:
Merci, monsieur le président.
Encore une fois, je pense que les mécanismes peuvent être modulés selon le type d'utilisation. Il y a différentes formes de reconnaissance faciale. Il y a la reconnaissance faciale proprement dite, qui vise à identifier les individus. Toutefois, on emploie parfois le terme « reconnaissance faciale » pour désigner des dérivés de cette technologie, qui peuvent être utilisés à des fins commerciales, par exemple, dans les centres d'achat, où l'objectif n'est pas d'identifier l'individu, mais ses caractéristiques, comme son âge, son sexe, le temps qu'il a passé à regarder...
Je reviens à la notion de l'utilisation de l'intelligence artificielle par le secteur privé et des tierces parties avec les organismes d'application de la loi. Il y a même eu des allégations d'utilisation politique dans certains cas.
Ma question, par votre entremise, au Commissariat à l'information, est la suivante: avez-vous été en mesure, dans le cadre de votre mandat, d'explorer ou d'étudier l'utilisation de l'intelligence artificielle à des fins néfastes dans le secteur privé, tel que la surveillance des citoyens, le piratage téléphonique et ce genre de choses?