Cadres légaux applicables
Québec
Articles 4, 5, 7-12, 14, 22 (consentement, finalité, minimisation, conservation, EFVP article 3.3)
Loi québécoise sur la protection des renseignements personnels en vigueur depuis le 22 septembre 2023, encadrant la collecte, l'utilisation, la communication et la conservation des renseignements personnels par les entreprises et organismes publics. Inclut des obligations sur la prise de décision automatisée (article 12.1).
Articles sur la communication des renseignements de santé
Encadre l'utilisation, la communication et la conservation des renseignements de santé au Québec, y compris pour les usages secondaires (recherche, IA en santé).
Canada
Annexe 1 - 10 principes équitables
Loi fédérale canadienne applicable aux entreprises du secteur privé pour les renseignements personnels recueillis dans le cadre d'activités commerciales. S'applique notamment hors Québec.
UE
Articles 5, 6, 9, 25, 32, 35 (DPIA)
Règlement européen sur la protection des données. Pertinent pour les organisations québécoises traitant des données de résidents européens.
Articles 10, 26 (qualité des données)
Règlement européen établissant un cadre harmonisé pour l'IA, fondé sur une approche par risque (risque inacceptable, élevé, limité, minimal). Pertinent pour les organisations québécoises faisant affaire en UE.
Exemples sectoriels québécois
Banque et assurance
Un modèle d'analyse de transactions bancaires régurgite, lors de tests internes, des numéros de compte ou prénoms apparaissant dans son corpus d'entraînement, en violation de l'article 10 de la Loi 25.
Santé et services sociaux
Un assistant médical IA infère le statut sérologique d'un patient à partir de signaux indirects, exposant des renseignements de santé non communiqués explicitement par la personne concernée.
Services publics
Une preuve de concept municipale entraîne un modèle sur des courriels citoyens sans réaliser d'évaluation des facteurs relatifs à la vie privée (EFVP) prévue par l'article 3.3 de la Loi 25.
Mitigations recommandées
- 1.1Structure du conseil et surveillance
Structures de gouvernance et rôles de direction qui établissent la responsabilité de la haute direction en matière de sûreté et de gestion des risques liés à l'IA.
- 2.1Sécurité des modèles et de l'infrastructure
Garde-fous techniques et physiques qui sécurisent les modèles d'IA, leurs poids et l'infrastructure pour prévenir l'accès non autorisé, le vol, l'altération et l'espionnage.
- 3.2Gouvernance des données
Politiques et procédures qui encadrent l'acquisition, la curation et l'utilisation responsables des données afin d'assurer la conformité, la qualité, la confidentialité des utilisateurs et le retrait du contenu nuisible.
- 3.3Gestion des accès
Politiques opérationnelles et systèmes de vérification qui régissent qui peut utiliser les systèmes d'IA et à quelles fins, afin de prévenir le contournement de la sûreté, l'usage abusif délibéré et le déploiement dans des contextes à haut risque.
- 4.6Droits et recours des utilisateurs
Cadres et procédures qui permettent aux utilisateurs d'identifier et de comprendre les interactions avec les systèmes d'IA, de signaler des problèmes, de demander des explications et de solliciter un recours ou une réparation lorsqu'ils sont affectés par des systèmes d'IA.
Évaluez ce risque pour votre cas d'usage
Notre wizard d'évaluation des risques arrive prochainement.