Voici une copie du résumé du rapport. Pour consulter le rapport dans son intégralité, veuillez télécharger le PDF fourni par l'OVIC.

Résumé

Contexte

En décembre 2023, le ministère des Familles, de l'Équité et du Logement (DFFH) a signalé un incident de confidentialité au Bureau du Commissaire à l'information (OVIC), expliquant qu'un travailleur de la protection de l'enfance (CPW1) avait utilisé ChatGPT2 lors de la rédaction d'un rapport de demande de protection (rapport PA). Le rapport avait été soumis au tribunal pour enfants pour une affaire concernant un jeune enfant dont les parents avaient été accusés d'infractions sexuelles.

Les rapports PA sont essentiels pour protéger les enfants vulnérables qui ont besoin d'une intervention protectrice ordonnée par le tribunal pour assurer leur sécurité, leurs besoins et leurs droits. Ces rapports contiennent l'évaluation des risques et des besoins de l'enfant par les travailleurs de la protection de l'enfance, ainsi que la capacité des parents à assurer la sécurité et le développement de l'enfant.

Malgré sa popularité, l'utilisation d'outils d'intelligence artificielle générative (GenAI) tels que ChatGPT présente toute une série de risques pour la vie privée. Les risques liés aux informations personnelles inexactes et à la divulgation non autorisée d’informations personnelles sont les plus pertinents dans les circonstances actuelles.

Après avoir mené des enquêtes préliminaires auprès du DFFH, le commissaire adjoint à la protection de la vie privée et des données a ouvert une enquête en vertu de l’article 8C(2)(e) de la loi sur la protection de la vie privée et des données (PDP) en vue de décider s’il convient d’émettre un avis de conformité au DFFH en vertu de l’article 78 de cette loi. L’OVIC peut émettre un avis de conformité lorsqu’il détermine que :

a. une organisation a contrevenu à un ou plusieurs des principes de confidentialité des informations (IPP) ;

b. la violation est grave, répétée ou flagrante ; et

c. l’organisation devrait être tenue de prendre des mesures spécifiques dans un délai déterminé pour assurer la conformité avec les IPP.

Constatations

L’enquête de l’OVIC a confirmé les conclusions initiales du DFFH, à savoir que CPW1 a utilisé ChatGPT pour rédiger le rapport PA et a saisi des informations personnelles pour ce faire.

Le rapport contient une série d’indicateurs de l’utilisation de ChatGPT, liés à la fois à l’analyse et au langage utilisé dans le rapport. Il s’agit notamment de l’utilisation d’un langage non conforme à la formation des employés et aux directives de la protection de l’enfance, ainsi que d’une structure de phrase inappropriée.

Plus important encore, certaines parties du rapport comportaient des informations personnelles qui n’étaient pas exactes. Le rapport décrit en particulier la poupée d’enfant – qui a été signalée à la protection de l’enfance comme ayant été utilisée par le père de l’enfant à des fins sexuelles – comme un atout notable des efforts des parents pour soutenir les besoins de développement de l’enfant avec des « jouets adaptés à son âge ».

L’utilisation de ChatGPT a donc eu pour effet de minimiser la gravité du préjudice réel ou potentiel causé à l’enfant, avec le potentiel d’avoir un impact sur les décisions concernant les soins de l’enfant. Heureusement, les lacunes du rapport n’ont finalement pas modifié la prise de décision de la protection de l’enfance ou du tribunal concernant l’enfant.

En saisissant des informations personnelles et sensibles sur la mère, le père, la personne qui s’occupe de l’enfant et l’enfant dans ChatGPT, CPW1 a également divulgué ces informations à OpenAI (la société qui exploite ChatGPT). Cette divulgation non autorisée a libéré les informations du contrôle de DFFH, OpenAI étant en mesure de déterminer toute utilisation ou divulgation ultérieure de celles-ci.

Bien que l'enquête se soit concentrée sur l'incident du rapport PA, l'OVIC a également examiné d'autres utilisations potentielles de ChatGPT par CPW1 et son équipe élargie, ainsi que l'examen de l'utilisation générale de ChatGPT dans DFFH. Cela a révélé que :

• Un examen interne de DFFH sur tous les cas de protection de l'enfance traités par l'unité de travail élargie de CPW1 sur une période d'un an a identifié 100 cas avec des indicateurs que ChatGPT aurait pu être utilisé pour rédiger des documents liés à la protection de l'enfance.

• Au cours de la période de juillet à décembre 2023, près de 900 employés de DFFH ont accédé au site Web de ChatGPT, ce qui représente près de 13 % de ses effectifs.

Violation des IPP

Bien que l’incident du PA Report ait pu impliquer la violation de plusieurs IPP, l’enquête d’OVIC a spécifiquement examiné la gestion par DFFH des risques associés à l’utilisation de ChatGPT à travers le prisme de deux IPP :

• IPP 3.1 – qui exige que les organisations prennent des mesures raisonnables pour s’assurer que les informations personnelles qu’elles collectent, utilisent ou divulguent sont exactes, complètes et à jour.

• IPP 4.1 – qui exige que les organisations prennent des mesures raisonnables pour protéger les informations personnelles qu’elles détiennent contre toute utilisation abusive et perte et contre tout accès, modification ou divulgation non autorisés.

DFFH a indiqué à l’enquête d’OVIC qu’elle avait mis en place une série de contrôles au moment de l’incident du PA Report sous la forme de politiques, de procédures et de supports de formation existants (tels que sa politique d’utilisation acceptable de la technologie et ses modules d’apprentissage en ligne sur la confidentialité, la sécurité et les droits de l’homme).

Cependant, l’OVIC a constaté que ces contrôles étaient loin d’être suffisants pour atténuer les risques de confidentialité associés à l’utilisation de ChatGPT dans les affaires de protection de l’enfance. On ne pouvait pas s’attendre à ce que le personnel comprenne comment utiliser de manière appropriée les nouveaux outils GenAI comme ChatGPT à partir de ces documents d’orientation générale.

Il n’y avait aucune preuve qu’au moment de l’incident du rapport PA, le DFFH avait fait d’autres tentatives pour éduquer ou former le personnel sur le fonctionnement des outils GenAI et sur les risques de confidentialité qui y sont associés. De plus, il n’y avait aucune règle ministérielle en place sur le moment et la manière dont ces outils devraient ou ne devraient pas être utilisés. Il n’y avait pas non plus de contrôles techniques pour restreindre l’accès à des outils comme ChatGPT.

Essentiellement, le DFFH n’avait aucun contrôle visant à répondre aux risques de confidentialité spécifiques associés à ChatGPT et aux outils GenAI de manière plus générale. Le commissaire adjoint a donc conclu que le DFFH avait contrevenu à la fois à l’IPP 3.1 et à l’IPP 4.1 et a déterminé que les infractions étaient « graves » aux fins de l’article 78(1)(b)(i) de la loi PDP.

Émission d'un avis de conformité

La décision d'émettre ou non un avis de conformité a obligé l'OVIC à examiner les circonstances actuelles et à déterminer si le DFFH dispose actuellement de contrôles raisonnables pour empêcher des violations similaires des IPP 3.1 et IPP 4.1.

Depuis l'incident du rapport PA, le DFFH a publié des directives spécifiques sur l'intelligence artificielle générative pour « aider les employés à comprendre les risques, les limites et les opportunités liés à l'utilisation d'outils GenAI tels que ChatGPT ». Il a également fait la promotion de ces directives par le biais d'activités de sensibilisation.

Bien que le contenu de ces directives soit globalement adapté à l'objectif, il convient de noter que le DFFH n'a pratiquement aucune visibilité sur la manière dont les outils GenAI sont utilisés par le personnel. Malgré l'ampleur de l'utilisation des outils GenAI au sein du DFFH, il n'a aucun moyen de déterminer si des informations personnelles sont saisies dans ces outils et comment le contenu généré par GenAI est appliqué.

Dans ces circonstances, les contrôles mis en place par le DFFH sont insuffisants pour atténuer les risques que l'utilisation des outils GenAI entraîne des informations personnelles inexactes ou la divulgation non autorisée d'informations personnelles. C'est particulièrement le cas en matière de protection de l'enfance, où les risques de préjudice liés à l'utilisation des outils GenAI sont trop importants pour être gérés uniquement par des politiques et des directives.

Compte tenu de cela, l'OVIC considère qu'une lacune majeure dans les contrôles du DFFH est l'utilisation de solutions techniques pour gérer l'accès des employés aux outils GenAI. Plus précisément, le commissaire adjoint estime que ChatGPT et les outils GenAI similaires devraient être interdits d'utilisation par les employés de la protection de l'enfance. L'OVIC a donc émis un avis de conformité exigeant que le DFFH prenne les mesures spécifiées suivantes :

1. Émettre une directive au personnel de la protection de l'enfance stipulant qu'il ne doit utiliser aucun outil de texte GenAI basé sur le Web ou basé sur une interface de programmation d'application (API) externe (tel que ChatGPT) dans le cadre de ses fonctions officielles. Cette directive doit être émise avant le 24 septembre 20243.

2. Mettre en œuvre et maintenir le blocage du protocole Internet et/ou le blocage du serveur de noms de domaine pour empêcher le personnel de la protection de l'enfance d'utiliser les outils de texte GenAI basés sur le Web ou sur une API externe suivants : ChatGPT ; ChatSonic ; Claude ; Copy.AI ; Meta AI ; Grammarly ; HuggingChat ; Jasper ; NeuroFlash ; Poe ; ScribeHow ; QuillBot ; Wordtune ; Gemini ; et Copilot. La liste n'intègre pas les outils GenAI qui sont inclus en tant que fonctionnalités dans les moteurs de recherche couramment utilisés. Cette action doit être mise en œuvre d'ici le 5 novembre 2024 et maintenue jusqu'au 5 novembre 2026.

3. Mettre en œuvre et maintenir un programme permettant de rechercher régulièrement les outils de texte GenAI basés sur le Web ou sur des API externes qui apparaissent et qui sont similaires à ceux spécifiés dans l'action 2 - pour permettre le blocage efficace de l'accès du personnel de protection de l'enfance. Cette action doit être mise en œuvre d'ici le 5 novembre 2024 et maintenue jusqu'au 5 novembre 2026.

4. Mettre en œuvre et maintenir des contrôles pour empêcher le personnel de protection de l'enfance d'utiliser Microsoft 365 Copilot. Cette action doit être mise en œuvre d'ici le 5 novembre 2024 et maintenue jusqu'au 5 novembre 2026.

5. Fournir une notification à l'OVIC lors de la mise en œuvre de chacune des actions spécifiées 1 à 4 expliquant les mesures prises pour mettre en œuvre les actions spécifiées respectives.

6. Fournir un rapport à l'OVIC sur son suivi de l'efficacité des actions spécifiées énumérées 1 à 4 le 3 mars 2025 ; le 3 septembre 2025 ; le 3 mars 2026 ; et le 3 septembre 2026.

Réponse du DFFH à l'enquête

L'OVIC accueille favorablement la réponse du DFFH aux constatations et conclusions de ce rapport, comme indiqué à l'annexe B.

En résumé, le DFFH accepte la constatation selon laquelle il y a eu violation des IPP 3.1 et 4.1 et s'engage à traiter les actions spécifiées dans l'avis de conformité dans les délais impartis.

Cependant, dans sa réponse, le DFFH soutient que le rapport « n’a pas conclu que des membres du personnel avaient utilisé GenAI pour générer du contenu sur des questions professionnelles sensibles ». En fait, le rapport présente le contraire : le commissaire adjoint a conclu, selon la prépondérance des probabilités, que CPW1 avait utilisé ChatGPT pour générer du contenu qui a été utilisé dans le cadre d’une affaire professionnelle très sensible : la rédaction du rapport PA qui a été soumis au tribunal pour enfants pour une affaire de protection de l’enfance.