Skip to main content

Open Letter

Joint letter on Bill C-27’s impact on oversight of facial recognition technology

English
Français

To:
The Honourable François-Philippe Champagne, P.C., M.P., Minister of Innovation, Science and Industry

The Honourable Dominic LeBlanc, P.C., M.P., Minister of Public Safety
Joël Lightbound, Chair of the Standing Committee on Industry and Technology

CC:
The Honourable Harjit Singh Sajjan, Minister of Emergency Preparedness
The Honourable Pierre Poilievre, P.C., M.P., Leader of the Opposition
Yves-François Blanchet M.P., Bloc Québécois Leader
Jagmeet Singh M.P., NDP Leader
Elizabeth May M.P., Green Party Parliamentary Leader
Members of the Standing Committee on Access to Information, Privacy and Ethics
Members of the Standing Committee on Industry and Technology

Dear Ministers,

Joint letter on Bill C-27’s impact on oversight of facial recognition technology

As Bill C-27 comes to study by the Standing Committee on Industry and Technology (INDU), the Right2YourFace Coalition expresses our deep concerns with what Bill C-27 means for oversight of facial recognition technology (FRT) in Canada. 

FRT is a type of biometric recognition technology that uses artificial intelligence (AI) algorithms and other computational tools to ostensibly identify individuals based on their facial features. Researchers have found that these tools are about as invasive as technologies get. Biometric data, such as our faces, are inherently sensitive types of information. As mentioned in our Joint Letter of Concern regarding the government’s response to the ETHI Report on Facial Recognition Technology and the Growing Power of Artificial Intelligence, the use of FRT threatens human rights, equity principles, and fundamental freedoms including the right to privacy, freedom of association, freedom of assembly, and the right to non-discrimination. AI systems are being adopted at an increasingly rapid pace and Canada needs meaningful legislation to prevent the harms that FRT poses. As it stands, Bill C-27 is not that legislation – it is not fit for purpose and is in dire need of significant amendments. 

Bill C-27 is comprised of three parts and our concerns lie primarily with two of them: The Consumer Privacy Protection Act (CPPA) and the Artificial Intelligence and Data Act (AIDA). The CPPA creates the rules for data collection, use, and privacy that flow into implementations covered by the Artificial Intelligence and Data Act (AIDA). While implementations like FRT are the target of AIDA, the datasets FRT systems rely on must be collected and used under the terms of the CPPA. Consequently, we submit that both CPPA and AIDA require amendments to fully protect vulnerable biometric information.

We have identified five core issues with the Bill, including elements of both the CPPA and AIDA, that require immediate attention in order to avoid significant harm. They are: 

  1. The CPPA does not flag biometric information as sensitive information, and it does not define “sensitive information” at all. This omission leaves some of our most valuable and vulnerable information—including the faces to which we must have a right—without adequate protections;
  2. The CPPA’s “legitimate business purposes” exemption is too broad and will not protect consumers from private entities wishing to use FRT;
  3. “High impact systems” is undefined in AIDA. Leaving this crucial concept to be defined later in regulations leaves Canadians without meaningful basis from which to assess the impact of the Act, and FRT must be included;
  4. AIDA does not apply to government institutions, including national security agencies who use AI for surveillance, and exempts private sector AI technology developed for use by those national security agencies – creating an unprecedented power imbalance; and
  5. AIDA focuses on the concept of individual harm, which excludes the impacts of FRT on communities at large.

Biometric information is sensitive information and must be defined as such

Not all data are built the same, and they should not be treated the same. Biometric information is a particularly sensitive form of information that goes to the core of an individual’s identity. It includes, but is not limited to, face data, fingerprints, and vocal patterns, and carries with it particular risk for racial and gender bias. Biometric information must be considered as sensitive information and afforded relevant protections. While the CPPA mentions sensitive information in reference to the personal information of minors, the text of the Act neither defines nor protects it. This leaves some of our most valuable and vulnerable identifiable information without adequate protection. The CPPA should include special provisions for sensitive information, and its definition should explicitly provide for enhanced protection of biometric data – understanding that the safest biometric data is biometric data that does not exist. 

“Legitimate business purposes” requires a better definition to protect against abuse

The CPPA states in provision 12(2) that purposes which “represent legitimate business needs of the organization” are appropriate purposes to collect user information without the user’s knowledge or consent. It is not difficult to see businesses framing their use of FRT as in service of legitimate business purposes like loss prevention, which is already happening in the private sector despite being established as violating Canadian privacy law. Disturbingly, the CPPA’s legitimate business purpose loophole tilts the scales in favour of business over personal privacy, suggesting that individuals’ privacy rights are less important than profit.

It should be demonstrably clear that a person’s rights and freedoms must be adequately balanced. Provision 5 of the CPPA states that the purpose of the Act is to establish “rules to govern the protection of personal information.” Businesses, thus, should not be given free rein to decide that their use of FRT—and the risks to privacy that come with the use and collection of that highly sensitive data—qualifies as legitimate and that biometric data could be collected without an individual knowing or consenting. 

What is a high-impact system?

AIDA imposes additional measures on “high-impact systems”, requiring those who administer them to “assess and mitigate risks of harm or biased output.” Given that FRT and its associated AI systems have the ability to identify individuals using the above-mentioned biometric information, FRT must be considered high-impact. Yet, the Act offers no definition of what qualifies as high-impact, instead leaving this crucial step to the regulations.

The risk-based analysis associated with high-impact systems suggested by the wording in AIDA takes us down the wrong path. Would a grocery store’s coupon-distribution system be considered high-impact and thus require assessment and mitigation of risks of harm or biased output? What if that system were using FRT? What may seem to be a low-impact system of coupon distribution may in fact be incorporating and collecting biometric data. Given the risks and harms that FRT poses for human rights and fundamental freedoms, FRT’s impacts are both high and dangerous. 

A rights-based analysis must accompany risks-based calculations. A definition of high-impact systems that includes FRT and other biometric identification technologies must be included in the bill itself.

National Security is absent from the Bill but must be addressed within it

Section 3(2) of AIDA states that the Act does not apply to a “product, service, or activity under the direction or control of” government institutions including the Department of National Defence (DND), the Canadian Security Intelligence Service (CSIS), the Communications Security Establishment (CSE), or “any other person who is responsible for a federal or provincial department or agency and who is prescribed by regulation.” In plain language, private sector technology developed to be used by any of these institutions is exempt from AIDA’s reach. Given FRT’s connection to broader surveillance and AI-driven systems, excluding the DND, CSIS, and CSE—three pillars of Canada’s surveillance infrastructure—from AIDA leaves room for gross violations of privacy in the name of state security.

Further, provision 3(2)(d) gives regulators the ability to exclude whichever department or agency they please any time after AIDA has passed. This runs counter to the notion of accountable government and creates the risk that other organizations and departments using or wanting to use FRT may escape meaningful regulation and public consultation.

Collective – not just individual – harm must be considered

While protection of individuals’ data is central to AIDA, Parliament must remember that AI in general and FRT in particular is built on collective data that may pose collective harms to society. FRT systems are consistently less accurate for racialized individuals, children, elders, members of the LGBTQ+ community, and disabled people – which is in direct conflict with C-27’s intent to restrict biased outputs. This makes the inclusion of collective harm in C-27 all the more necessary.

Final Remarks

The above-outlined issues are by no means exhaustive but are crucial problems that leave Bill C-27 unequipped to protect individuals and communities from the risks of FRT. While we agree that Canada’s privacy protections need to meet the needs of an ever-evolving digital landscape, legislative and policy changes cannot be made at the cost of fundamental human rights or meaningful privacy protections. Parliament must meaningfully address these glaring issues. Together, we can work toward a digital landscape that prioritizes privacy, dignity, and human rights over profit.

Sincerely,

Canadian Civil Liberties Association

Privacy and Access Council of Canada

Ligue des droits et libertés

International Civil Liberties Monitoring Group

Criminalization and Punishment Education Project

The Dais at Toronto Metropolitan University

Digital Public 

Tech Reset Canada

BC Freedom of Information and Privacy Association

Aaron Tucker, Postdoctoral Scholar, University of Toronto

Adam Molnar, Assistant Professor, Sociology and Legal Studies, University of Waterloo

Alison Harvey, York University

Alessandra Puopolo, Technology and legal rights advocate

Ana Brandusescu, McGill University

Bianca Wylie, writer and public technology advocate

Brenda McPhail, Acting Executive Director, Master of Public Policy in Digital Society, McMaster University

Charles Luke Stark, Assistant Professor, Faculty of Information and Media Studies, Western University

Christelle Tessono, Tech Policy Researcher

Daniel Konikoff, Canadian Civil Liberties Association 

Danielle Thompson, PhD Candidate, Sociology and Legal Studies, University of Waterloo

Evan Light, York University

Fenwick McKelvey, Concordia University; Director of the Algorithmic Media Observatory

Florian Martin-Bariteau, Associate Professor of Law and University Research Chair in Technology and Society, University of Ottawa.

Jane Bailey, Professor, University of Ottawa Faculty of Law

Joanna Redden, Associate Professor, Faculty of Information and Media Studies, Western University

Joe Masoodi, The Dais, Toronto Metropolitan University

Justin Piché, PhD, Associate Professor, Criminology, University of Ottawa

Kanika Samuels-Wortley, Associate Professor and Canada Research Chair in in Systemic Racism, Technology, and Criminal Justice

Kate Winiarz, Canadian Civil Liberties Association

Kristen Thomasen, Assistant Professor, Peter A Allard School of Law, UBC

Laurence Guénette, Coordinator of the Ligue Des Droits et Libertés

Matthew Malone, Assistant Professor, Faculty of Law, Thompson Rivers University

Mike Larsen, BC Freedom of Information and Privacy Association

Prem Sylvester, Researcher, Digital Democracies Institute

Petra Molnar, York University and Harvard University 

Sébastien Gambs, Professor and Canada Research in Privacy-preserving and Ethical Analysis of Big Data, Université du Québec à Montréal

Seher Shafiq, Writer 

Sharon Polsky, Privacy and Access Council of Canada

Tim McSorley, International Civil Liberties Monitoring Group


Destinataires :
L’honorable Dominic LeBlanc, C.P., député, ministre de la Sécurité publique
L’honorable François-Philippe Champagne, C.P., député, ministre de l’Innovation, des Sciences et de l’Industrie
Joël Lightbound, président du Comité permanent de l’industrie et de la technologie

c.c.:
L’honorable Harjit Singh Sajjan, ministre de la Protection civile
L’honorable Pierre Poilievre, C.P., député, chef de l’opposition
Yves-François Blanchet, député, chef du Bloc Québécois
Jagmeet Singh, député, chef du NPD
Elizabeth May, députée, leader parlementaire du Parti vert
Membres du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI)
Membres du Comité permanent de l’industrie et de la technologie (INDU)

 

Mesdames et messieurs les ministres,

Lettre transpartisane sur l’incidence du projet de loi C-27 sur la surveillance des technologies de reconnaissance faciale

À la veille de l’étude du projet de loi C-27 par le Comité permanent de l’industrie et de la technologie (INDU), la coalition Right2YourFace exprime ses profondes préoccupations quant aux implications du projet de loi C-27 pour la surveillance de la technologie de reconnaissance faciale (TRF) au Canada. 

La TRF est un type de technologie de reconnaissance biométrique qui fait appel aux algorithmes d’intelligence artificielle (IA) et à d’autres outils informatiques ostensiblement pour identifier des personnes d’après les traits de leur visage. Les chercheurs ont constaté que ces outils technologiques sont parmi les plus envahissants qui soient. Les données biométriques, comme nos visages, sont des types de renseignements sensibles en soi. Comme nous l’avons mentionné dans notre lettre de préoccupation transpartisane concernant la réponse du gouvernement au Rapport sur la technologie de reconnaissance faciale et le pouvoir grandissant de l’intelligence artificielle de l’ETHI, le recours à la TRF menace les droits de la personne, les principes d’équité et les libertés fondamentales, notamment le droit à la vie privée, la liberté d’association, la liberté de réunion et le droit à la non-discrimination. Les systèmes d’IA sont adoptés à un rythme de plus en plus rapide et le Canada a besoin d’une mesure législative significative pour prévenir les préjudices causés par la TRF. Dans sa formule actuelle, le projet de loi C-27 n’est pas cette mesure. Il n’est pas adapté à l’objectif visé et nécessite des modifications importantes. 

Le projet de loi C-27 comprend trois parties et nos préoccupations portent principalement sur deux d’entre elles : la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur l’intelligence artificielle et les données (LIAD). La LPVPC énonce les règles relatives à la collecte, à l’utilisation et à la confidentialité des données qui s’appliquent aux mises en œuvre régies par la Loi sur l’intelligence artificielle et les données (LIAD). Si la LIAD régit des applications comme la TRF, la LPVPC régit la collecte et l’utilisation des ensembles de données sur lesquels les systèmes de TRF s’appuient. Par conséquent, nous estimons que la LPVPC et la LIAD doivent être modifiées afin de protéger pleinement les renseignements biométriques vulnérables.

Nous avons recensé cinq problèmes fondamentaux liés au projet de loi, y compris des éléments de la LPVPC et de la LIAD, qui requièrent une attention immédiate afin d’éviter des préjudices importants. Ce sont les suivants : 

  1. La LPVPC ne considère pas les renseignements biométriques comme des renseignements sensibles et ne définit pas du tout ce qu’est un « renseignement sensible ». Cette omission laisse certains de nos renseignements les plus précieux et les plus vulnérables – y compris notre visage qui doit être protégé par le droit – sans protection adéquate.
  2. L’exemption prévue par la LPVPC pour les « besoins commerciaux légitimes » est trop large et ne protégera pas les consommateurs contre les entités privées qui souhaitent utiliser la TRF.
  3. L’expression « système à incidence élevée » n’est pas définie dans la LIAD. En reportant la définition de ce concept essentiel dans les règlements, on prive les Canadiens d’une base significative pour évaluer l’incidence de la loi, et la TRF doit en faire partie.
  4. La LIAD ne s’applique pas aux institutions gouvernementales, y compris les agences de sécurité nationale qui utilisent l’IA à des fins de surveillance, et exempte les technologies d’IA du secteur privé mises au point pour être utilisées par ces agences de sécurité nationale, ce qui crée un déséquilibre de pouvoir sans précédent.
  5. La LIAD se concentre sur le concept de préjudice individuel, ce qui exclut l’incidence de la TRF sur les collectivités dans leur ensemble.

Les renseignements biométriques sont des renseignements sensibles et doivent être définis comme tels

Toutes les données ne sont pas construites de la même manière et il n’existe pas de traitement universel de celles-ci. Les renseignements biométriques sont une forme particulièrement sensible de renseignements qui touchent au cœur de l’identité d’un individu. Ils comprennent, entre autres, les données faciales, les empreintes digitales et les modèles vocaux, et comportent un risque particulier de préjugés raciaux et sexistes. Les renseignements biométriques doivent être considérés comme des renseignements sensibles et bénéficier des protections appropriées. Bien que la LPVPC mentionne les renseignements sensibles en référence aux renseignements personnels des mineurs, le texte de la loi ne les définit pas et ne les protège pas. Certains de nos renseignements identifiables les plus précieux et les plus vulnérables ne bénéficient donc pas d’une protection adéquate. La LPVPC devrait prévoir des dispositions particulières pour les renseignements sensibles, et sa définition devrait explicitement prévoir une protection renforcée des données biométriques – étant entendu que les données biométriques les plus sûres sont les données biométriques qui n’existent pas. 

La notion de « besoins commerciaux légitimes » doit être mieux définie pour éviter les abus

L’article 12, paragraphe 2, de la LPVPC stipule que les fins qui « correspondent à des besoins commerciaux légitimes de l’organisation » sont des fins acceptables pour collecter des renseignements sur l’utilisateur à son insu ou sans son consentement. Il n’est pas difficile de voir des entreprises présenter leur utilisation de la TRF comme étant au service d’objectifs commerciaux légitimes tels que la prévention des pertes, ce qui est déjà le cas dans le secteur privé bien qu’il soit établi qu’il s’agit d’une violation de la Loi sur la protection des renseignements personnels du Canada. Il est inquiétant de constater que l’échappatoire de la LCVPC concernant les besoins commerciaux légitimes fait pencher la balance en faveur des entreprises plutôt que de la vie privée, suggérant que le droit à la vie privée des individus est moins important que le profit.

Il devrait être clairement établi que les droits et les libertés d’une personne doivent être adéquatement pris en considération. La disposition 5 de la LPVPC stipule que l’objectif de la loi est d’établir « des règles régissant la protection des renseignements personnels ». Les entreprises, par conséquent, ne devraient pas avoir carte blanche pour décider que leur utilisation de la TRF – et les risques pour la protection des renseignements personnels qui accompagnent l’utilisation et la collecte de ces données très sensibles – est légitime et que les données biométriques peuvent être collectées à l’insu de l’intéressé ou sans son consentement. 

Qu’est-ce qu’un système à incidence élevée?

La LIAD impose des mesures supplémentaires aux « systèmes à incidence élevée », exigeant de leurs administrateurs qu’ils « évaluent et atténuent les risques de préjudices ou de résultats biaisés ». Étant donné que la TRF et les systèmes d’IA qui lui sont associés ont la capacité d’identifier des personnes à partir des renseignements biométriques susmentionnés, la TRF doit être considérée comme ayant une incidence élevée. Cependant, la loi ne donne aucune définition de ce qui constitue une incidence élevée, laissant cette étape cruciale à la réglementation.

L’analyse fondée sur le risque associé aux systèmes à incidence élevée suggérée par la formulation de la LIAD nous mène sur la mauvaise voie. Le système de distribution de bons de réduction d’un magasin d’alimentation serait-il considéré comme ayant une incidence élevée et nécessiterait-il donc une évaluation et une atténuation des risques de dommages ou de résultats biaisés? Et si ce système utilisait la TRF? Ce qui peut sembler être un système de distribution de bons à faible incidence peut en fait incorporer et collecter des données biométriques. Compte tenu des risques et des préjudices que la TRF fait peser sur les droits de la personne et les libertés fondamentales, les incidences de la TRF sont à la fois élevées et dangereuses.  

Une analyse fondée sur les droits doit accompagner les calculs fondés sur les risques. Une définition des systèmes à incidence élevée englobant la TFR et d’autres technologies d’identification biométrique doit être incluse dans le projet de loi lui-même.

La Sécurité nationale est absente du projet de loi, mais elle doit être abordée dans le cadre de celui-ci

L’article 3, paragraphe 2, de la LPVPC stipule que la loi ne s’applique pas aux « à l’égard des produits, services ou activités qui relèvent de la compétence ou de l’autorité » d’institutions gouvernementales, notamment le ministère de la Défense nationale (MDN), le Service canadien du renseignement de sécurité (SCRS), le Centre de la sécurité des télécommunications (CST), ou de « toute autre personne qui est responsable d’un ministère ou d’un organisme fédéral ou provincial et qui est désignée par règlement ». En clair, les technologies du secteur privé mises au point pour être utilisées par l’une ou l’autre de ces institutions sont exclues du champ d’application de la LIAD. Étant donné le lien entre la TRF et les systèmes de surveillance et d’IA plus larges, l’exclusion du MDN, du SCRS et du CST – trois piliers de l’infrastructure de surveillance du Canada – de la LIAD laisse place à des violations flagrantes de la vie privée au nom de la sécurité de l’État.

De plus, l’alinéa 3(2)d) donne au législateur la possibilité d’exclure le ministère ou l’agence de son choix à tout moment après l’adoption de la LIAD. Cela va à l’encontre de la notion de gouvernement responsable et entraîne le risque que d’autres organisations et ministères utilisant ou souhaitant utiliser la TRF échappent à une réglementation significative et à une consultation publique.

Le préjudice collectif – et pas seulement individuel – doit être pris en considération

Si la protection des données individuelles est au cœur de la LIAD, le Parlement ne doit pas oublier que l’IA en général et la TRF en particulier reposent sur des données collectives susceptibles de causer des préjudices collectifs à la société. Les systèmes de TRF sont systématiquement moins précis pour les personnes racialisées, les enfants, les personnes âgées, les membres de la communauté LGBTQ+ et les personnes handicapées, ce qui est en contradiction directe avec l’intention du projet de loi C-27 de limiter les résultats biaisés. Cela rend d’autant plus nécessaire l’inclusion du préjudice collectif dans le projet de loi C-27.

Observations finales

Les questions susmentionnées ne sont en aucun cas exhaustives, mais constituent des problèmes cruciaux associés à l’échec du projet de loi C-27 de protéger les individus et les collectivités contre les risques de la TRF. Si nous convenons que les protections de la vie privée au Canada doivent répondre aux besoins d’un paysage numérique en constante évolution, les changements législatifs et politiques ne peuvent se faire au détriment des droits de la personne fondamentaux ou de protections significatives des renseignements personnels. Le Parlement doit s’attaquer sérieusement à ces problèmes flagrants. Ensemble, nous pouvons œuvrer en faveur d’un paysage numérique qui privilégie la protection des renseignements personnels, la dignité et les droits de la personne plutôt que le profit.

Nous vous prions d’agréer, Mesdames et messieurs les ministres, l’expression de notre considération respectueuse.

Association canadienne des libertés civiles

Conseil du Canada de l’accès à la vie privée

Ligue des droits et libertés

Coalition pour la surveillance internationale des libertés civiles

Projet d’éducation sur la criminalisation et la punition

The Dais à l’Université métropolitaine de Toronto

Digital Public 

Tech Reset Canada

BC Freedom of Information and Privacy Association

Aaron Tucker, Chercheur postdoctoral, Université de Toronto

Adam Molnar, Professeur adjoint, sociologie et études juridiques, Université de Waterloo

Alison Harvey, Université York

Alessandra Puopolo, avocate de la technologie et des droits juridiques

Ana Brandusescu, Université McGill

Bianca Wylie, écrivaine et défenseur public de la technologie

Brenda McPhail, Directrice exécutif par intérim, maîtrise en politiques publiques dans la société numérique, Université McMaster

Charles Luke Stark, Professeur adjoint, Faculté des études de l’information et des médias, Université Western

Christelle Tessono, Chercheuse en politique technologique

Daniel Konikoff, Association canadienne des libertés civiles 

Danielle Thompson, Candidate au doctorat, sociologie et études juridiques, Université de Waterloo

Evan Light, Université York

Fenwick McKelvey, Université Concordia; Directeur de l’Observatoire Algorithmique des Médias

Florian Martin-Bariteau, Professeur agrégé de droit et Chaire de recherche universitaire en technologie et société, Université d’Ottawa

Jane Bailey, Professeure, Faculté de droit de l’Université d’Ottawa

Joanna Redden, Professeur agrégé, Faculté des études de l’information et des médias, Université Western

Joe Masoodi, The Dais, Université métropolitaine de Toronto

Justin Piché, PhD, Professeur agrégé, criminologie, Université d’Ottawa

Kanika Samuels-Wortley, Professeur agrégé et Chaire de recherche du Canada sur le racisme systémique, la technologie et la justice pénale

Kate Winiarz, Association canadienne des libertés civiles

Kristen Thomasen, Professeur adjoint, Faculté de droit Peter A Allard, UBC

Laurence Guénette, Coordonnatrice Ligue Des Droits et Libertés

Matthew Malone, Professeur adjoint, Faculté de droit, Université Thompson Rivers

Mike Larsen, Association pour l’accès à l’information et la protection de la vie privée de la Colombie-Britannique

Prem Sylvester, Chercheur, Institut des démocraties numériques

Petra Molnar, Université et Université Harvard

Sébastien Gambs, Professeur et Chaire de recherche du Canada en analyse respectueuse de la vie privée et éthique des données massives, Université du Québec à Montréal

Seher Shafiq, écrivaine

Sharon Polsky, Conseil canadien de la protection de la vie privée et de l’accès

Tim McSorely, Coalition pour la surveillance internationale des libertés civiles

Past open letter to ETHI Committee