Un paysage réglementaire en mutation
Le Québec ne dispose pas, à ce jour, d'une loi spécifiquement consacrée à l'intelligence artificielle. Pour autant, cela ne signifie pas que l'IA évolue dans un vide juridique. Plusieurs lois existantes, tant provinciales que fédérales, s'appliquent directement ou indirectement aux systèmes d'IA et à leurs impacts. L'enjeu pour les professionnels et les décideurs consiste à naviguer dans ce paysage réglementaire composite et à anticiper les évolutions à venir.
Les fondements constitutionnels et la répartition des compétences
Le cadre juridique applicable à l'IA au Québec s'inscrit dans le partage des compétences prévu par la Constitution canadienne. Les compétences provinciales en matière de propriété et de droits civils, d'administration de la justice, d'éducation et de santé donnent au Québec une marge de manœuvre considérable pour encadrer l'IA dans ces domaines. Le droit civil québécois, fondé sur le Code civil du Québec, offre des mécanismes propres en matière de responsabilité, de consentement et de protection de la personne qui peuvent être mobilisés dans le contexte de l'IA.
Le gouvernement fédéral, pour sa part, exerce ses compétences en matière de commerce interprovincial et international, de télécommunications, de droit criminel et de défense nationale. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) constitue le pendant fédéral en matière de vie privée dans le secteur privé, bien que le Québec bénéficie d'une exemption partielle en raison de la similarité substantielle de sa propre législation.
La Loi sur la protection des renseignements personnels dans le secteur privé
Modernisée en profondeur par la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), adoptée en septembre 2021, cette loi constitue le pilier central du cadre applicable à l'IA au Québec. Ses dispositions, entrées en vigueur de manière progressive entre 2022 et 2024, imposent des obligations significatives aux entreprises qui utilisent des systèmes d'IA traitant des renseignements personnels.
Parmi les dispositions les plus pertinentes pour l'IA, on retrouve l'obligation de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout projet impliquant la collecte, l'utilisation ou la communication de renseignements personnels. Cette obligation est particulièrement importante pour les projets d'IA, qui reposent massivement sur le traitement de données. La loi exige également le consentement manifeste, libre et éclairé des personnes concernées, un défi de taille lorsque les finalités du traitement par IA sont complexes ou évolutives.
La Loi 25 introduit aussi le droit à l'explication pour les décisions fondées exclusivement sur un traitement automatisé de renseignements personnels. Ce droit, qui entre en résonance avec les dispositions du Règlement général sur la protection des données (RGPD) européen, oblige les organisations à informer les personnes concernées et à leur fournir, sur demande, les renseignements personnels utilisés dans la prise de décision, les raisons et les principaux facteurs ayant mené à la décision, ainsi que la possibilité de faire rectifier les renseignements personnels utilisés.
La Loi sur l'accès aux documents des organismes publics
Cette loi, également modernisée par la Loi 25, encadre le traitement des renseignements personnels par les organismes publics québécois. Elle impose des obligations analogues à celles du secteur privé, adaptées au contexte gouvernemental. Pour les organismes publics qui déploient des systèmes d'IA, que ce soit dans la prestation de services aux citoyens, la gestion des ressources ou l'aide à la décision, cette loi constitue le cadre de référence incontournable.
Les organismes publics doivent notamment désigner un responsable de la protection des renseignements personnels, tenir un inventaire de leurs fichiers de renseignements personnels et réaliser des EFVP pour tout projet technologique impliquant des données personnelles. Ces obligations prennent une importance accrue dans le contexte de la transformation numérique de l'État québécois, où l'IA est de plus en plus intégrée aux processus administratifs.
Le Code civil du Québec et la responsabilité
Le Code civil du Québec offre un cadre de responsabilité civile qui s'applique aux dommages causés par les systèmes d'IA. Le régime de responsabilité extracontractuelle (articles 1457 et suivants) prévoit que toute personne a le devoir de respecter les règles de conduite qui s'imposent à elle et de réparer le préjudice causé par sa faute. Dans le contexte de l'IA, la question de la faute se pose de manière particulière : qui est responsable lorsqu'un système autonome cause un préjudice ? Le concepteur ? L'exploitant ? L'utilisateur ?
Le régime de responsabilité du fait des biens (article 1465) et celui du fabricant (articles 1468-1473) peuvent également être invoqués. Un système d'IA défectueux qui cause un préjudice pourrait engager la responsabilité de son fabricant au même titre qu'un produit physique défectueux. Toutefois, l'application de ces régimes à des systèmes logiciels complexes et évolutifs soulève des difficultés d'interprétation que les tribunaux n'ont pas encore pleinement résolues.
La Charte des droits et libertés de la personne du Québec
La Charte québécoise garantit des droits fondamentaux dont la portée s'étend aux systèmes d'IA. Le droit à l'égalité et la protection contre la discrimination (articles 10 à 19) sont directement pertinents pour les algorithmes susceptibles de produire des résultats discriminatoires. Le droit au respect de la vie privée (article 5), le droit à la sauvegarde de la dignité (article 4) et le droit à la liberté d'expression (article 3) constituent autant de balises que les systèmes d'IA doivent respecter.
La Commission des droits de la personne et des droits de la jeunesse (CDPDJ) pourrait être appelée à jouer un rôle accru dans la surveillance des pratiques algorithmiques discriminatoires. Son mandat de promotion et de protection des droits fondamentaux la positionne naturellement comme un acteur clé de la gouvernance de l'IA au Québec.
Le cadre fédéral et ses interactions
Au niveau fédéral, le projet de loi C-27 (Loi de 2022 sur la mise en œuvre de la Charte du numérique) proposait la Loi sur l'intelligence artificielle et les données (LIAD), qui aurait établi un cadre réglementaire spécifique pour les systèmes d'IA à l'échelle canadienne. Bien que ce projet ait connu un parcours législatif complexe, il témoigne de la volonté du gouvernement fédéral d'encadrer l'IA et de la nécessité pour le Québec de coordonner son approche avec celle d'Ottawa.
La Loi canadienne sur les droits de la personne et la Loi sur l'équité en matière d'emploi constituent d'autres instruments fédéraux pertinents, notamment pour les systèmes d'IA utilisés dans les domaines relevant de la compétence fédérale.
Les lacunes et les pistes d'amélioration
Le cadre juridique actuel, bien que substantiel, présente des lacunes en matière de gouvernance de l'IA. L'absence de législation spécifique crée des zones d'incertitude pour les organisations. Les mécanismes de surveillance et d'application manquent parfois de ressources et d'expertise technique. La rapidité de l'évolution technologique rend difficile l'adaptation du cadre normatif.
Plusieurs pistes d'amélioration méritent d'être explorées : l'adoption d'un cadre législatif spécifique à l'IA au Québec, le renforcement des pouvoirs et des ressources de la Commission d'accès à l'information, la création de mécanismes d'audit algorithmique obligatoire pour les systèmes à haut risque, et le développement de normes sectorielles adaptées aux réalités de chaque domaine.
Conclusion
Le cadre juridique québécois applicable à l'IA est en pleine évolution. S'il offre déjà des protections significatives, notamment grâce à la Loi 25 et à la Charte des droits et libertés, il devra continuer à s'adapter pour répondre aux défis posés par des technologies toujours plus puissantes et omniprésentes. Pour les professionnels et les décideurs, la compréhension de ce cadre n'est pas un luxe : c'est une nécessité opérationnelle et stratégique. La conformité juridique constitue le socle minimal sur lequel peut se construire une gouvernance véritablement responsable de l'intelligence artificielle.
