Une réforme majeure aux répercussions profondes
L'adoption de la Loi 25 en septembre 2021 a marqué un tournant dans la protection des renseignements personnels au Québec. Si cette loi ne vise pas spécifiquement l'intelligence artificielle, ses dispositions ont des répercussions profondes sur la manière dont les organisations conçoivent, déploient et exploitent les systèmes d'IA. Pour les professionnels et décideurs québécois, comprendre ces implications est essentiel pour assurer la conformité de leurs projets d'IA et, au-delà, pour bâtir la confiance des citoyens et des clients envers ces technologies.
L'évaluation des facteurs relatifs à la vie privée : un outil structurant
L'une des obligations les plus significatives de la Loi 25 pour les projets d'IA est l'évaluation des facteurs relatifs à la vie privée (EFVP). Toute organisation qui envisage d'acquérir, de développer ou de refondre un système d'information ou de prestation électronique de services impliquant des renseignements personnels doit réaliser une telle évaluation. Dans le contexte de l'IA, cette obligation a une portée considérable.
Un projet d'IA typique implique la collecte de volumes importants de données, souvent personnelles, pour l'entraînement des modèles. L'EFVP doit analyser la nécessité de cette collecte au regard des finalités poursuivies, les risques d'atteinte à la vie privée que le système engendre, les mesures de protection mises en place et la proportionnalité entre les avantages recherchés et les atteintes potentielles à la vie privée.
Pour les organisations, cela signifie concrètement qu'aucun projet d'IA traitant des données personnelles ne devrait être lancé sans une EFVP préalable. Cette évaluation ne doit pas être un exercice bureaucratique de pure forme : elle doit être menée avec rigueur, impliquer les parties prenantes pertinentes et mener à des actions concrètes pour atténuer les risques identifiés.
Le consentement : un défi technique et juridique
La Loi 25 renforce les exigences en matière de consentement. Celui-ci doit être manifeste, libre, éclairé et donné à des fins spécifiques. Il doit être demandé pour chacune des fins de la collecte, en termes simples et clairs. Ces exigences posent des défis particuliers pour les systèmes d'IA.
En matière d'IA, les finalités du traitement peuvent être complexes, multiples ou difficiles à anticiper au moment de la collecte. Un modèle d'apprentissage automatique peut révéler des corrélations inattendues dans les données, soulever de nouvelles questions de recherche ou être réutilisé pour des applications non prévues initialement. La notion de consentement spécifique se heurte à cette réalité de la réutilisation des données, caractéristique de l'écosystème de l'IA.
Les organisations doivent donc adopter des pratiques rigoureuses en matière de gestion du consentement : informer clairement les personnes sur les usages prévus de leurs données dans les systèmes d'IA, obtenir un nouveau consentement en cas de changement de finalité, mettre en place des mécanismes effectifs de retrait du consentement et documenter l'ensemble du processus.
La Loi 25 prévoit toutefois des exceptions au consentement, notamment pour l'utilisation de renseignements dépersonnalisés à des fins de recherche, de production de statistiques ou d'études. Ces exceptions peuvent faciliter certains projets d'IA, à condition que le processus de dépersonnalisation soit véritablement efficace, un défi technique de taille compte tenu des risques de réidentification inhérents aux jeux de données complexes.
Le droit à la transparence des décisions automatisées
La disposition la plus directement liée à l'IA dans la Loi 25 est celle qui concerne les décisions fondées exclusivement sur un traitement automatisé de renseignements personnels. Les organisations doivent informer la personne concernée, au moment de la décision ou avant, du fait que la décision a été prise de cette manière. Elles doivent également permettre à la personne de présenter ses observations à un membre du personnel en mesure de réviser la décision et de soumettre les renseignements personnels utilisés à la prise de décision à une révision.
Cette obligation a des implications opérationnelles majeures pour les organisations qui utilisent l'IA pour prendre des décisions affectant des individus. Elle impose de maintenir une capacité de révision humaine des décisions algorithmiques, de documenter les facteurs ayant mené à la décision, de mettre en place des canaux de communication accessibles pour les personnes souhaitant contester une décision et de former le personnel chargé de la révision aux enjeux propres aux décisions algorithmiques.
Il est important de noter que cette obligation ne s'applique qu'aux décisions fondées « exclusivement » sur un traitement automatisé. Les systèmes d'aide à la décision, où un humain intervient dans le processus décisionnel, ne sont pas directement visés. Toutefois, cette distinction est parfois ténue dans la pratique : un système qui recommande une décision avec un taux d'adhésion très élevé de la part de l'opérateur humain peut, de facto, constituer une prise de décision automatisée.
La gouvernance interne des données
La Loi 25 impose aux organisations d'établir et de mettre en œuvre des politiques et des pratiques encadrant leur gouvernance des renseignements personnels. Ces politiques doivent notamment définir les rôles et responsabilités des membres du personnel à l'égard des renseignements personnels, prévoir un processus de traitement des plaintes relatives à la protection des renseignements personnels et établir un cadre pour la conservation et la destruction des renseignements.
Pour les organisations qui développent ou utilisent des systèmes d'IA, ces exigences de gouvernance interne se traduisent par la nécessité d'intégrer la protection de la vie privée dans le cycle de vie complet des systèmes d'IA, de la conception à la mise hors service. Cela implique d'adopter une approche de « protection de la vie privée dès la conception » (privacy by design), d'établir des protocoles clairs pour la gestion des jeux de données d'entraînement, de mettre en place des mécanismes de surveillance continue des systèmes déployés et de documenter les décisions prises en matière de protection de la vie privée.
Les sanctions et les recours
La Loi 25 a considérablement renforcé le régime de sanctions applicable. La Commission d'accès à l'information (CAI) dispose désormais du pouvoir d'imposer des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial de l'entreprise. Les infractions pénales peuvent entraîner des amendes allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial. La loi prévoit également un droit d'action privé permettant aux personnes ayant subi un préjudice d'obtenir des dommages-intérêts punitifs d'au moins 1 000 dollars en cas d'atteinte illicite et intentionnelle.
Ces sanctions constituent un incitatif puissant pour les organisations à prendre au sérieux leurs obligations en matière de protection des renseignements personnels dans le contexte de l'IA. Le risque financier et réputationnel associé à la non-conformité ne peut plus être ignoré.
Les défis de mise en œuvre
La mise en conformité avec la Loi 25 dans le contexte de l'IA soulève plusieurs défis pratiques. La complexité technique des systèmes d'IA rend difficile l'application de certaines obligations, comme l'explication des décisions automatisées pour des modèles de type « boîte noire ». La nature évolutive des modèles d'apprentissage automatique peut compromettre le principe de limitation des finalités. La dépersonnalisation effective des données d'entraînement reste un défi technique non résolu dans de nombreux contextes.
Les organisations doivent investir dans la formation de leurs équipes, dans l'adaptation de leurs processus et dans le développement de solutions techniques pour relever ces défis. La collaboration entre juristes, technologues et spécialistes de l'éthique est indispensable pour traduire les exigences légales en pratiques opérationnelles efficaces.
Conclusion
La Loi 25 a posé les fondations d'un encadrement robuste de l'utilisation des données personnelles dans les systèmes d'IA au Québec. Ses exigences en matière d'EFVP, de consentement, de transparence des décisions automatisées et de gouvernance interne constituent un cadre structurant pour les organisations. Celles qui sauront intégrer ces obligations dans leur démarche de développement de l'IA en tireront un avantage compétitif durable, fondé sur la confiance et la responsabilité. Celles qui les négligeront s'exposeront non seulement à des sanctions significatives, mais aussi à une érosion de la confiance de leurs clients et partenaires.
