Un organisme de surveillance à l'épreuve de l'IA
La Commission d'accès à l'information du Québec (CAI) occupe une position centrale dans l'architecture de gouvernance de l'intelligence artificielle au Québec. Chargée de veiller à la protection des renseignements personnels et à l'accès aux documents des organismes publics, la CAI est l'organisme de surveillance le plus directement concerné par les enjeux que soulèvent les systèmes d'IA en matière de données personnelles et de transparence administrative. La Loi 25 a considérablement renforcé ses pouvoirs, mais aussi ses responsabilités.
Le mandat élargi de la CAI
La Loi 25 a transformé le rôle de la CAI. Outre ses fonctions traditionnelles d'adjudication des litiges en matière d'accès à l'information et de protection des renseignements personnels, la CAI dispose désormais de pouvoirs accrus de surveillance, d'enquête et de sanction.
Le pouvoir d'imposer des sanctions administratives pécuniaires constitue un changement majeur. La CAI peut désormais imposer des amendes allant jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial pour les infractions aux lois sur la protection des renseignements personnels. Ce pouvoir, qui n'existait pas avant la Loi 25, donne à la CAI un levier d'application significatif.
Le pouvoir d'ordonner est un autre outil important. La CAI peut ordonner à une organisation de prendre les mesures nécessaires pour se conformer à la loi, y compris de cesser une collecte ou une utilisation de renseignements personnels non conforme. Dans le contexte de l'IA, ce pouvoir pourrait être utilisé pour exiger l'arrêt d'un système d'IA qui ne respecte pas les exigences de la loi.
La fonction de conseil et d'accompagnement complète les pouvoirs de surveillance et de sanction. La CAI publie des lignes directrices, des avis et des recommandations pour aider les organisations à comprendre et à respecter leurs obligations. Dans le domaine de l'IA, ce rôle de guide est particulièrement important, compte tenu de la complexité technique des enjeux.
Les défis de la CAI face à l'IA
L'intelligence artificielle pose des défis inédits à la CAI, qui doit adapter ses méthodes de travail et développer de nouvelles compétences pour exercer efficacement sa mission.
La complexité technique des systèmes d'IA constitue le défi le plus immédiat. L'évaluation de la conformité d'un système d'apprentissage profond aux exigences de la loi requiert des connaissances spécialisées en science des données, en apprentissage automatique et en sécurité informatique. La CAI doit pouvoir compter sur des équipes pluridisciplinaires capables de comprendre et d'analyser les aspects techniques des systèmes qu'elle supervise.
L'évolution rapide des technologies rend difficile l'adaptation des cadres d'interprétation et des pratiques de surveillance. Les systèmes d'IA évoluent continuellement, de nouveaux modèles, de nouvelles applications, de nouvelles pratiques émergent à un rythme soutenu. La CAI doit développer une capacité de veille technologique et d'anticipation pour rester pertinente dans un environnement en constante mutation.
Le volume des systèmes d'IA déployés au Québec dépasse largement la capacité d'examen individuel de la CAI. Une approche fondée sur le risque, concentrant les efforts de surveillance sur les systèmes les plus susceptibles de porter atteinte aux droits des personnes, est indispensable. La CAI doit développer des critères de priorisation clairs et transparents pour orienter ses activités de surveillance.
La dimension transfrontalière de l'IA complique l'exercice de la compétence de la CAI. Les systèmes d'IA sont souvent développés à l'étranger et les données peuvent être stockées et traitées dans plusieurs juridictions. La coopération avec les autorités de protection des données d'autres juridictions, le Commissariat à la protection de la vie privée du Canada, les autorités européennes, les autorités américaines, est essentielle pour exercer une surveillance efficace.
La CAI et les EFVP
L'évaluation des facteurs relatifs à la vie privée (EFVP) est l'outil central de la prévention en matière de protection des renseignements personnels dans le contexte de l'IA. La Loi 25 rend obligatoire la communication de l'EFVP à la CAI avant la mise en œuvre de certains projets.
La CAI doit développer des lignes directrices spécifiques pour les EFVP portant sur des systèmes d'IA. Ces lignes directrices devraient aborder des questions propres à l'IA, comme l'évaluation des risques de biais algorithmiques, l'analyse de la proportionnalité entre la quantité de données collectées et les finalités poursuivies, l'évaluation de l'efficacité des mesures de dépersonnalisation, l'analyse des risques liés à la réutilisation des données pour des finalités non prévues et l'évaluation de la transparence et de l'explicabilité des décisions automatisées.
La CAI et les décisions automatisées
La supervision des obligations de transparence relatives aux décisions fondées exclusivement sur un traitement automatisé est un nouveau champ d'action pour la CAI. L'organisme doit s'assurer que les organisations informent effectivement les personnes concernées, qu'elles offrent la possibilité de révision humaine et qu'elles sont en mesure de communiquer les facteurs ayant mené aux décisions.
La CAI pourrait développer un cadre d'évaluation de la conformité des systèmes de décision automatisée, incluant des critères de qualité pour les explications fournies, des exigences minimales en matière de processus de révision humaine et des indicateurs de performance pour évaluer l'effectivité des mécanismes de transparence.
La coopération internationale
La CAI participe aux travaux des réseaux internationaux de protection des données, notamment l'Assemblée mondiale pour la protection de la vie privée et les organismes francophones de protection des données. Cette participation est essentielle pour partager les bonnes pratiques, coordonner les approches réglementaires et renforcer l'efficacité de la surveillance dans un contexte où l'IA transcende les frontières.
La CAI pourrait intensifier ses échanges avec les autorités qui disposent d'une expérience avancée en matière de réglementation de l'IA, notamment la Commission nationale de l'informatique et des libertés (CNIL) en France et les autorités de protection des données de l'Union européenne, qui opèrent dans le cadre du Règlement sur l'IA.
Les ressources nécessaires
L'exercice effectif du mandat élargi de la CAI dans le domaine de l'IA exige des ressources humaines, financières et techniques à la hauteur des défis. Le recrutement de spécialistes en IA, en science des données et en sécurité informatique est une priorité. La formation continue du personnel existant aux enjeux techniques de l'IA est également indispensable. Des investissements dans les outils technologiques d'analyse et de surveillance sont nécessaires pour permettre à la CAI de traiter efficacement les dossiers impliquant des systèmes d'IA complexes.
Le gouvernement du Québec a la responsabilité de s'assurer que la CAI dispose des moyens nécessaires pour remplir sa mission. Un financement adéquat de la CAI n'est pas une dépense : c'est un investissement dans la protection des droits fondamentaux et dans la confiance des citoyens envers l'écosystème numérique.
Conclusion
La Commission d'accès à l'information est un pilier essentiel de la gouvernance de l'IA au Québec. La Loi 25 lui a donné les pouvoirs nécessaires pour jouer ce rôle, mais ces pouvoirs ne seront efficaces que s'ils sont soutenus par des ressources adéquates, des compétences spécialisées et une vision stratégique claire. La CAI doit se transformer pour relever les défis de l'ère de l'intelligence artificielle, tout en maintenant la confiance des citoyens et des organisations dans son rôle de gardien des droits numériques.
