Les spécialistes des questions du respect de la vie privée face aux prises de décision automatisées intégrant l’IA

Les systèmes décisionnels automatisés ayant recours à l’intelligence artificielle s’avèrent un véritable casse-tête pour les organisations et les spécialistes des questions relatives au respect de la vie privée.

Bien que les systèmes décisionnels automatisés qui emploient des algorithmes existent depuis quelque temps déjà, l’essor vertigineux de l’IA a eu pour conséquence la progression constante de cet ensemble de technologies au sein des entreprises et du gouvernement.

Certaines entreprises y font appel pour attirer des candidatures et pour évaluer le rendement au travail, tandis que le secteur financier a mis en œuvre des systèmes basés sur l’IA pour aider à prendre des décisions en matière de prêt ou de crédit. Plus d’entreprises devraient leur emboîter le pas. Une étude récemment menée par Statistique Canada a révélé que près de 11 pour cent des entreprises canadiennes prévoient de recourir à des outils d’IA au cours des 12 prochains mois pour produire des biens, simplifier des processus ou fournir des services, y compris pour prendre des décisions basées sur l’IA.

Le fédéral a aussi suivi cette tendance. Selon le registre canadien du Tracking Automated Government (TAG), les agences du gouvernement fédéral ont lancé plus de 300 projets et initiatives utilisant l’IA. La plupart des outils décisionnels automatisés, auxquels les agents fédéraux font appel, sont destinés à rendre l’administration publique plus efficace et plus rentable, et assistent les décisionnaires au lieu de les remplacer. Par exemple, le ministère des Anciens Combattants les utilise pour aider à trier et à traiter avec diligence les demandes de pension d’invalidité; les services d’immigration s’en servent pour aider à évaluer les demandes de visas de résidence temporaire; d’autres, à l’instar du ministère de la Défense, les emploient pour présélectionner des candidatures afin de favoriser la diversité dans le recrutement.

« Les administrations canadiennes ont avancé un petit peu moins vite et ont abordé les systèmes décisionnels automatisés en commençant par des systèmes qui effectuent un triage des décisions », indique Teresa Scassa, titulaire de la Chaire de recherche du Canada en politiques et droit de l’information à l’Université d’Ottawa.

« Rien ne laisse présager, cependant, que nous ne poursuivrons pas dans cette voie jusqu’au moment où des systèmes fondés sur des machines prendront des décisions nous concernant. »

Toutefois, à mesure que l’alchimie numérique devient de plus en plus omniprésente, les maux qui s’échappent de la boîte de Pandore sont mis en exergue. En effet, les décisions fondées sur un traitement automatisé qui utilisent l’IA sont à même de générer des problèmes de consentement et de transparence. Des organisations peuvent se fier à de grands ensembles de données susceptibles d’inclure des renseignements personnels et il n’est pas toujours réaliste pour des organismes mettant au point ces nouveaux systèmes de chercher à obtenir un consentement individuel, l’unique fondement juridique permettant de recueillir des renseignements personnels au Canada, remarque Eloïse Gratton, qui co-préside la pratique nationale d’Osler en matière de respect de la vie privée et gestion de l’information.

Ceci peut soulever des inquiétudes en ce qui concerne le mauvais usage potentiel de données personnelles si l’organisation ne met pas en œuvre des mesures d’atténuation des risques, en supprimant, par exemple, des renseignements personnels confidentiels de sa base de données.

Des spécialistes des questions relatives au respect de la vie privée indiquent qu’une prise de décision automatisée peut impliquer un profilage des individus basé sur les données de ces derniers. Cela peut conduire à une surveillance intrusive et à la possibilité de créer des dossiers réunissant des données à caractère personnel détaillées sans avoir obtenu le consentement préalable de ces personnes.

Des biais involontaires, résultant de biais de codage et d’apprentissage automatique, pourraient entraîner des préjudices et des pratiques discriminatoires dans des domaines comme les initiatives d’embauche, le maintien de l’ordre public et la santé, en particulier envers des personnes parmi les plus vulnérables « et les moins en mesure de se défendre contre le système », souligne Teresa Scassa, également affiliée au Centre de recherche en droit, technologie et société de l’Université d’Ottawa.

Voici un exemple concret : L’année dernière, une société offrant des services de soutien scolaire et basée en Chine a convenu de régler une action en justice intentée par une agence du gouvernement américain au motif que cette société utilisait un logiciel de recrutement alimenté par l’IA pour rejeter les candidatures de personnes plus âgées.

« Si les décisions prises vont porter atteinte aux droits légaux d’une personne, la prise de décision automatisée peut devenir alors un sujet de préoccupation », remarque Charles Morgan, codirecteur national du groupe Cyber/Données de McCarthy Tétrault.

Ce sont quelques-unes des raisons pour lesquelles s’y retrouver et se conformer à toutes les lois et à tous les règlements en matière de protection de données et de la vie privée, qui émanent de divers pays, peut se révéler difficile pour des organisations intégrant l’IA à leurs processus décisionnels.

« Ces lois peuvent être assez complexes et elles évoluent rapidement », précise Me Gratton.

En effet, le paysage mondial de la réglementation de l’IA change à vive allure. Le règlement sur l’intelligence artificielle de l’Union européenne, le premier cadre juridique sur l’IA adopté, est entré en vigueur l’été dernier. La nouvelle mesure législative suit une approche fondée sur les risques en plusieurs étapes, avec chaque étape soumise à différents niveaux de réglementation, depuis des notifications relatives à la transparence à une supervision humaine et à des dispositions techniques. Cela crée de nouvelles obligations de conformité pour les entreprises canadiennes ciblant le marché européen.

De même, les 46 États membres du Conseil de l’Europe et 11 États non membres, y compris le Canada et les États-Unis, ont négocié le premier instrument international juridiquement contraignant sur l’IA au monde. La Convention-cadre sur l’intelligence artificielle et les droits de l’homme, la démocratie et l’État de droit établit des obligations générales pour les actrices et les acteurs de la filière de l’IA qui opèrent sur le marché de l’UE. Elle a été ouverte à la signature au mois de septembre, mais n’a pas encore été ratifiée.

« Le fait que la communauté internationale se réunisse pour tenter de mettre en place des règles harmonisées et contraignantes associées à la réglementation de l’IA est important en soi », approuve Me Morgan.

« Si le Canada devient effectivement un pays signataire et ratifie finalement ce traité, alors ce dernier sera assorti d’une obligation contraignante. Et ça, ce sera significatif. »

Cependant, les efforts déployés par le gouvernement fédéral pour créer un cadre réglementaire complet pour l’IA sont au point mort. Le projet de loi C-27, qui aurait instauré un nouveau régime juridique en matière de protection de la vie privée, aurait créé un nouveau tribunal pour la protection des données, et aurait amorcé la première tentative globale de réguler l’IA de la part du Canada, était déjà sur pause et est mort au Feuilleton au moment de la prorogation du Parlement.

Par conséquent, le statu quo règne au Canada. Des instruments juridiques non contraignants, comme la Directive sur la prise de décisions automatisée du Conseil du Trésor, assortie de son outil d’évaluation de l’incidence algorithmique, assurent une surveillance et sont destinés à accompagner l’adoption et l’utilisation de prises de décision automatisées au sein du gouvernement fédéral. Toutefois, on peut aussi compter sur un mélange disparate de lois existantes relatives à la protection de la vie privée, des droits de la personne et de la propriété intellectuelle ainsi qu’au droit de la responsabilité civile délictuelle. Ces dernières sont susceptibles d’agir comme des garde-fous et de partiellement réglementer l’industrie de l’IA au Canada.

« Des questions se posent sur l’utilité de remanier les lois dans le contexte de l’IA ainsi que sur la nécessité d’améliorer la ressource que sont les commissions des droits de la personne pour traiter des enjeux complexes liés à des biais de l’IA », remarque Teresa Scassa.

Philippe Dufresne, commissaire à la protection de la vie privée du Canada, se féliciterait d’une législation étayée relative à la protection de la vie privée et d’avoir le pouvoir de faire des recommandations et de donner des directives, comme l’a préconisé le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Néanmoins, avec ses homologues provinciaux et ses collègues à l’étranger, il insiste sur le fait que la législation existante s’applique à l’IA et aux décisions automatisées.

« La loi sur la protection de la vie privée définit un certain nombre de principes qui sont absolument essentiels, nécessaires et bénéfiques aux organisations développant et utilisant l’IA », indique Philippe Dufresne. « Mais c’est aussi le rôle des commissaires à la protection de la vie privée comme moi d’être là, d’être en mesure de fournir des conseils et de pouvoir être à l’écoute de l’industrie si des difficultés particulières se présentent et si nous pouvons lui apporter notre aide. »

En vertu de la loi sur la protection de la vie privée, il ajoute que les personnes devraient être informées sur le recueil et sur l’utilisation des renseignements personnels (à savoir quoi, comment, quand et pourquoi). Des organisations employant ou développant des systèmes d’IA devraient être aptes à expliquer tous processus de prise de décision intégrés par ces nouvelles technologies. Cependant, Philippe Dufresne reconnaît que cela représente un défi, car beaucoup de systèmes décisionnels automatisés ayant recours à l’IA fonctionnent comme des boîtes noires dont les rouages internes sont un mystère et dont la logique appliquée de prise de décision est nébuleuse, même pour les personnes qui ont créé le modèle.

« Certains modèles ne s’avèrent pas très performants pour fournir une explication sur les facteurs principaux à l’origine du processus de prise de décision », précise Charles Morgan.

La mesure législative adoptée par le Québec sur la protection des renseignements personnels, communément appelée « loi 25 » et considérée comme la plus respectueuse des consommatrices et des consommateurs au Canada, pourrait très bien contraindre les organisations à donner des explications et à faire preuve de transparence. Des spécialistes de la protection de la vie privée affirment que la loi sur la protection des renseignements personnels de la province, soumise à une révision majeure en 2021, pourrait même servir de modèle pour répondre à un grand nombre de préoccupations soulevées par des systèmes décisionnels automatisés reposant sur l’IA.

Fortement influencée par le règlement général de l’Union européenne sur la protection des données (RGPD) (en anglais seulement) entré en application en 2018, la loi 25 oblige les organisations à informer les personnes lorsqu’une décision prise est fondée exclusivement sur un traitement automatisé. Cette information doit être transmise au plus tard au moment où la décision est communiquée aux personnes. De plus, les personnes ont le droit d’être informées sur les renseignements personnels utilisés pour rendre une décision ainsi que sur les raisons, les facteurs et les paramètres principaux qui ont mené à la décision. Les personnes doivent également avoir la possibilité de soumettre des observations en ce qui concerne la prise de décision automatisée et ont le droit de faire rectifier, ce qui implique une supervision humaine, les renseignements personnels utilisés au cours du processus pour rendre la décision.

Constantine Karbaliotis, spécialiste du respect et de la gestion de la protection de la vie privée à l’échelle mondiale chez nNovation S.E.N.C.R.L./s.r.l., souligne que ces exigences et leur portée sont peut-être encore plus importantes que celles du RGPD.

À la différence du RGPD, dont les règles concernant les décisions automatisées ne s’appliquent que si une décision affecte le statut ou les droits juridiques d’une personne, la loi 25 réglemente, sans aucune exception, toute décision fondée exclusivement sur un traitement automatisé de renseignements personnels.

« Vous devez vous souvenir que le reste de la loi 25 s’applique aussi à la prise de décision automatisée », rappelle-t-il.

« Vous avez l’obligation de permettre d’accéder aux données, de les rectifier et de les effacer. Simplement parce qu’il s’agit d’une prise de décision automatisée, parce que c’est difficile, parce que vous entrez des données dans un modèle d’apprentissage ou dans un vaste modèle de langage, cela ne signifie pas que tous les autres droits d’une personne disparaissent. »

Les spécialistes s’accordent pour dire qu’il ne fait guère de doute que les tribunaux traiteront à l’avenir beaucoup d’affaires délicates qui résulteront des systèmes décisionnels automatisés reposant sur l’IA. Cependant, déterminer et établir la responsabilité pour des préjudices occasionnés par l’IA sera compliqué. En effet, si un préjudice a été causé par un système d’IA qui utilise l’apprentissage automatique pour prendre des décisions sans une intervention humaine, les principes généraux régissant la responsabilité peuvent s’avérer difficiles à appliquer, a fortiori dans des cas relevant de boîtes noires.

Se pose ensuite la question de l’imputabilité dans la mesure où les systèmes d’IA impliquent beaucoup de parties prenantes dans leur développement et leur déploiement.

« S’il y a un problème, qui devra finalement en rendre compte? », s’interroge Charles Morgan.

« L’analyse devra être fondée autant que possible sur des éléments tangibles pour déterminer s’il y a eu une erreur ou une faute, ainsi que la responsabilité respective des personnes impliquées. »

Teresa Scassa ajoute que ce sera aussi une opération très coûteuse et hors de portée pour beaucoup.

Ce domaine est certes complexe. Néanmoins, comme le fait remarquer Me Gratton, alors que l’IA a le potentiel d’améliorer les processus de prise de décision, « étudier et s’attaquer à ces répercussions en matière de protection de la vie privée est essentiel pour garantir les droits des personnes et maintenir la confiance du public. »