PROJET DE LOI NO 64 ET TRANSPARENCE DES SYSTÈMES D’INTELLIGENCE ARTIFICIELLE DANS LE SECTEUR PRIVÉ
Par Anne Tchiniaev – auxiliaire de recherche au Laboratoire de cyberjustice
NOTE: Le projet de loi n° 64 a été adopté en date du 21 septembre 2021.
En juin 2020, le gouvernement du Québec a déposé le projet de loi no 64, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Si ce projet de loi entre en vigueur dans sa forme actuelle, il amènera des changements importants notamment à la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1 (« Loi sur le secteur privé »). Ces changements auront une incidence majeure sur la façon dont les entreprises devront gérer les renseignements personnels qui seront traités par un système d’intelligence artificielle (« IA »). Quoique l’IA ne soit pas définie ni explicitement mentionnée dans le projet de loi, plusieurs dispositions forceront inévitablement les entreprises à adopter des mesures d’encadrement de systèmes d’IA afin d’assurer que le traitement des renseignements personnels par ces systèmes soit conforme à la Loi sur le secteur privé.
Le présent billet s’intéresse plus particulièrement aux dispositions du projet de loi qui requièrent une certaine transparence quant au traitement des renseignements personnels. En effet, le projet de loi introduit plusieurs obligations auxquelles il serait difficile, voire impossible, de se conformer sans que le système d’IA utilisé soit transparent. La transparence en IA fait d’ailleurs souvent partie des principes clés des multiples guides et rapports portant sur l’encadrement d’IA ayant fait surface dans les dernières années, tel que le Guidance on AI and data protection de l’Information Commissionner’s Office du Royaume-Uni, ou encore le Model Artificial Intelligence Governance Framework présenté par le Personal Data Protection Commission de Singapour. L’adoption de bonnes pratiques en transparence devrait donc être un point focal des stratégies relatives à l’utilisation d’IA mises en place par les entreprises.
i. Transparence en IA : une définition englobant plusieurs concepts
La transparence en IA signifie généralement qu’un système d’IA doit être conçu et déployé de façon à pouvoir en assurer la surveillance et la vérification. Elle englobe plusieurs concepts issus de la littérature des sciences informatiques et sociales, dont l’intelligibilité et l’explicabilité. Un système d’IA est intelligible lorsque son fonctionnement peut être compris aisément, sans besoin d’expliquer sa structure interne ou les moyens algorithmiques qu’il utilise pour traiter des données. Un système d’IA doit d’ailleurs être intelligible pour qu’il soit possible de l’expliquer.
À un autre niveau, l’explication fournie conformément au principe d’explicabilité doit elle aussi être intelligible. Plus précisément, l’International Technology Law Association définit l’explicabilité dans son ouvrage Responsible AI : A Global Policy Framework comme étant « une obligation pour les organisations qui utilisent l’IA dans les processus de prise de décision visant à fournir des informations précises dans des termes compréhensibles par l’homme, expliquant comment une décision ou un résultat a été atteint par un système d’IA » [Publié en français par Thomson Reuters, Éditions Yvon Blais].
Dans ce contexte, on cherche l’explication des résultats ou décisions d’un système d’IA, plutôt que du système d’IA lui-même. En effet, ce dernier constitue souvent une « boîte noire », trop complexe et opaque pour être comprise par une personne sans expertise en informatique, et parfois même par la personne l’ayant conçu. Il faut donc traduire les concepts techniques et les résultats de sortie en format assez intelligible et compréhensible pour en permettre la vérification.
ii. Projet de loi no 64 et exigences en intelligibilité et explicabilité
Une entreprise qui utilise un système d’IA traitant des renseignements personnels devra s’assurer que ce système soit transparent afin d’être capable de se conformer aux exigences du projet de loi no 64. En effet, certaines dispositions contenues dans ce projet de loi prévoient des obligations relatives à l’intelligibilité des renseignements personnels informatisés et à l’explication des décisions fondées exclusivement sur un traitement automatisé de ceux-ci.
Certaines de ces futures obligations auront pour objet d’assurer que les personnes concernées comprennent l’information qui leur est communiquée à propos de leurs renseignements personnels. Par exemple, lorsqu’une personne fera une demande d’accès à un renseignement personnel informatisé en vertu du futur article 27 de la Loi sur le secteur privé, l’entreprise devra communiquer ledit renseignement personnel sous la forme d’une transcription écrite et intelligible. Le renseignement devra aussi être communiqué dans un format technologique structuré et couramment utilisé, si cela ne soulève pas de difficultés pratiques sérieuses. Corollairement, une entreprise devra s’assurer que le système d’IA utilisé permette l’extraction d’informations intelligibles et en format compréhensible quant aux données personnelles qui seront utilisées.
Le futur article 12.1 de la Loi sur le secteur privé, prévu à l’article 102 du projet de loi, concerne quant à lui les décisions automatisées et implique le cas échéant que le système d’IA qui les produit soit explicable. En effet, lorsque des renseignements personnels seront utilisés afin de prendre une décision fondée exclusivement sur un traitement automatisé de ceux-ci, la personne concernée devra en être informée, et elle devra pouvoir en demander la révision. Cette exigence est d’ailleurs plus stricte que celle des article 15 h) et 22 du Règlement général sur la protection des données, (UE) 2016/679, qui s’applique seulement aux décisions qui produisent des effets juridiques ou qui affecte les personnes concernées de manière significative. De plus, lorsqu’une personne concernée le demandera, l’entreprise utilisant le système d’IA ayant produit ces décisions devra aussi informer la personne concernée, entre autres, des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision. Il faudra donc que l’entreprise soit capable d’expliquer ces derniers, et ce, de façon intelligible. Il est certes courant que des enjeux de propriété intellectuelle ou de secret commercial, pour ne nommer que ceux-ci, limitent l’information qui peut être divulguée, mais malgré ces enjeux, une explication valable du raisonnement d’une décision automatisée reste toujours possible.
iii. Bonnes pratiques et conformité à la Loi sur le secteur privé
Comme mentionné plus haut, de nombreux guides et rapports sur l’encadrement de l’IA ont été publiés par une multitude d’organismes publics et privés dans les dernières années. Les bonnes pratiques y figurant, en tant que second ordre normatif, peuvent et devraient servir d’inspiration pour les entreprises qui souhaitent améliorer la transparence de leurs systèmes d’IA et ainsi viser une plus grande conformité aux futures exigences de la Loi sur le secteur privé.
Par exemple, une entreprise peut améliorer la clarté des explications fournies aux personnes concernées par des décisions automatisées en utilisant des techniques de visualisation. Elle peut aussi aller plus loin et publier des explications dans des communications générales. Ces communications peuvent inclure de l’information sur les risques et les bénéfices du système d’IA employé, et les mesures entreprises afin d’atténuer ces risques. Il est aussi recommandé de régulièrement évaluer à quel point un système IA peut être compris par un individu.
C’est à l’entreprise qui utilise un système d’IA de déterminer quelles pratiques sont plus appropriées selon les capacités et les risques de ce système. Toutefois, une chose reste certaine : plus qu’un système d’IA est transparent, plus il sera facile pour une entreprise de se conformer aux nouvelles exigences de la Loi sur le secteur privé, et à accroître la confiance des personnes concernées par son utilisation.
Ce contenu a été mis à jour le 21 juin 2022 à 1 h 27 min.