Les grandes oubliées de l’intelligence artificielle: réflexion sur des lois applicables aux technologies de l’information
Alors que les législateurs, au Canada1 et ailleurs2, tentent de mieux encadrer le développement et l’usage de technologies d’intelligence artificielle, il est important de se rappeler que ces technologies se qualifient aussi dans la famille plus large des technologies de l’information. Depuis 2001, le Québec s’est doté d’une loi visant à encadrer les technologies de l’information. Trop souvent oubliée, cette loi trouve application directement dans l’utilisation de certaines technologies d’intelligence artificielle. La notion très large de documents technologiques D’une part, les documents technologiques visés par cette loi sont définis pour inclure toute forme d’information délimitée, structurée et intelligible3. La loi donne quelques exemples de documents technologiques visés par divers textes législatifs, y incluant des formulaires en ligne, des rapports, des photographies, des diagrammes et même des électrocardiogrammes! On peut donc comprendre que cette notion s’applique sans difficulté à divers formulaires des interfaces d’utilisation de diverses plateformes technologiques4. Qui plus est, ces documents technologiques ne sont pas limités à des renseignements personnels. Cela peut aussi viser des renseignements relatifs à des entreprises ou à divers organismes, qui sont hébergés sur une plateforme technologique. À titre d’exemple, la Cour supérieure a récemment appliqué cette loi pour reconnaître la valeur probante de lignes directrices de pratique et de normes techniques en matière d’imagerie médicale qui étaient accessibles sur un site web5. Une décision plus ancienne a aussi reconnu l’admissibilité en preuve du contenu d’agendas électroniques6. À cause de leur lourdeur algorithmique, plusieurs technologies d’intelligence artificielle sont offertes sous forme de logiciel en tant que service ou de plateforme en tant que service. Dans la plupart des cas, l’information saisie par une entreprise utilisatrice est transmise sur des serveurs contrôlés par le fournisseur, où elle est traitée par des algorithmes d’intelligence artificielle. C’est souvent le cas des systèmes avancés de gestion de la relation client (souvent désignés sous l’acronyme anglais CRM) et d’analyse de dossiers électroniques. C’est aussi le cas également d’une panoplie d’applications visant la reconnaissance vocale, la traduction de documents et l’aide à la décision pour des employés de l’utilisatrice. Dans le contexte de l’intelligence artificielle, les documents technologiques s’étendent donc vraisemblablement à ce qui est ainsi transmis, hébergé et traité sur des serveurs à distance. Des obligations réciproques La loi prévoit des obligations spécifiques lorsque des prestataires de services, notamment des fournisseurs de plateforme informatique, doivent garder de l’information. Citons l’article 26 de la loi : «26. Quiconque confie un document technologique à un prestataire de services pour qu’il en assure la garde est, au préalable, tenu d’informer le prestataire quant à la protection que requiert le document en ce qui a trait à la confidentialité de l’information et quant aux personnes qui sont habilitées à en prendre connaissance. Le prestataire de services est tenu, durant la période où il a la garde du document, de voir à ce que les moyens technologiques convenus soient mis en place pour en assurer la sécurité, en préserver l’intégrité et, le cas échéant, en protéger la confidentialité et en interdire l’accès à toute personne qui n’est pas habilitée à en prendre connaissance. Il doit de même assurer le respect de toute autre obligation prévue par la loi relativement à la conservation du document.» (note : nos soulignements) Cet article impose donc un dialogue entre l’entreprise qui désire utiliser une plateforme technologique et le fournisseur de cette plateforme. D’une part, l’entreprise utilisatrice de la plateforme doit informer le fournisseur de la protection requise pour les renseignements qu’elle déposera sur la plateforme technologique. D’autre part, ce fournisseur a l’obligation de mettre en place des moyens technologiques de nature à en assurer la sécurité, l’intégrité et la confidentialité, correspondant à la protection requise qui lui est communiquée par l’utilisatrice. La loi ne spécifie pas quels moyens technologiques doivent être mis en place. Ces mesures doivent toutefois être raisonnables eu égard à la sensibilité des documents technologiques impliqués, du point de vue d’une personne possédant une expertise dans le domaine. Ainsi, un fournisseur qui offrirait une plateforme technologique comportant des modules désuets ou comportant des failles de sécurité connues se déchargerait-il de ses obligations en vertu de la loi? Cette question doit s’analyser dans le contexte de l’information que l’utilisatrice de la plateforme lui a transmise quant à la protection requise pour les documents technologiques. Un fournisseur ne doit toutefois pas cacher les risques liés à la sécurité de sa plateforme informatique à l’utilisatrice, ce qui irait à l’encontre des obligations d’information et de bonne foi des parties. Des individus sont impliqués? À ces obligations, il faut ajouter aussi la Charte des droits et libertés de la personne, qui s’applique également aux entreprises privées. Les entreprises qui traitent l’information pour le compte d’autrui doivent le faire dans le respect des principes de la Charte lorsqu’il s’agit de traiter des renseignements concernant divers individus. À titre d’exemple, si un fournisseur d’une plateforme informatique de gestion de la relation client offre des fonctionnalités permettant de classifier les clients ou d’aider les entreprises à répondre à leurs demandes, ce traitement d’information doit demeurer exempt de biais fondés sur la race, la couleur, le sexe, l’identité ou l’expression de genre, la grossesse, l’orientation sexuelle, l’état civil, l’âge (sauf dans la mesure prévue par la loi), la religion, les convictions politiques, la langue, l’origine ethnique ou nationale, la condition sociale, le handicap ou l’utilisation d’un moyen pour pallier ce handicap7. Un algorithme d’intelligence artificielle ne devrait en aucun cas suggérer à un commerçant de refuser de conclure des contrats avec un individu sur une telle base discriminatoire8. De plus, une personne qui recueille des renseignements personnels à l’aide de technologies permettant le profilage d’individus doit en aviser ces personnes au préalable9. Bref, loin du Far West décrié par certains, l’usage de l’intelligence artificielle doit se faire dans le respect des lois déjà en place, auxquelles s’ajouteront vraisemblablement de nouvelles lois plus spécifiques à l’intelligence artificielle. Si vous avez des questions relativement à l’application de ces lois à vos systèmes d’intelligence artificielle, n’hésitez pas à contacter un de nos professionnels. Projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique. Notamment, aux États-Unis, Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence du 30 octobre 2023. Loi concernant le cadre juridique des technologies de l'information, RLRQ c C-1.1, art. 3. Idem, art. 71. Tessier c. Charland, 2023 QCCS 3355. Lefebvre Frères ltée c. Giraldeau, 2009 QCCS 404. Charte des droits et libertés de la personne, art. 10. Idem, art. 12. Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art. 8.1.