COVID-19 et digitalisation accélérée : Conseils sur l’acquisition de technologies émergentes

« [TRADUCTION] Par définition, les crises ont une trajectoire très dynamique, qui commande une révision constante des modèles et des plans mentaux ». ^[1]

La COVID-19 a propulsé plusieurs sociétés dans une courbe de digitalisation accélérée. Le phénomène des employés qui travaillent à domicile a certainement joué un rôle important à cet égard, mais les considérations sont beaucoup plus variées. Les sociétés doivent se préparer à la possibilité d'être confrontées à davantage de maladies chez les employés, à offrir leurs services efficacement à leurs clients et à assumer des coûts de gestion. Le 23 mars, le gouvernement du Québec a ordonné la fermeture des commerces et services non prioritaires ou essentiels, une mesure qui est entrée en vigueur le 25 mars. Cette ordonnance, et les ordonnances antérieures, pressent les sociétés à utiliser la technologie pour assurer la continuité de leurs opérations. Pour certaines de ces sociétés, le télétravail est passé d'une possibilité à une nécessité. Les entreprises qui fournissent des services essentiels subissent une pression de performer plus efficacement qu'avant, alors que d'autres secteurs doivent réinventer leur offre de services afin d'éviter un repli économique. Les ententes qui lient des sociétés peuvent prévoir ou non les cas de force majeure telle une pandémie; ces dernières doivent donc innover pour s'assurer qu'elles se conforment à leurs obligations légales et n'engagent pas leur responsabilité.

Les projets technologiques impliquant des technologies émergentes peuvent apporter plusieurs avantages aux entreprises :

• Augmentation de la productivité et de l'efficacité opérationnelle.  
• Information de meilleure qualité relative à des paramètres importants.
• Amélioration des capacités de planification stratégique et de prise de décision en fonction des prédictions.
• Réduction des risques liés à la cybersécurité associés aux vulnérabilités des nouvelles technologies.
• Amélioration du moral des employés et de leur bien-être pendant la gestion de la crise.
• Facilitation des communications avec toutes les parties prenantes.

Néanmoins, ces projets peuvent également poser des défis, particulièrement lorsqu'ils doivent être mis en place en présence de contraintes économiques et selon un échéancier serré. Cela explique pourquoi les projets technologiques sont désormais gérés par la haute direction afin de veiller à l'alignement stratégique et pour réduire le fardeau administratif normalement associé au déploiement technologique.

Parmi les nouvelles technologies mises en place, l'intelligence artificielle se présente comme un candidat pour une meilleure prise de décisions et pour améliorer les processus d'affaires. On observe un intérêt croissant envers l'utilisation des technologies de réalité virtuelle, notamment pour les conférences et la planification d'événements. Alors que de plus en plus de commentateurs réclament l'utilisation de technologies décentralisées dans plusieurs secteurs, on remarque également une augmentation de l'utilisation de technologies tels les drones, la robotique, les chaînes de blocs, les contrats intelligents et les outils de communication.

Ils sont utilisés en télémédecine, dans le cadre d'études cliniques décentralisées, des livraisons de chaînes d'approvisionnement et dans plusieurs technologies grâce à la reconfiguration novatrice de la prestation de services. Dans le secteur manufacturier, les solutions de surveillance et d'analyse au moyen de l'intelligence artificielle combinées aux capacités de l'Internet des objets (IdO) sont actuellement déployées dans le but d'accélérer la digitalisation dans ce secteur.^[2] Ces initiatives témoignent d'une grande résilience et de l'existence d'une économie du savoir qui s'efforce de s'adapter. Ceux qui réussiront pourraient être en bonne position pour se remettre sur pied et mener leurs secteurs, ce que les leaders savent déjà, voyant les opportunités dans la gestion de crise.

Dans ce contexte, voici cinq conseils offerts par notre groupe des technologies émergentes qui peuvent être utiles pour les sociétés qui se lancent dans ces projets technologiques et qui cherchent à accélérer leur adaptation. Nous espérons que ces recommandations sont digestes et adaptées à une situation de gestion de crise. Elles visent à atteindre un juste milieu entre les procédures normales de gestion des risques juridiques qui doivent être suivies et celles qui sont essentielles dans la situation actuelle.

1.    Identifier les obstacles juridiques

Avant d'aller plus loin avec votre projet, vous devriez vérifier s'il respecte le cadre juridique applicable. Plusieurs règles s'appliquent à l'acquisition de technologies, dont plusieurs se trouvent dans la législation en matière de vie privée et de données.

Par exemple, les fournisseurs de soins de santé aux États-Unis ou autrement assujettis à la loi intitulée Health Insurance Portability and Accountability Act of 1996 (HIPAA) doivent généralement se conformer aux règles intitulées Privacy, Security and Breach Notification Rules de la HIPAA lorsqu'ils utilisent des technologies de l'information. Il faut savoir que le bureau des droits civils (Office for Civil Rights) du Department of Health and Human Services des États-Unis a émis un avis d'application discrétionnaire (Notification of Enforcement Discretion) à l'égard de la télémédecine, indiquant qu'il n'imposerait pas de pénalités en cas de non-conformité à ces exigences réglementaires dans certaines circonstances. Des directives additionnelles ont été émises le 20 mars 2020.

Cet exemple atteste de plusieurs points importants. Dans un contexte axé sur les données, les entreprises doivent se conformer à plusieurs législations liées à la localisation des données recueillies et aux types de données recueillies. Ces lois peuvent être de nature internationale, comme le Règlement général sur la protection des données, et peuvent s'appliquer au Canada. Cela indique également que plusieurs autorités publiques ont émis des directives sur la manière dont ils aborderont la conformité dans le contexte de la COVID-19. Des déclarations similaires ont été publiées par le Commissariat à la protection de la vie privée du Canada et par la présidente du Comité Européen de la Protection des Données. Les sociétés doivent être conscientes de ces directives, qui fournissent de bons exemples de l'application des obligations légales générales aux défis particuliers rencontrés par les entreprises pendant l'éclosion de la COVID-19.  

D'autres obligations à prendre en compte peuvent provenir d'engagements déontologiques, dans le cas des professionnels, ou d'obligations contractuelles avec des tiers. La plupart des sociétés à ce jour se sont engagées à suivre des procédures strictes en matière d'acquisition de technologie qui entraineraient le traitement de données clients. Les sociétés qui désirent contourner certains de ces engagements devront examiner leurs contrats pour s'assurer qu'elles n'engagent pas leur responsabilité en ce faisant, communiquer avec leurs parties prenantes et gérer les risques de façon itérative.  

2.    Importance des données

Les données sont le carburant des technologies émergentes, vous devez donc aborder les données d'une perspective différente. Si vous envisagez la mise en place d'algorithmes prédictifs pour vous aider dans les prises de décision, la qualité et l'exactitude de vos données seront essentielles. Vos données seront ce qui va alimenter la technologie. Si vous n'avez pas les bonnes données, vous ne pourrez pas vous fier aux algorithmes prédictifs afin de vous aider. Vous pourriez également ne pas avoir les technologies appropriées, alors il est important de commencer en identifiant vos objectifs et en expliquant à votre fournisseur quels sont ces objectifs. Agir trop rapidement peut être coûteux; nous avons vu plusieurs entreprises mettre en place les mauvais algorithmes pour atteindre leurs objectifs. Les sociétés doivent se rappeler que l'intelligence artificielle est une catégorie de technologies et non une technologie en soi.

Cela nous mène à la deuxième préoccupation : la gestion et la protection des données. Votre fournisseur peut vous offrir une technologie, mais vous êtes toujours responsable de la manière dont vous gérez les données avec lesquelles vous alimentez votre technologie. Cet aspect est particulièrement préoccupant en ce qui concerne les renseignements personnels. Voici quelques considérations à retenir :

• L'utilisation de renseignements personnels à de nouvelles fins, y compris pour la prédiction, exige un motif juridique. Au Canada, il s'agit souvent du consentement implicite ou exprès. Il existe des règles quant au consentement, comme le fait qu'il se doit d'être informé et précis.
• Les renseignements personnels doivent toujours être protégés en fonction des risques relatifs au traitement. Lorsque vous introduisez de nouvelles technologies, vous introduisez de nouveaux risques en matière de sécurité puisque vous pourriez élargir les surfaces d'attaque pour les acteurs malveillants. Vous devez comprendre les contrôles en place et identifier où se situent les risques. Vous pourriez ne pas être en mesure de traiter tous les risques avant le déploiement comme vous le faites normalement, mais vous devriez avoir un plan pour les traiter dès que possible.
• Dans le cadre de vos nouveaux projets, vous ne pouvez pas traiter des données que vous ne devriez pas avoir en votre possession en premier lieu. Les renseignements personnels doivent suivre des calendriers de conservation des données. Si vous avez conservé ces données pendant longtemps et qu'elles sont considérées des renseignements personnels, vous pourriez ne pas être en mesure de les traiter dans le cadre de ce nouveau projet.
• Les données ne sont pas seulement les renseignements personnels. Les données peuvent être de la propriété intellectuelle ou des renseignements confidentiels. Ces catégories de données ne sont pas autant encadrées, mais elles sont assujetties à de vastes exigences contractuelles. Assurez-vous de pouvoir partager les données avec votre nouveau fournisseur de services.

Si vous n'avez pas le temps ou les ressources pour effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) ou une évaluation de l'incidence algorithmique (EIA), vous devriez au moins documenter ces questions à l'interne et rechercher la bonne réponse. Cette étape est essentielle puisque les administrateurs au Québec peuvent être tenus personnellement responsables d'avoir autorisé une activité de traitement de données illégale.^[3]

3.    Choisissez judicieusement vos partenaires d'affaires. Ils évolueront avec vous après la crise

Bien que certaines personnes les appellent des fournisseurs, nous préférons les appeler des partenaires d'affaires. L'entreprise qui vous aidera dans votre digitalisation accélérée continuera de vous soutenir alors que vous progressez dans votre projet et que vous vous ajustez. Vous devrez travailler avec équipe dévouée qui est réceptive et qui comprend votre contexte. Voici quelques points à considérer lorsque vous choisissez vos partenaires d'affaires :

• Quel type de soutien offrent-ils? Devrais-je envisager une solution améliorée au cas où je pourrais avoir des difficultés à soutenir mon système?
• Pour les projets exigeant une implémentation, quel type d'aide peuvent-ils fournir dans les circonstances actuelles?
• Existe-t-il des prérequis afin d'utiliser la technologie?
• Quels types de mesures de sécurité ont-ils en place? Par exemple, peuvent-ils consulter mes données ou celles-ci sont cryptées? Si elles sont cryptées, qui est responsable de sécuriser les clés cryptographiques et comment sont-elles émises?
• Est-ce que mon partenaire sera disponible pour m'aider à réaliser une évaluation des facteurs relatifs à la sécurité et à la vie privée plus tard, et coopérera-t-il même si je signe un contrat aujourd'hui?
• Quelles fonctionnalités offrent-ils qui peuvent m'aider à me conformer à mes obligations légales, comme celles liées à la gestion des droits à la vie privée?
• Quels engagements prennent-ils en ce qui concerne leur disponibilité?
• Où mes données se rendront-elles et avec qui seront-elles partagées?
• Ont-ils un plan de continuité des affaires et un plan de reprise des activités après un sinistre? Seront-ils assez résilients pour passer à travers la crise?
• Ont-ils une politique sur la vie privée qui explique comment ils recueillent, stockent et traitent les renseignements personnels? Respecte-elle la législation en matière de protection des renseignements personnels?
• Où sont-ils situés, et quel est le cadre juridique applicable à leurs activités?

Les sociétés devraient se rappeler que la digitalisation accélérée peut mener des à situations imprévues, et qu'elles pourraient devoir travailler d'une façon itérative avec leurs partenaires d'affaires à l'avenir. Cela ne signifie pas que seules les grandes entreprises peuvent offrir une solution fiable. Parfois, un partenaire local peut se trouver en meilleure position pour offrir la bonne technologie et un soutien adéquat à long terme. Tous ces éléments doivent être pris en considération par les sociétés qui veulent acquérir de nouvelles technologies.

4.    Le bon contrat, pour la bonne technologie

Vous et vos partenaires d'affaires devriez être ouverts à discuter des dispositions du contrat dans le contexte actuel. Par exemple, vous devriez discuter ensemble ouvertement de la COVID-19 et de ses incidences possibles au cours des prochains mois afin d'identifier les risques et les résultats possibles. Cette approche collaborative peut générer davantage de résultats positifs qu'une disposition de force majeure indiquant que l'une ou l'autre des parties peut mettre fin au contrat en raison de la COVID-19. La négociation et la collaboration sont des éléments clés pour conclure un contrat satisfaisant.

Les projets impliquant un grand volume de données devraient mener à des contrats comportant de nombreuses données. Assurez-vous que les rôles et responsabilités sont clairs et qu'il existe des engagements relatifs à la gestion des données. Il pourrait être nécessaire de traiter les différents types de données selon leurs régimes respectifs, comme les données de propriété intellectuelle, les données d'utilisation, les données agrégées, les données synthétiques et les données personnelles. Ils mènent tous à des considérations différentes. La qualité des données synthétiques peut être essentielle dans un projet, et il peut être approprié de prévoir des dispositions à cet égard. En d'autres termes, la qualité des données pourrait ne pas faire partie de ce que le fournisseur peut contrôler.

Chaque catégorie de technologies émergentes mène à des considérations juridiques en soi. Les drones, par exemple, doivent respecter plusieurs lois et règles qui changent selon la juridiction, comme les lois provinciales en matière d'empiètement. Cela doit être pris en compte dans l'allocation des risques. Généralement, l'intelligence artificielle ne remplace pas le jugement et n'est pas programmée à cet effet dans la plupart des déploiements, par conséquent les contrats qui s'y rattachent doivent habituellement prévoir des dispositions relatives à la façon dont les risques sont répartis à l'égard du régime de responsabilité extracontractuelle. Au Québec, les dispositions applicables sont celles du Code civil du Québec.

La propriété intellectuelle demeure un élément important de la négociation des contrats. Vous devez comprendre quelle sera votre propriété intellectuelle au début du projet et ce qui vous appartiendra. Vous pourriez développer de la propriété intellectuelle dans les processus d'affaires que vous mettrez en place. Les sociétés doivent également comprendre le déploiement de la technologie et prendre en considération les éléments suivants :

• Est-ce que la technologie sera déployée dans vos systèmes de TI?
• Est-ce que la technologie exigera un accès à d'autres logiciels ou des composantes de TI qui vous appartiennent?
• Est-ce que la technologie interagira avec d'autres technologies ou bases de données, et le cas échant, comment?
• Utiliserez-vous des interfaces de programmation d'application (APIs) et le cas échéant, qui les développent et en sont propriétaires?

Les logiciels en tant que service (SaaS) et les technologies similaires y compris les plateformes en tant que service (PaaS) et les infrastructures en tant que service (IaaS) pourraient ne pas exiger l'installation de composants tiers dans votre système, ce qui a une incidence sur la façon dont sera rédigé le contrat. Toutefois, les technologies qui sont installées sur vos points d'extrémité ou dans votre système de TI soulèvent des considérations juridiques à l'égard des licences, des logiciels open source et de l'utilisation par les utilisateurs finaux.

5.    Leadership 

Notre groupe des technologies émergentes vous donne ce dernier conseil plutôt simple : sortez des sentiers battus. Les temps difficiles font appel au leadership, et les solutions émergent de façons novatrices dans plusieurs secteurs. Il est important pour les sociétés de continuer à regarder en avant, même en gestion de crise.

Notre équipe s'engage à soutenir les entreprises qui mettent en place des projets technologiques et à préparer les partenaires d'affaires afin qu'ils puissent participer à ces projets avec succès. Nous aidons les entreprises émergentes en croissance de toutes les tailles à comprendre leurs obligations légales et en leur indiquant comment elles peuvent participer à la digitalisation accélérée, tout en aidant les autres entreprises à comprendre les avantages de le faire.

[1] Martin Reeves, Lars Fæste, Cinthia Chen, Philipp Carlsson-Szlezak et Kevin Whitaker, How Chinese Companies Have Responded to Coronavirus, Harvard Business Review, 10 mars 2020, en ligne : < https://hbr.org/2020/03/how-chinese-companies-have-responded-to-coronavirus > (en anglais seulement).

[2] Business Wire, NEC and Siemens Partner to Provide AI Monitoring and Analysis Solution to Accelerate Digitization in Manufacturing, Financial Post, 8 mars 2020, en ligne : < https://business.financialpost.com/pmn/press-releases-pmn/business-wire-news-releases-pmn/nec-and-siemens-partner-to-provide-ai-monitoring-and-analysis-solution-to-accelerate-digitization-in-manufacturing >

[3] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c P-39.1, art. 93.