Le projet de loi n° 64 du Québec a fait des vagues en raison des changements radicaux inspirés du Règlement général sur la protection des données (le RGPD) qu'il propose. Chez Fasken, nous avons publié divers bulletins sur les incidences que le projet de loi n° 64 pourrait avoir sur votre entreprise, notamment les droits accrus qu'il accorde aux personnes en ce qui concerne leurs renseignements personnels et les restrictions qu'il impose aux entreprises quant à l'utilisation de ces renseignements personnels. Le présent ajout à notre série spéciale sur le projet de loi n° 64 met à profit notre expertise en matière de technologies émergentes et de protection des renseignements personnels sous forme de discussion sur la prise de décision automatisée, laquelle est le plus souvent basée sur des algorithmes d'intelligence artificielle. La capacité des systèmes automatisés de prendre des décisions concernant des personnes n'est pas nouvelle : on utilise des programmes informatiques pour établir automatiquement des cotes de solvabilité depuis les années 1990. Cependant, les progrès récents dans le domaine de l'apprentissage automatique et de l'intelligence artificielle, la sensibilisation accrue du public et l'utilisation de plus en plus répandue de systèmes de prise de décision automatisée dans la vie courante ont soulevé des questions sur les droits qui devraient être reconnus aux particuliers en ce qui concerne cette utilisation de leurs renseignements personnels.
Par conséquent, la prise en compte des craintes suscitées par la prise de décision automatisée dans les lois sur la protection de la vie privée est un phénomène relativement nouveau qui a été lancé par le RGPD dans le contexte de certaines décisions importantes pour les individus. Le présent bulletin s'intéresse à l'encadrement proposé de la prise de décision automatisée dans la législation québécoise en matière de protection des renseignements personnels. Il aborde également les distinctions entre le projet de loi n° 64 et le RGPD, un point de départ utile pour ceux qui souhaitent harmoniser leur système de conformité basé sur le RGPD avec les changements à venir proposés par le projet de loi n° 64.
Qu'entendons-nous par prise de décision automatisée?
La prise de décision automatisée est la capacité de prendre des décisions par des moyens technologiques sans intervention humaine. Songeons, par exemple, à une demande de prêt en ligne ou à un questionnaire d'aptitudes pour une demande d'emploi. Il est probable que la décision relative à une telle demande ou à un tel questionnaire soit prise sans intervention humaine, ce qui signifie qu'elle est basée exclusivement sur un traitement automatisé. On utilise les décisions automatisées dans toutes sortes de contextes, du triage des patients à la tarification automatisée dans le secteur des assurances, en passant par le jumelage de couples potentiels sur des applications de rencontre[1]. Ces décisions façonnent invisiblement la vie des gens d'une foule de façons.
Pour comprendre l'importance des changements apportés par le projet de loi n° 64, il faut s'arrêter sur le sens de l'expression « décision fondée exclusivement sur un traitement automatisé ». Prise de décision automatisée et intelligence artificielle ne sont pas synonymes. La prise de décision automatisée est un terme général qui désigne tout traitement automatisé, ce qui peut englober ou non le recours à la technologie de l'intelligence artificielle. Les décisions automatisées peuvent être basées sur l'intelligence artificielle ou sur des formules qui traitent les données de manière relativement prévisible. L'intelligence artificielle ne sert pas seulement à appliquer des règles préétablies; elle est conçue pour rechercher des modèles, tirer des enseignements d'expériences et sélectionner le meilleur choix parmi un éventail donné d'options. Elle fait souvent appel à l'apprentissage automatique, un système de traitement de l'information dans lequel des informations, appelées « données d'entrée », sont introduites dans le système, qui produit une décision appelée « données de sortie ». Le problème que pose l'apprentissage automatique est le fait qu'il constitue une sorte de « boîte opaque », en ce sens que le raisonnement de la décision n'est pas nécessairement connu. En outre, les systèmes d'apprentissage automatique utilisent souvent des algorithmes d'autoapprentissage, dans lesquels le système génère en fait de nouvelles règles, de sorte qu'il se peut qu'une personne ne participe même pas au choix de la manière dont le système prend des décisions.
La distinction entre le type de technologies utilisées pour la prise de décision automatisée est importante, car elle a des implications concrètes sur la façon dont on peut expliquer le système ou dont ses décisions peuvent être révisées. Ce qui nous amène à la question suivante : comment peut-on se conformer au projet de loi n° 64 et à ses exigences lorsqu'on recourt à la prise de décision automatisée?
Comment se conformer au projet de loi n° 64 : Faites preuve de transparence en ce qui concerne votre utilisation de la prise de décision automatisée
Si le projet de loi n° 64 est adopté dans sa forme actuelle, il obligera désormais « toute personne qui exploite une entreprise » à informer la personne concernée lorsqu'elle utilise « des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé » au moment de la décision ou avant. Cet ajout à la législation québécoise sur la protection des renseignements personnels vient à point nommé, car la législation actuelle est totalement muette sur les décisions automatisées.
Le projet de loi n° 64 vise les décisions qui sont fondées exclusivement sur un traitement automatisé, ce qui implique qu'il ne s'applique pas aux traitements de données dans lesquels il y a eu intervention humaine. Si nous avons bien compris, le projet de loi n° 64 n'est censé s'appliquer qu'aux décisions prises exclusivement dans le cadre d'un processus automatisé sans qu'une personne participe à la prise de décision. Seraient donc exclues les décisions pour lesquelles le traitement automatisé est utilisé comme un outil d'aide à la décision. Par exemple, le système de prise de décision automatisée qui décide s'il y a lieu d'accorder un prêt à une personne serait visé, alors que le système de prise de décision automatisée qui ne fait que soumettre un rapport à l'employé de la banque qui décide en dernier ressort d'approuver le prêt ne serait pas visé.
Le projet de loi n° 64 propose également que les organismes et entreprises soient tenus d'informer la personne concernée que l'employé en question a demandé des renseignements à son sujet. La personne concernée aurait le droit d'être informée :
- des renseignements personnels utilisés pour rendre la décision;
- des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision;
- de son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision[2].
Le projet de loi n° 64 prévoit également qu'il doit être donné à la personne concernée l'occasion de présenter ses observations à un membre du personnel de l'entreprise en mesure de réviser la décision.
Le projet de loi n° 64 ne précise toutefois pas de quelle manière les entreprises doivent respecter cette obligation, par exemple en indiquant quel type de renseignements elles doivent fournir pour informer la personne concernée des raisons, ainsi que des principaux facteurs et paramètres ayant mené à leur décision. Les organismes et les entreprises doivent-ils expliquer en détail les raisons ayant mené à leur décision et préciser toutes les règles intégrées au système? Doivent-ils expliquer comment ils sont arrivés à une décision concernant une personne spécifique ou peuvent-ils se contenter de fournir des renseignements généraux?
Bien qu'il soit possible d'adapter les avis de confidentialité pour informer les personnes concernées du recours à l'intelligence artificielle pour la prise de décision automatisée, il pourrait s'avérer plus compliqué d'expliquer comment la décision a été prise. Un système d'intelligence artificielle peut utiliser une vaste gamme de données, repérer des tendances dans des bases de données plus importantes et tenir compte de diverses données pour parvenir à une décision. Ce processus peut être trop complexe à expliquer, ce qui rend le processus décisionnel parfois opaque et impénétrable. Cela a suscité un mouvement en faveur d'une « intelligence artificielle explicable » qui permet de comprendre et de communiquer les décisions.
Nouvelles sanctions prévues par le projet de loi n° 64
Non seulement le projet de loi n° 64 crée ces nouvelles obligations d'informer les gens que des décisions automatisées sont prises à leur sujet et leur donne la possibilité de donner leur avis, mais il impose également de lourdes sanctions administratives pécuniaires en cas de manquement à ces obligations. Le projet de loi n° 64 accorde à la Commission d'accès à l'information (la CAI) de nouveaux pouvoirs pour sanctionner le défaut d'informer les personnes concernées ou de répondre à leurs demandes de renseignements concernant le traitement automatisé, y compris l'imposition de sanctions administratives pécuniaires pouvant atteindre 10 000 000 $ CA ou 2 % du chiffre d'affaires mondial, selon le montant le plus élevé. Le projet de loi n° 64 crée également un nouveau droit privé d'action pour les personnes qui souhaitent porter plainte pour atteinte à la confidentialité de leurs renseignements. Pour en savoir plus au sujet des sanctions, consultez nos publications précédentes.
Différences entre le projet de loi n° 64 et le RGPD
La RGPD reconnaît le droit des personnes concernées d'être informées par le responsable du traitement de l'existence d'une prise de décision automatisée, y compris un profilage. La personne concernée (c'est-à-dire la personne dont les données à caractère personnel sont traitées par une entité soumise au RGPD) a également le droit d'obtenir des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour elle. Le projet de loi n° 64 reconnaît le droit des personnes concernées d'être informées des principaux facteurs et paramètres ayant mené à la décision, mais ne va pas jusqu'à leur reconnaître le droit d'être informées des conséquences de la décision pour elles.
Le RGPD prévoit également que « la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire[3] ». Ce droit a été qualifié de « droit d'obtenir une intervention humaine » lorsque la décision produit des effets juridiques concernant la personne ou l'affectant de manière significative[4]. Le même article du RGPD ajoute également que 1) des mesures doivent être mises en œuvre pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; 2) la personne concernée a le droit d'exprimer son point de vue; 3) la personne concernée a le droit de contester la décision. Par exemple, la décision d'accorder ou non une libération conditionnelle à une personne, ou toute autre décision ayant un impact important, comme le refus d'une demande de crédit en ligne, ne peut être fondée exclusivement sur un traitement automatisé. Même si le recours à la prise de décision automatisée est autorisé, des mesures doivent être mises en œuvre pour la sauvegarde des droits de la personne concernée tout au long du processus, et la personne concernée doit pouvoir exprimer son désaccord et contester la décision. Les mesures de sauvegarde en question peuvent revêtir de nombreuses formes, comme l'utilisation du principe de la protection des données dès la conception pour limiter la quantité de données à caractère personnel collectées ou la mise en œuvre de mesures visant à minimiser le risque d'injustice ou de discrimination dans le processus de prise de décision.
Le projet de loi n° 64 introduit une exigence selon laquelle il doit être donné à la personne concernée l'occasion de présenter ses observations à un membre du personnel de l'entreprise en mesure de réviser la décision automatisée. Ainsi, le projet de loi n° 64 et le RGPD accordent tous les deux à la personne concernée le droit d'exprimer son opinion sur la décision automatisée et de « faire réviser par une personne humaine » la décision. Toutefois, le projet de loi n° 64 ne reconnaît pas le droit de ne pas être soumis à des décisions automatisées, et il ne mentionne pas l'existence de mesures supplémentaires pour la sauvegarde des droits, comme le fait le RGPD.
Mise en œuvre de mécanismes pour les demandes de reconnaissance de droits
Les répercussions du projet de loi n° 64 ne manqueront pas de se faire sentir dans l'ensemble du secteur technologique montréalais en raison de l'importance de Montréal en tant que centre de développement de l'intelligence artificielle. Les entreprises peuvent se préparer de diverses façons en vue de se conformer aux nouvelles exigences de la prise de décision automatisée si le projet de loi n° 64 est finalement adopté. Comme on dit : mieux vaut prévenir que guérir. L'évaluation de l'incidence algorithmique (« EIA ») vise à faciliter l'évaluation et l'atténuation des risques associés au déploiement d'un système automatisé de prise de décisions. Elle constitue un moyen essentiel pour documenter et comprendre les données d'entrée, les données de sortie et les paramètres utilisés. Une EIA peut également permettre de déterminer les incidences que la prise de décision automatisée aura sur les personnes concernées. Pour plus d'informations sur l'évaluation des conséquences d'un projet sur la protection des renseignements personnels, consultez le bulletin de Fasken sur l'évaluation des facteurs relatifs à la vie privée.
Une EIA peut être utilisée pour détecter des problèmes tels que l'injustice et la discrimination potentielles dans la prise de décision automatisée, et pour mettre en œuvre la protection des données dès la conception. En mettant en œuvre des mesures préventives dès la phase de conception, on facilite la conformité et l'on s'attaque aux problèmes potentiels tout au long du processus de conception, plutôt que de concevoir un système dont on découvre plus tard qu'il présente des problèmes de conformité. Ainsi, on pourrait réaliser tout au long du processus de conception la mise en place d'un mécanisme permettant aux personnes concernées de rectifier leurs renseignements personnels ou la conception d'un mécanisme pour expliquer les décisions automatisées.
Mieux vaut prévenir que guérir
Pour conclure, les entreprises qui recourent à la prise de décision automatisée seront confrontées à certaines difficultés lors de la mise en œuvre de cette nouvelle exigence. Les systèmes de prise de décision automatisée qui utilisent des algorithmes prédictifs pénètrent des sphères d'activité de plus en plus vastes, qu'il s'agisse des gouvernements, des banques, des compagnies d'assurance, des firmes de publicité et même des hôpitaux. Les entreprises qui utilisent ces technologies doivent réfléchir à la manière de tirer le meilleur parti possible du traitement automatisé tout en offrant aux personnes suffisamment de transparence et de responsabilité pour qu'elles puissent comprendre comment leurs données personnelles sont utilisées. Voilà donc une occasion pour les entreprises non seulement de se conformer à la loi, mais aussi de renforcer la confiance des consommateurs en leurs marques.
|
CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation. LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution. |
[1] Tinder, Profilage et prise de décision automatique chez Tinder, https://www.help.tinder.com/hc/fr/articles/360003082172-Profilage-et-prise-de-d%C3%A9cision-automatique-chez-Tinder; MIT Technology Review, Doctors are using AI to triage COVID-19 patients, https://www.technologyreview.com/2020/04/23/1000410/ai-triage-covid-19-patients-health-care/.
[2] Projet de loi n° 64, art. 12.1.
[3] Règlement général sur la protection des données, art. 22
[4] Commission européenne, Puis-je être soumis à une prise de décision individuelle automatisée, y compris le profilage? https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-be-subject-automated-individual-decision-making-including-profiling_fr.
