Qu’il s’agisse d’algorithmes utilisés sur les plateformes de musique en continu, des robots conversationnels, des véhicules autonomes ou d’analyse prédictive, la prise de décisions automatisée joue un rôle de plus en plus important sur le Web et dans le monde du numérique. Mais sait-on exactement de quelle manière sont traitées les données sur lesquelles se fonde la prise de décisions automatisée?
Le projet de loi n° 64 prévoit diverses obligations en matière de protection des renseignements personnels et de gouvernance des données (cliquez ici pour lire notre analyse précédente du projet de loi n° 64), dont certaines s’appliquent aux décisions fondées sur le traitement automatisé des renseignements personnels. Même si les obligations en matière de prise de décisions automatisée prévues dans le projet de loi n’entrent en vigueur qu’en septembre 2023, les entreprises assujetties au droit québécois devraient commencer à agir dès maintenant pour s’y conformer.
Suivant l’exemple des organismes de réglementation en Europe, en Amérique du Sud et ailleurs, le projet de loi n° 64 accorde aux consommateurs le droit d’être informés lorsque leurs renseignements personnels sont utilisés pour prendre des décisions les concernant sans intervention humaine et de s’y opposer. Les décisions automatisées varient beaucoup en complexité; il peut s’agir tant d’un simple choix quant à l’existence ou à l’absence d’un renseignement que d’intelligence artificielle (IA) et d’algorithmes complexes utilisés pour recommander du contenu ou des résultats de recherche.
Lorsqu’elle sera en vigueur, la disposition du projet de loi n° 64 en matière de prise de décisions automatisée, soit l’article 12.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le secteur privé), établira des obligations de transparence et d’imputabilité à l’égard des processus décisionnels automatisés applicables.
Cette disposition s’applique uniquement aux décisions qui sont fondées sur des renseignements personnels et sont entièrement automatisées. Elle oblige les organisations à :
Ces droits en matière de transparence s’appliquent à la fois aux personnes au sein de l’organisation (p. ex. les employés) et aux personnes externes (p. ex. les clients).
Même s’il est peu probable que les obligations en matière de prise de décisions automatisée prévues dans le projet de loi n° 64 freinent l’innovation ou l’efficacité des processus à long terme, les organisations devront mener des efforts importants en amont pour répertorier leurs processus décisionnels automatisés et assurer la conformité de leurs politiques relatives au consentement et à la protection des renseignements personnels.
Les entreprises devraient commencer par repérer les processus décisionnels automatisés qui a) sont effectués exclusivement de façon automatique sans intervention humaine; b) utilisent des renseignements personnels afin de prendre la décision; et c) relèvent de la Loi sur le secteur privé (c’est habituellement le cas si l’entreprise exerce des activités au Québec ou si le processus automatisé concerne des renseignements personnels de résidents du Québec).
En répertoriant les processus décisionnels automatisés, il faut également prendre en compte le risque lié à chaque processus pour pouvoir mieux gérer la vérification de la conformité. L’analyse devrait tenir compte de la confidentialité et du volume des renseignements personnels, de l’incidence de la décision sur la personne concernée, des documents existants expliquant le fonctionnement du processus décisionnel, de l’étendue des changements requis pour se conformer aux obligations et de la facilité avec laquelle ces changements peuvent être apportés.
Il faut informer les personnes concernées de chaque processus décisionnel automatisé assujetti au projet de loi n° 64. La communication de cette information doit être effectuée au début du processus décisionnel (p. ex. lorsqu’on demande à la personne son consentement à l’utilisation de ses renseignements personnels aux fins du processus) ou lorsque la décision est communiquée (p. ex. lorsqu’on informe un client qu’il est admissible à un nouveau produit). Il n’est pas encore clair si cette information peut être communiquée dans le cadre des conditions générales ou si elle doit être présentée séparément, mais il faut à tout le moins décrire le but de chaque prise de décision automatisée. Les organisations ne devraient pas présumer qu’elles peuvent fournir une communication générale concernant la prise de décision automatisée à diverses fins indéterminées.
Les entreprises qui utilisent des processus décisionnels automatisés assujettis aux obligations du projet de loi n° 64 devront fournir à la personne concernée les coordonnées d’une personne ressource à laquelle elle peut soumettre des questions ou des plaintes concernant la décision, la façon dont celle-ci a été prise ou les renseignements personnels qui ont été utilisés. Elles doivent également lui permettre de demander la correction des renseignements personnels qui ont été utilisés pour prendre la décision.
Les entreprises qui ont déjà mis en place un processus pour traiter les demandes relatives aux droits prévus dans les lois existantes sur la protection des renseignements personnels pourraient simplement élargir la portée de ce processus. Certaines entreprises pourraient décider d’expliquer ces options dans la communication initiale. D’autres pourraient décider d’inclure cette information dans leur politique existante sur la protection des renseignements personnels.
Toutefois, une entreprise peut également décider d’établir des processus automatisés pour corriger les renseignements personnels utilisés dans la prise de décision ou expliquer les motifs d’une décision. Prenez l’exemple d’un processus décisionnel automatisé utilisé pour fournir une estimation gratuite en ligne. Cet outil peut être conçu de manière à permettre à la personne de modifier (et donc de corriger) les entrants utilisés par le système d’estimation. En outre, il pourrait être possible de concevoir la page des résultats de manière à expliquer automatiquement les facteurs ayant mené à l’estimation.
Pour satisfaire aux obligations de transparence, les entreprises devront documenter les paramètres utilisés pour la prise de décisions automatiques. En ce qui concerne les processus décisionnels avancés fondés sur des algorithmes, il faudra documenter la façon dont l’algorithme fonctionne, y compris les entrants possibles et la façon dont ceux-ci sont évalués dans le cadre de l’analyse. Le projet de loi n° 64 exige également que les renseignements utilisés pour prendre une décision (automatisée ou non) concernant une personne soient conservés pendant au moins un an. Les entreprises devraient donc s’assurer de mettre en place des mécanismes de conservation des données pour les processus décisionnels automatisés.
Les organismes de réglementation continuent à relever les biais dans la prise de décision automatisée (particulièrement dans le contexte de l’IA et de l’apprentissage automatique (machine learning)). Certains types de prise de décision automatisée pourraient être interdits par des lois fédérales ou provinciales en matière d’emploi, des droits de la personne ou de la protection des renseignements personnels. Pour prévenir les biais et les plaintes qui pourraient en découler, les entreprises devraient documenter les mécanismes de conception, de contrôle et de mise à l’essai existants pour s’assurer que les résultats sont exacts, justes et appropriés et que les renseignements personnels utilisés ne constituent pas une atteinte à la vie privée.
Même si les obligations en matière de prise de décisions automatisée prévues dans le projet de loi n° 64 n’entrent en vigueur qu’en septembre 2023, les entreprises devraient commencer à agir dès maintenant pour répertorier leurs processus décisionnels automatisés, mettre à jour les informations communiquées aux consommateurs et mettre en place une tenue de dossiers appropriée. Les organisations devraient également intégrer la conformité avec les lois québécoises sur la protection des renseignements personnels à leurs processus de mise en œuvre de nouveaux systèmes de prise de décision automatisée, par exemple en mettant à jour les modèles d’évaluation des risques et de consentement.
Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.
Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.
Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.
© Torys, 2024.
Tous droits réservés.