La Commission d’accès à l’information énonce les meilleures pratiques pour l’utilisation de l’IA au travail

En début d’année, la Commission d’accès à l’information (CAI), organisme de protection de la vie privée au Québec, a présenté au ministère du Travail du Québec un mémoire dans le cadre de la consultation sur la transformation des milieux de travail par le numérique. La CAI a émis plusieurs recommandations sur l’utilisation d’outils et d’applications d’IA par les employeurs et a déterminé des domaines où cette utilisation présente un risque élevé.

Ce que vous devez savoir

• La CAI a notamment recommandé les mesures suivantes aux employeurs qui utilisent l’IA :
  • une politique sur l’IA devrait être mise en place à l’interne;
  • les employés devraient être informés de l’utilisation de l’IA et impliqués dans les processus décisionnels liés à l’IA;
  • les activités liées à l’IA à haut risque devraient faire l’objet d’une analyse d’impact algorithmique;
  • l’utilisation de l’IA doit respecter les lois sur la protection des renseignements personnels.
• La CAI se dit préoccupée par la collecte excessive d’information sur les employés (à partir de la géolocalisation, de la biométrie et de la vidéosurveillance) et de leur utilisation possible pour l’entraînement des systèmes de « gestion algorithmique ».
• Bien que ces recommandations n’aient pas force de loi, elles laissent présager de futurs développements réglementaires au Québec et indiquent l’approche que pourrait adopter la CAI à l’égard de l’application des lois actuelles. Les employeurs auraient donc intérêt à mettre à jour leurs politiques et leurs pratiques en matière de protection des renseignements personnels et d’IA.

Recommandations de la CAI sur l’utilisation de l’IA au travail

La CAI a formulé les recommandations suivantes à l’intention des employeurs. Notant les limites des lois existantes, qui ne répondent pas à tous les enjeux liés à l’utilisation de l’IA au travail, la CAI estime que ses recommandations devraient éventuellement être intégrées dans la loi.

• Politique interne sur l’IA : La CAI recommande une politique qui précise les noms des systèmes utilisés et des fournisseurs, le cas échéant), les finalités poursuivies, les renseignements concernés (tant en entrée qu’en sortie), l’incidence prévue sur les droits des personnes concernées et les mesures d’atténuation, la manière dont les résultats sont produits, la manière dont les résultats seront utilisés dans la prise de décision, l’exercice des droits en lien avec ces technologies et les audits ou évaluations réalisés. 
• Analyses d’impact algorithmique : En plus d’une évaluation des facteurs relatifs à la vie privée (EFVP) prévue par la loi au Québec, la CAI recommande de mener une analyse d’impact algorithmique sur l’utilisation ou le développement d’un outil d’IA au travail. Cette analyse devrait évaluer les systèmes qui prennent des décisions partiellement ou entièrement automatisées en prenant en considération l’impact sur les droits fondamentaux et la vie privée des employés.
• Notification des employés : Selon la CAI, l’intention de l’employeur de recourir aux systèmes d’IA dans la prise de décisions concernant les employés devrait être divulguée dès qu’elle est confirmée. Il est à noter que la loi actuelle sur la protection des renseignements personnels ne prévoit pas la divulgation de décisions qui ne sont pas entièrement automatisées.
• Participation des employés : La CAI recommande qu’en plus d’informer les employés, les employeurs devraient les impliquer dans le processus d’analyse d’impact algorithmique. Elle préconise également une participation accrue des employés aux processus décisionnels entourant l’adoption et la mise en œuvre de l’IA au travail.
• Transparence : La CAI recommande de faire preuve de transparence envers les employés quant aux systèmes et outils d’IA utilisés et leur impact potentiel. 
• Finalités et usages appropriés : La CAI recommande que les employeurs évaluent régulièrement l’utilisation des systèmes et outils d’IA en veillant à ce qu’ils soient pertinents et nécessaires à des fins légitimes et en évitant les usages de l’IA que la CAI considère comme inacceptables, notamment la reconnaissance des d’émotions ou des états psychologiques, la catégorisation biométrique et la prise de décision entièrement automatisée produisant des effets importants sur les employés. La CAI réfère au Règlement sur l’intelligence artificielle de l’UE qui prévoit des usages interdits de l’IA.
• Accès aux données : La loi sur la protection des renseignements personnels exige que les employeurs permettent aux employés d’accéder à leurs renseignements personnels, y compris les données utilisées et générées par les systèmes d’IA. Cela comprend les données inférées par les systèmes d’IA. La CAI recommande d’envisager un mécanisme qui permettrait aux employés d’obtenir collectivement ces données dans un format technologique structuré et couramment utilisé. Les employeurs doivent également garder à l’esprit le droit à la portabilité des données.

Préoccupations de la CAI

La CAI s’inquiète de la banalisation de la collecte de renseignements personnels par les employeurs. Toute l’information recueillie à partir de la biométrie, de la géolocalisation, de la vidéosurveillance, de l’écoute téléphonique et du suivi de comptes de médias sociaux pourrait être utilisée pour l’entraînement des systèmes de gestion algorithmique propulsés par l’IA. Selon la CAI, les décisions et les prédictions générées par ces systèmes pourraient avoir des effets significatifs sur les moyens de subsistance des personnes et les droits des travailleurs.

Par conséquent, la CAI considère qu’il s’agit de systèmes « à haut risque », à l’égard desquels les employeurs devraient :

• accroître la transparence;
• prévenir les biais discriminatoires;
• veiller à la nécessité et à la proportionnalité;
• assurer une intervention humaine significative;
• assurer une maturité technologique suffisante au sein de l’organisation pour faire face aux risques complexes liés à l’IA;
• donner aux employés la possibilité de faire valoir leurs droits et d’exercer un contrôle sur leurs renseignements personnels.

Selon la CAI, l’intervention humaine visant à réduire les risques liés à l’IA ne devrait pas se limiter un examen sommaire des décisions prises au moyen d’un système d’IA. Il faut plutôt qu’un humain étudie l’ensemble de l’analyse pour éviter de démonter un biais d’automatisation en faisant exagérément confiance au système.

La CAI a aussi mis en garde contre une utilisation systématique des systèmes d’IA qui pourrait entraîner une situation où les algorithmes en viendraient à dicter la quasi-totalité des paramètres du travail, des conditions à l’horaire ou à la rémunération. En évaluant la nécessité et la proportionnalité de la collecte et de l’utilisation des renseignements personnels, les employeurs peuvent être biaisés par des considérations de commodité et d’efficience, l’accessibilité des systèmes d’IA et un sentiment d’urgence d’adopter ces technologies. Puisque les organisations sont elles-mêmes responsables de s’autoévaluer, la CAI craint que peu de barrières soient en place pour éviter des pratiques d’IA nuisibles.

Incidence sur les employeurs

Approche réglementaire de la CAI. Même si les recommandations de la CAI n’ont pas force de loi, elles indiquent les attentes réglementaires envers les entreprises qui utilisent l’IA. Les enjeux soulignés par la CAI (particulièrement en ce qui a trait aux systèmes d’IA considérés comme « à haut risque ») pourraient indiquer les priorités de mise en application de la CAI quant à l’IA au travail. Les employeurs qui ont des employés au Québec devraient donc envisager de mettre en œuvre les recommandations de la CAI qui lui sont applicables.

Future législation au Québec. Puisque la CAI est d’avis que ses recommandations devraient être intégrées aux lois existantes, elles pourraient représenter des exigences législatives et réglementaires potentielles à l’égard de l’utilisation de l’IA au travail dans un avenir rapproché.

Mesures à prendre. Peu importe le territoire où ils exercent leurs activités, les employeurs devraient mettre en place un cadre de gouvernance interne s’appliquant à la protection des données et à l’utilisation de l’IA au travail, de manière à se conformer aux lois existantes sur la protection de la vie privée, les droits de la personne et les normes du travail et à atténuer les autres risques liés à l’IA.

Ensuite, les organisations devraient revoir leur cadre de gouvernance et leurs pratiques à l’égard de la protection des renseignements personnels des employés à la lumière de leur utilisation actuelle ou potentielle de l’IA. Par exemple, il faudrait s’assurer d’avoir les moyens technologiques nécessaires pour donner accès aux renseignements personnels des employés dans les systèmes d’IA ou pour expliquer aux employés comment leurs renseignements personnels ont été utilisés pour parvenir à une décision automatisée.

Le cas échéant, il peut être opportun d’élargir le champ d’application de ces politiques et pratiques pour suivre ces recommandations au maximum : par exemple, en ajoutant une analyse d’impact algorithmique aux procédures existantes liées aux EFVP pour les outils d’IA ou en renforçant la formation des personnes responsables de l’examen des décisions d’IA pour s’assurer qu’elles sont capables d’effectuer une analyse approfondie d’une décision d’IA.

Pour en savoir plus sur la manière dont les employeurs peuvent cerner les risques liés à l’IA et y répondre, consultez notre guide L’IA pour les employeurs – Concilier risques et avantages.