« Quand je me regarde, je me désole; quand je me compare, je m’affole… » Cette expression détournée résume, à elle seule, le bilan de l’année 2017 concernant les interactions entre intelligence artificielle (« IA ») et renseignements personnels.
Alors qu’actuellement les projets et réussites se multiplient au Canada dans le secteur de l’IA, particulièrement à Montréal, les discussions demeurent embryonnaires sur « l’après » : comment passer de l’effervescence à la pérennité pour cette industrie en puissance ? Force est de constater que cette question mobilise trop peu l’attention. Aussi, comme plusieurs observateurs, croyons-nous qu’une réflexion s’impose pour réglementer — à tout le moins réguler — le recours à l’intelligence artificielle à différents niveaux. L’objectif ultime étant de garantir une sécurité juridique pour tous les intervenants (secteur public, secteur privé et citoyens), tout en favorisant l’innovation et les investissements dans le domaine. En d’autres mots, un cadre normatif équilibré et compétitif. Plus avant, l’un des chantiers les plus importants est selon nous celui de la protection des renseignements personnels.
Pourquoi ? Les mégadonnées (« Big Data » en anglais) couplées avec le recours aux différentes techniques d’IA (dont le « Machine Learning ») apportent de nouveaux enjeux en matière de traitement des données. En voici quelques aspects : (i) la tendance à collecter et à analyser « toutes les données » ; (ii) la réutilisation des données à des fins qui n’avaient pas été préalablement envisagées ; (iii) la collecte de nouveaux types de données (observées, dérivées ou encore inférées) ; (iv) l’imprévisibilité des algorithmes ; ou (v) la réidentification d’individus à la suite d’une « anonymisation » des données.
Cette nouvelle réalité remet en question les principes essentiels de la protection des renseignements personnels, tant pour les organisations que pour les individus. Comment respecter le principe de transparence ? Comment ne pas contrevenir au principe de limitation de la collecte et de l’utilisation des renseignements personnels ? Comment obtenir le consentement de toutes les personnes concernées ? Comment préserver les droits d’accès et de rectification des individus ? Autant de questions qui font l’objet de nombreuses réflexions dans le reste du monde.
Du chemin à faire
Ailleurs ? En 2017, l’intelligence artificielle a fait couler beaucoup d’encre chez les autorités étrangères responsables de la vie privée. On pense par exemple au document de l’Information Commissioner’s Office au Royaume-Uni portant sur Big Data, Artificial Intelligence, Machine Learning and Data Protection, qui pose concrètement les défis et pistes de solution concernant l’IA. Ou encore en France au rapport de décembre 2017 de la Commission nationale de l’informatique et des libertés intitulé Comment permettre à l’homme de garder la main, offrant une perspective plus aérienne et conceptuelle des enjeux de l’IA. Plus fondamentalement, au sein de l’Union européenne, c’est surtout le Règlement général sur la protection des données, en vigueur à partir de mai 2018, qui a fait l’objet de nombreux travaux et analyses. En effet, il contient des dispositions spécifiques sur « la prise de décision individuelle automatisée » qui permettent à l’individu concerné de s’y opposer (sous certaines conditions) ou d’obtenir de l’information à ce sujet.
Chez nous ? Pendant ce temps, au Canada, il y a encore du chemin à faire. La Commission d’accès à l’information du Québec effleure le sujet dans son rapport quinquennal 2016 au moyen des termes « mégadonnées » ou « algorithme », sans vraiment aborder la question de l’IA. Le Commissariat à la protection de la vie privée au Canada, quant à lui, cible l’IA dans son rapport annuel 2016-2017 comme un sujet important, en promettant de publier des recherches sur le sujet. La vaste consultation sur le « consentement » ainsi que les documents afférents est d’ailleurs une belle initiative en ce sens. Toutefois, pour l’heure, il ne semble y avoir aucune proposition concrète pour adapter nos lois sur la protection des renseignements personnels à l’IA…
Et puis ? Le futur étant maintenant, 2018 devra être le point de rencontre entre IA et vie privée. En effet, tant sur le plan provincial que fédéral, aussi bien pour les organismes publics que pour les entreprises privées, on ne peut qu’exhorter à de vastes consultations sur l’IA et la réévaluation des lois sur la protection des renseignements personnels. L’idée ne serait pas tant de « parler pour parler », encore moins de « changer pour changer », mais bien d’amorcer une réflexion mature sur la relation entre IA et renseignements personnels. À nos yeux, la priorité pour 2018.