Réflexions sur les enjeux relatifs à l’intégration, en entreprise, de processus technologiques impliquant l’intelligence artificielle

Au cours des derniers mois, les innovations et développements dans ce domaine se sont multipliés et semblent sans limite. Tandis que les législateurs s’affairent à produire des textes de loi pour encadrer cette nouvelle technologie à la fois attrayante et préoccupante, on assiste à une prolifération d’organisations qui y recourent, d’une manière ou l’autre, pour faire de la recherche, effectuer des analyses, automatiser et optimiser des processus, faire des prédictions, etc. 

Pour l’instant, cette technologie semble se confiner à l’IA faible ou étroite, ce qui permet l’exécution rapide de tâches spécifiques (par exemple : SIRI, ALEXA, CHAT-GPT, les voitures autonomes, etc.). Cependant, on peut anticiper que tôt ou tard, au rythme effréné où les choses évoluent, on assistera à la naissance d’une « IA générale » qui permettra aux robots d’effectuer simultanément et de nombreuses tâches complexes sans programme spécifique et toute autonomie. Il ne restera alors qu’une étape critique à franchir, soit celle d’une « Super-IA » où la réalité dépassera la fiction en permettant à l’intelligence artificielle de surpasser l’esprit humain dans tous les domaines…

Pour l’heure, les applications que l’IA apporte présentent de nombreux avantages en matière de rapidité d’exécution et de capacité d’analyse qui peuvent s’avérer utiles dans différents contextes. En effet, celles-ci permettent, entre autres, d’accélérer la prise de décision, de poser des diagnostics, d’optimiser la production, de suivre la progression des élèves, etc. 

Par contre, en marge des bienfaits qu’elle procure, l’IA comporte aussi un ensemble de risques encore mal définis qui méritent une attention particulière. D’une part, il y a l’enjeu de la sécurité. En effet, les capacités de l’IA se prêtent bien aux usages malveillants tels que la désinformation, les hypertrucages, ou les attaques sophistiquées qui emploient l’ingénierie sociale pour commettre des fraudes et autres méfaits. D’autre part, les systèmes propulsés par l’IA sont à risque de développer des biais. En effet, en fonction de la qualité des ensembles de données qui alimentent leurs algorithmes, notamment durant leur phase d’apprentissage, l’IA pourrait constituer une source de discrimination automatisée. Cette discrimination pourrait être fondée, par exemple, sur l’ethnie, le genre, le sexe, etc. De même, cela pourrait faciliter la systématisation de stéréotypes, entrainer la violation de droits fondamentaux et, partant, mener à des résultats injustes ou déraisonnables. À titre d’exemple, dans un environnement de travail, cette discrimination pourrait se transposer dans l’analyse des dossiers de candidatures ou de performance des employés et ainsi engendrer de graves problèmes organisationnels. 

Dans l’exécution, l’IA souffre aussi d’un manque criant de transparence au niveau des données utilisées et du processus d’analyse pour en arriver à des décisions automatisées, ce qui risque de miner la confiance du public. En effet, comment l’IA procède-t-elle pour en arriver à une décision, et comment l’expliquer? 

D’autre part, la programmation et le codage qui sont intégrés dans les algorithmes qui sont au cœur de l’IA pourraient potentiellement enfreindre des droits qui relèvent de la propriété intellectuelle et mener à des litiges complexes et couteux. À titre d’exemple, si ce système propulsé par l’IA fournit à un utilisateur des idées, des images, du son, voire même un extrait de texte complet, il se peut très bien que ces mêmes idées, images, son, texte ne soient pas réellement des créations originales et soient fortement inspirées (voire même directement copiées) d’œuvres ou d’inventions protégées par des droits de propriété intellectuelle. 

L’IA présente aussi des risques significatifs au niveau de la vie privée. En effet, cette technologie facilite l’introduction d’innovations intrusives telles la reconnaissance faciale, la géolocalisation ainsi que d’autres méthodes d’analyse ou d’identification faisant usage de renseignements personnels sans le consentement des personnes concernées. L’affaire de Clearview AI¹ et de Chat GPT² illustrent combien les renseignements personnels accessibles sur Internet ou dans la vie de tous les jours sont vulnérables et susceptibles d’être utilisés au détriment des personnes concernées. 

Ultimement, au-delà des difficultés précitées, l’IA présente aussi un enjeu de taille au niveau de l’imputabilité… En effet, en cas de discrimination, de violation de droits, ou d’autres préjudices, qui doit rendre des comptes et être tenu responsable? Le programmeur, le distributeur, l’utilisateur? Cette question en elle-même est à priori fort complexe…

Or, qu’en est-il de la législation applicable? Au Canada (comme dans la plupart des juridictions dans le monde, sauf pour l’Europe³) l’usage de l’IA demeure mal encadré par les lois en vigueur qui peinent à suivre le rythme évolutif de la technologie, ce qui prête flanc à des dérives potentiellement graves. En effet, il n’existe actuellement aucune loi qui s’y consacre spécifiquement. Outre les lignes directrices non contraignantes émises par le gouvernement fédéral dans son Guide sur l’utilisation de l’intelligence artificielle générative⁴ qui préconise la transparence, l’équité, et un contrôle humain dans l’usage de cette technologie, nous sommes dans l’attente de l’adoption d’un cadre législatif adapté aux enjeux que soulève cette technologie. Actuellement, le projet de loi C-27 est à l’étude et comporte un volet dédié à cette question. L’extrait suivant, tiré des notes explicatives dudit projet de loi, décrit bien l’urgence d’agir à cet égard :

La Loi sur l’intelligence artificielle et les données vise à prémunir la population contre une gamme de risques graves associés à l’utilisation de systèmes d’intelligence artificielle, notamment les risques de préjudice physique ou psychologique ou de résultat biaisé ayant des effets négatifs sur les individus⁵.

Au Québec, même constat. En effet, outre les dispositions générales du Code civil du Québec et les principes énoncés dans la Charte québécoise, il n’y a pas de texte de loi pour baliser l’utilisation de l’IA. Toutefois, la Loi 25⁶ offre une perspective intéressante sur cette question par l’entremise des droits qu’elle confère aux individus. En effet, l’article 21 de la loi, qui modifie l’article 65.2 de la Loi sur l’accès⁷, énonce certaines conditions en matière de décisions fondées exclusivement sur un traitement automatisé qui obligent les organisations à respecter certains critères pour mieux protéger les droits des individus : 

 « 65.2. Un organisme public qui utilise des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci doit en informer la personne concernée au plus tard au moment où il l’informe de cette décision. 

Il doit aussi, à la demande de la personne concernée, l’informer : 1° des renseignements personnels utilisés pour rendre la décision; 2° des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision; 

3° de son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision. 

Il doit être donné à la personne concernée l’occasion de présenter ses observations à un membre du personnel de l’organisme public en mesure de réviser la décision. ».

L’article 65.2, tel que modifié, illustre bien les défis importants que devront relever les organisations du Québec dans l’intégration de l’IA à leurs processus.

Devant de tels enjeux, comment procéder? Il est vrai que le recours à l’IA présente des risques non négligeables pour les personnes physiques sans oublier le contexte d’incertitude que suscite l’adoption imminente de textes législatifs déterminants en cette matière, tant au Canada qu’ailleurs dans le monde. Vu ce qui précède, certaines précautions de base s’imposent. D’abord, il faut obtenir l’assurance de la part du fournisseur de services que celui-ci détient tous les droits sur les sources et le code qui font partie intégrante de la programmation de l’algorithme en cause. Ensuite, il faut vérifier que les ensembles de données qui alimentent l’IA soient de qualité, intègres et répondent aux exigences du consentement que prévoit la Loi 25 à l’égard des renseignements personnels (si applicable). 

Au vu de ce qui précède, les différentes organisations devront être très vigilantes dans la rédaction de contrats de service.

Ce sujet est d’une importance critique et devra, par conséquent, faire l’objet d’une grande minutie. En effet, ces contrats devront notamment prévoir différentes clauses indispensables pour bien protéger l’organisation concernée soit, entre autres, les garanties applicables, les indemnités en cas de défaut, manquement ou préjudice prévisible, les mesures de contrôle et de réponse aux incidents, et les modalités relatives à la supervision humaine. En outre, compte tenu du fait que des changements législatifs sont à prévoir, le libellé du contrat de service devra permettre un degré de flexibilité suffisant pour permettre d’intégrer de tels changements. Autre élément essentiel à considérer : l’adoption au préalable d’un cadre de gouvernance en matière d’IA ainsi qu’un programme de formation du personnel afin que l’organisation puisse l’encadrer efficacement tout en déployant les précautions nécessaires. 

Les mesures précitées dans un contexte d’intégration de l’IA pourraient bien s’avérer incomplètes à postériori, mais elles constituent un bon point de départ pour amorcer une réflexion sérieuse sur l’opportunité de recourir, dans les circonstances, aux avantages que fait miroiter cette technologie alors que celle-ci laisse entrevoir des risques dont la portée, encore méconnue, demeure difficile à mitiger.