Dix principes d’utilisation responsable de l’intelligence artificielle (IA) pour les organismes publics du Québec

Cet article a originalement été publié le 29 août 2024.

L’année 2024 est une année charnière pour l’encadrement de l’intelligence artificielle (IA) à travers le monde. L’adoption et l’entrée en vigueur du Règlement sur l’intelligence artificielle de l’Union européenne, à l’image du Règlement général sur la protection des données avant lui, le positionne déjà comme la norme de référence sur la scène internationale.

À son échelle, le Canada avait fait preuve de leadership en 2022 avec le dépôt du projet de loi C-27 et sa proposition de Loi sur l'intelligence artificielle et les données (LIAD). Or, depuis son dépôt, le cheminement législatif de ce projet de loi à la Chambre des communes se révèle particulièrement lent, ce qui met en doute son avenir avec la perspective d’élections fédérales dans un peu plus d’un an.

De son côté, comment le Québec se positionne-t-il sur cet enjeu?

Le point sur l’encadrement de l’IA au Québec

Malgré l’absence de projet de loi spécifique en matière d’IA à son propre palier de gouvernement, le Québec n’est pas en reste. Rappelons que le Québec se veut un pionnier dans le domaine de la gouvernance et de l’éthique de l’IA, ayant adopté la Déclaration de Montréal pour un développement responsable de l'intelligence artificielle en 2018. Fruit d’un important processus de coconstruction citoyenne, la Déclaration de Montréal constitue un cadre éthique pour le développement et le déploiement de l’IA qui s’articule autour de 10 principes : bien-être, autonomie, intimité et vie privée, solidarité, démocratie, équité, inclusion, prudence, responsabilité et soutenabilité environnementale.

Plus récemment, au mois de février 2024, le Conseil de l’innovation du Québec a déposé son rapport dans lequel il formule 12 recommandations, incitant notamment le gouvernement à adopter une loi-cadre pour encadrer le développement et le déploiement de l’IA dans la société.

L’Énoncé de principes pour une utilisation responsable de l’intelligence artificielle par les organismes publics

La dernière nouveauté en matière d’encadrement de l’IA au Québec provient du ministère de la Cybersécurité et du Numérique (MCN) qui a adopté, en vertu de l’article 21 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, un Énoncé de principes pour une utilisation responsable de l’intelligence artificielle par les organismes publics.

Les 10 principes directeurs établis par le MCN pour orienter l’utilisation de l’IA par les organismes publics sont les suivants :

1. Respect des personnes et de la règle de droit : L’utilisation responsable de systèmes d’IA doit se faire dans le respect de la primauté du droit, des droits et libertés de la personne, de la loi ainsi que des valeurs de l’administration publique québécoise¹. Plus particulièrement, les organismes publics doivent veiller à ce que les données d’apprentissage et les autres données utilisées par les systèmes d’IA soient légalement collectées, utilisées et divulguées, en tenant compte des droits applicables en matière de protection de la vie privée. Par exemple, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels prévoit l’obligation de produire une évaluation des facteurs relatifs à la vie privée (EFVP) pour l’acquisition ou le développement d’une solution d’IA qui implique la collecte, l’utilisation et la communication de renseignements personnels.
2. Inclusion et équité : L’utilisation responsable de systèmes d’IA doit viser à répondre aux besoins de la population québécoise à l’égard des services publics, tout en faisant la promotion de la diversité et de l’inclusion. Tout système d’IA doit ainsi minimiser les risques et les inconvénients pour la population et éviter de causer une fracture numérique. Les membres du personnel des organismes publics doivent pouvoir bénéficier de l’accompagnement nécessaire par la mise en place de mécanismes et d’outils, notamment lorsque des métiers sont appelés à être transformés grâce aux avancées technologiques.  
3. Fiabilité et robustesse : Des mesures doivent être prises pour vérifier la fiabilité et la robustesse des systèmes d’IA. Des mesures correctives et des moyens de contrôle doivent également être mis en place pour s’assurer que ces systèmes fonctionnent de manière stable et constante, même en présence de perturbations ou de scénarios inédits. La qualité des données est un élément clé pour viser la fiabilité et la robustesse d’un système d’IA; notamment, les données doivent être exactes et exemptes de biais pouvant comporter des risques, causer des préjudices ou renforcer diverses formes de discrimination.
4. Sécurité : L’utilisation responsable de systèmes d’IA doit se faire dans le respect des obligations relatives à la sécurité de l’information. Des mesures de sécurité doivent être mises en place afin de limiter les risques encourus et de protéger adéquatement l’information concernée.
5. Efficience, efficacité et pertinence : L’utilisation responsable de systèmes d’IA doit permettre d’offrir aux citoyens et aux entreprises des services publics simplifiés, intégrés et de qualité. L’utilisation de tels systèmes doit également viser une gestion optimale des ressources informationnelles et des services publics. Par exemple, un organisme peut démontrer son respect de ce principe à l’aide d’un dossier d’opportunité qui indique comment le recours à l’IA est essentiel à la résolution d’un problème ou à l’amélioration d’un processus.
6. Durabilité : L’utilisation responsable de systèmes d’IA doit s’inscrire dans une démarche de développement durable. Par exemple, un organisme peut démontrer son respect de ce principe en effectuant une évaluation des impacts environnementaux de son projet d’IA.
7. Transparence : Les organismes publics doivent informer clairement les citoyens et les entreprises de la nature et de la portée des systèmes d’IA ainsi que du moment de leur utilisation, de manière à promouvoir la confiance du public envers ces outils. Par exemple, un organisme peut démontrer son respect de ce principe en adoptant une signalétique indiquant aux usagers que le service qu’ils reçoivent est généré par un système d’IA.
8. Explicabilité : L’utilisation responsable de systèmes d’IA implique de fournir aux citoyens et aux entreprises l’explication claire et sans ambiguïté des décisions, des prédictions ou des actions les concernant. L’explication doit permettre de comprendre les interactions et ses conséquences au regard d’une décision ou d’un résultat.
9. Responsabilité : L’utilisation de systèmes d’IA entraîne une responsabilité, notamment quant à leur bon fonctionnement. Une telle responsabilité implique de mettre en place des mesures de contrôle et une gouvernance adéquate, incluant la supervision ou la validation humaine.
10. Compétence : Les employés des organismes publics doivent être sensibilisés aux normes d’utilisation, aux pratiques optimales et aux enjeux pouvant survenir tout au long du cycle de vie des systèmes d’IA dans le cadre de l’exercice de leurs fonctions, en plus de favoriser le développement de leurs compétences numériques. Il est important que les équipes dédiées à la conception et au développement de solutions visant de tels systèmes disposent d’une expertise de pointe pour permettre à l’administration publique de viser à offrir des services publics simplifiés, intégrés et de qualité. Par exemple, un organisme peut démontrer son respect de ce principe en offrant aux membres de son personnel une formation sur les bonnes pratiques en matière d’utilisation de l’IA préalablement à son déploiement.

En outre, le MCN précise que ces principes s’appliquent même lorsqu’un organisme public a recours à des fournisseurs de service ou des partenaires pour assurer le développement ou le déploiement d’un système d’IA; chaque organisme est donc responsable de s’assurer que ses fournisseurs et ses partenaires respectent ces principes à toutes les étapes d’un projet impliquant l’intégration de l’IA.

Le Guide des bonnes pratiques d’utilisation de l’intelligence artificielle générative

En complément à son Énoncé de principes, le MCN a publié, en octobre 2024, un Guide des bonnes pratiques d’utilisation de l’intelligence artificielle générative. Conçu pour l’encadrement des outils d’IA générative accessibles au public via des services externes, ce Guide vient renforcer l’Énoncé de principes en orientant les organismes publics vers des pratiques responsables dans l’intégration de ces technologies émergentes. Les recommandations du Guide sont formulées tant au niveau organisationnel qu’individuel — c.-à-d. qu’elles s’adressent également aux employés eux-mêmes — avec pour objectif d’appuyer les organismes publics dans le développement de leur gouvernance en matière d’IA.

Ainsi, les organismes publics devraient prioriser l’application des principes complémentaires suivants dans leur utilisation d’outils d’IA générative externes :

Protection

Les organismes publics et leurs employés sont responsables de la protection des informations qu’ils détiennent. Ils doivent veiller à la sécurité des informations sensibles ou stratégiques et à la protection des renseignements personnels, en tenant compte des droits applicables en matière de protection de la vie privée.

Bonnes pratiques en matière de protection Ne divulguez jamais aux outils d’IA générative des informations confidentielles ou sensibles soumises à la propriété intellectuelle de l’organisme public, ni des renseignements personnels. Assurez-vous de votre conformité aux lois, règles et directives existantes, notamment à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Veillez à ce que le canal de communication réseau avec l’IA soit chiffré et vérifiez toujours l’URL dans la barre d’adresse afin de sécuriser les échanges et d’éviter qu’un tiers malveillant puisse y accéder.

Responsabilité et neutralité

Les organismes publics sont imputables des informations produites et diffusées et doivent assumer la responsabilité de tout contenu généré par l’IA, en veillant à ce qu’il soit factuel, légal et éthique. Les résultats générés doivent être cohérents, valides, exempts de biais et pertinents dans le cadre du mandat de l’organisme. Ils doivent également être utilisés de manière équitable.

Bonnes pratiques en matière de responsabilité et de neutralité  Ne considérez pas les réponses générées par l’IA comme définitives, mais plutôt comme un point de départ nécessitant une réflexion supplémentaire. Révisez et vérifiez toujours les informations générées par l’IA en vous appuyant sur des sources variées et en sollicitant l’expertise humaine au besoin.

Utilité

Les organismes publics doivent s’assurer que les outils d’IA générative sont utilisés de manière efficace et pertinente pour répondre aux besoins de l’organisation ou des citoyens.

Bonnes pratiques en matière d’utilité Utilisez l’IA dans des contextes appropriés et de manière conforme à l’Énoncé de principes, de même qu’aux normes éthiques et gouvernementales de votre organisation. Assurez-vous que les résultats générés s’inscrivent dans le cadre de la mission de votre organisation. Lisez et respectez les conditions d’utilisation de chaque outil d’IA générative, notamment les règles de contenu, les limitations de temps et les spécifications d’usage.

Diligence et traçabilité

Les organismes publics doivent faire preuve de diligence et de proactivité dans la gestion des risques et des incidents liés à l’IA générative. Ils doivent évaluer la nécessité de suivre et de documenter l’utilisation de ces outils afin de promouvoir la transparence dans le suivi et la justification des actions et décisions.

Bonnes pratiques en matière de diligence et de traçabilité Signalez rapidement toute information qui pourrait laisser croire à un incident de confidentialité ou à la publication d’informations trompeuses, erronées ou diffamatoires au sujet de l’organisation, conformément à la procédure interne en vigueur.

Sensibilisation, gestion du changement et bien-être

Les organismes publics doivent informer et sensibiliser sur le fonctionnement, les forces, les limites et l’utilisation responsable des outils d’IA générative. Ils doivent s’assurer que leurs employés ont accès à des ressources en cas d’impact négatif de l’IA générative par rapport à leur santé ou à leur bien-être, selon les ressources disponibles au sein de l’organisation.

Bonnes pratiques en matière de sensibilisation, de gestion du changement et de bien-être Faites preuve de discernement dans le choix des outils d’IA que vous utilisez. Tenez-vous régulièrement informé des mises à jour, améliorations et restrictions des outils d’IA utilisés. Limitez-vous à l’utilisation d’outils approuvés par votre organisation. En cas de doute sur la fiabilité ou la sécurité d’une IA, consultez les autorités compétentes au sein de votre organisation afin d’évaluer les risques.

 

Le MCN rappelle que ces principes doivent être adaptés aux particularités de chaque organisme public. Les processus internes applicables en matière de sécurité, d’accès à l’information et de protection des renseignements personnels peuvent également être mobilisés pour encadrer l’utilisation d’outils d’IA générative externes. Dans tous les cas, il est essentiel d’ajuster les précautions en fonction du contexte d’utilisation de l’IA. À cet égard, la désignation d’un responsable chargé de la supervision et de la gestion de ces outils constitue une approche stratégique pertinente.

Vers une harmonisation de l’encadrement de l’IA?

Il est intéressant de souligner que les principes exposés par le MCN sont très similaires à ceux identifiés par le gouvernement fédéral dans son document complémentaire à la Loi sur l’intelligence artificielle et les données (LIAD).

L’approche de la LIAD, basée sur les risques, est justement conçue pour s’aligner avec l’évolution des normes internationales dans le domaine de l’IA, notamment le Règlement sur l'IA de l'Union européenne, les Principes sur l’IA de l’Organisation de coopération et de développement économiques (OCDE), et le Risk Management Framework du National Institute of Standards and Technology (NIST) aux États-Unis. Le MCN utilise d’ailleurs la définition de « système d’intelligence artificielle » proposée par l’OCDE.

Considérant les obstacles auxquels fait face le projet de loi fédéral C-27, il est de bon augure de voir le gouvernement québécois s’inspirer de cette approche de réglementation en conformité avec les standards internationaux en matière d’IA. Alors que de plus en plus d’organismes publics explorent les possibilités offertes par l’IA pour améliorer leurs opérations et la prestation des services publics, l’Énoncé de principes du MCN fournit des orientations claires qui peuvent s’appliquer à tous les secteurs de l’Administration publique, quelle que soit la nature des activités ou des données concernées.

Dans cette optique, le ministère de l’Éducation a récemment publié le Guide sur l’utilisation pédagogique, éthique et légale de l’intelligence artificielle générative destiné au personnel enseignant. Ce Guide, directement inspiré de l’Énoncé de principes du MCN, propose des principes d’utilisation de l’IA générative adaptés au secteur de l’éducation. Cette initiative pourrait constituer une première étape vers l’élaboration de principes sectoriels spécifiques à d’autres domaines stratégiques, tels que la santé ou la justice, renforçant ainsi une gouvernance éthique et cohérente de l’IA à travers l’ensemble des services publics québécois.

Enfin, pour opérationnaliser ces principes, les organismes publics peuvent considérer mettre en place un cadre de gouvernance de l’IA afin de renforcer leur résilience dans leur intégration de l’IA.

Communiquez avec nous

Le groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels de BLG suit de près les développements juridiques susceptibles d’éclairer les organisations sur les exigences en matière de protection des données au Canada. N’hésitez pas à communiquer avec les personnes-ressources ci-dessous ou d’autres membres de notre groupe si votre organisation s’interroge sur la mise en place d’un cadre de gouvernance de l’IA.

---

¹ Le MCN réfère à la Déclaration de valeurs de l’administration publique québécoise.