Les douze travaux de la cybersécurité et du numérique
Bien que le projet de loi C-27, dit la Loi de 2022 sur la mise en œuvre de la Charte du numérique, soit mort au feuilleton, le gouvernement québécois poursuit ses travaux sur le sujet de la cybersécurité et du numérique. En effet, le 27 juin 2024, le ministre de la Cybersécurité et du Numérique a adopté l’Énoncé de principes pour une utilisation responsable de l’intelligence artificielle par les organismes publics[1]. Puis, en décembre dernier, le ministre a bonifié ces principes[2]. Rappelons encore que cet énoncé s’applique spécifiquement aux organismes publics visés à l’article 2 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement[3]. Les organismes publics devront appliquer ces principes en tenant compte de l’intérêt public et de considérations de proportionnalité, d’universalité et d’utilisation responsable. De même, ces principes s’appliqueront même lorsqu’un organisme public a recours aux services de fournisseurs ou de prestataires externes. Voici donc un résumé de ces douze principes, revus et améliorés.
1. Principe du respect des personnes et de la règle de droit (inchangé)
Le premier principe demeure inchangé. Ainsi, toute utilisation de l’IA doit se faire dans le respect de la primauté du droit, des droits et libertés de la personne, de la loi et des valeurs de l’administration publique québécoise. Plus particulièrement, les organismes publics doivent veiller à ce que les données d’apprentissage, notamment, utilisées par l’IA soient recueillies, utilisées et divulguées conformément au droit applicable en matière de protection de la vie privée.
2. Principe d’inclusion et d’équité (inchangé)
Le deuxième principe demeure également inchangé et veut que l’utilisation responsable de l’IA réponde aux besoins de la population québécoise, tout en promouvant la diversité et l’inclusion. L’IA doit être utilisée de façon à minimiser les risques et les inconvénients pour la population. Il faut également s’assurer que les employés des organismes publics obtiennent l’accompagnement nécessaire pour l’utilisation de ces outils technologiques.
3. Principe de la fiabilité et de la robustesse (inchangé)
En vertu de ce principe, qui demeure le même, il faut prendre des mesures pour vérifier la fiabilité et la robustesse des systèmes d’IA utilisés, ou à être utilisés, en s’assurant que ceux-ci fonctionnent de manière stable et constante et que les données soient de qualité. Il est primordial que les données soient exactes et exemptes de biais qui pourraient comporter des risques, causer des préjudices ou renforcer diverses formes de discrimination.
4. Principe de la sécurité (inchangé)
Ce principe, qui demeure également le même, met l’accent sur l’importance de respecter les obligations liées à la sécurité de l’information et de prendre des mesures en conséquence.
5. Principe de l’efficience, de l’efficacité et de la pertinence (bonifié)
Cinquièmement, l’utilisation responsable de l’IA doit permettre d’offrir aux citoyens et aux entreprises des services publics simplifiés, intégrés et de qualité. Il faut donc viser une gestion optimale des ressources informationnelles et des services publics. Les récentes modifications ajoutent que les systèmes d’IA déployés doivent être adaptés aux besoins réels des organismes publics, des citoyens et des entreprises. Lorsque le besoin et les données sont propres à un domaine et qu’il est nécessaire d’avoir un degré de précision très élevé, on encourage alors l’organisme public à privilégier, lorsque disponible et économiquement raisonnable, l’utilisation d’un système d’IA spécialisé afin d’améliorer l’efficience et la qualité des services publics.
6. Principe de la durabilité (inchangé)
En vertu de ce principe qui est maintenu, l’utilisation responsable de l’IA doit s’inscrire dans la recherche d’un développement durable, donc en tenant compte des divers impacts environnementaux.
7. Principe de la transparence (inchangé)
Ce principe également maintenu rappelle que la transparence exige que les organismes publics informent clairement les citoyens et les entreprises de la nature, de la portée et du moment de l’utilisation de l’IA, afin de promouvoir la confiance du public.
8. Principe de l’explicabilité (inchangé)
L’utilisation responsable de l’IA commande que l’on fournisse aux citoyens et aux entreprises des explications claires des décisions, prédictions ou actions les concernant. Il faut être en mesure de comprendre les interactions et les conséquences d’une décision ou d’un résultat. Ce principe demeure inchangé.
9. Principe de la responsabilité (bonifié)
Toute utilisation de l’IA comporte une responsabilité, notamment quant à son bon fonctionnement et doit inclure des mesures de contrôle et de gouvernance adéquates. Les modifications récentes précisent davantage ce principe en ajoutant que les organismes publics demeurent entièrement responsables des décisions, des actions et des impacts générés par les systèmes d’IA, même lorsque ceux-ci fonctionnent de manière autonome. Les organismes publics doivent mettre en place une gouvernance adéquate ainsi que des mécanismes de reddition de comptes clairs et traçables, de manière à promouvoir la confiance du public dans l’utilisation de ces technologies.
10. Principe de la compétence (inchangé)
Les employés des organismes publics doivent être sensibilisés à l’utilisation, aux bonnes pratiques et aux enjeux pouvant survenir dans le cadre de l’exercice de leurs fonctions, ainsi que favoriser le développement de leurs compétences numériques. Ce principe demeure inchangé.
11. Principe de l’autonomie et de la supervision humaine (nouveau)
Ce principe est entièrement nouveau. L’organisme public qui utilise un système d’IA, particulièrement lorsque doté d’autonomie (comme l’IA agentique), doit s’assurer que l’humain conserve un rôle actif dans la supervision et la prise de décision. Ce principe nécessite la mise en place de mécanismes permettant la validation, l’intervention humaine ou l’arrêt des actions du système d’IA afin d’éviter toute perte de contrôle et de s’assurer que ce système respecte les intentions et les limites fixées par l’organisme public.
12. Principe de la souveraineté numérique (nouveau)
Ce principe est également nouveau. Le choix d’un système d’IA par un organisme public doit chercher à préserver la souveraineté numérique. Plus particulièrement, les organismes publics doivent chercher à diminuer leur dépendance technologique envers des fournisseurs étrangers et à conserver le plus possible un contrôle sur les modèles d’IA, leurs données et les infrastructures qui les hébergent. Ils doivent donc favoriser, lorsque possible, des fournisseurs québécois ou autrement canadien offrant des solutions hébergées au Québec.
Nous constatons que les récentes modifications indiquent que le ministre tient compte de l’importance de l’intervention humaine pour encadrer et superviser l’utilisation de l’IA. De même, l’importance de la promotion de l’achat responsable et local y est reconnue ainsi que l’importance de restreindre la communication de renseignements à l’extérieur du Québec. Ainsi, le ministre semble chercher à harmoniser ces énoncés à d’autres normes applicables aux organismes publics en matière d’achat et de protection de la vie privée. En espérant que ce cadre normatif, revu et amélioré, puisse servir de guide à d’autres juridictions et les aider à surmonter la tâche herculéenne de mieux encadrer l’utilisation de l’IA.
[1] A.M. 2024-02 Concernant l’Énoncé de principes pour une utilisation responsable de l’intelligence artificielle par les organismes publics, (2024) 156 G.O.Q. II, vol. 32, p. 5442. Consultez à nouveau notre billet de blogue d’octobre 2024.
[2] A.M. 2025-02 Concernant une modification à l’Arrêté numéro 2024-02 en date du 27 juin 2024, concernant l’Énoncé de principes pour une utilisation responsable de l’intelligence artificielle par les organismes publics, par le remplacement de son annexe, (2025) 157 G.O.Q. II, vol. 51, p. 7088.
[3] RLRQ, c. G -1.03.