07 févr. 2023
IA et gestion des données: gare aux infractions!
Transformation numérique, Technologie, Intelligence artificielle
En règle générale, je crois que le commun des mortels n’est pas tout à fait conscient de la quantité exponentielle d’informations qu’ils partagent sur internet et auxquelles les entreprises ont aujourd’hui accès.
En plus des médias sociaux sur lesquels nous étalons allègrement notre vie privée, nous utilisons une foule de services, en ligne ou non, qui entreposent et utilisent nos données personnelles à différentes fins. Certes, la majorité des sites web sont d’ordinaire sécurisés et ont l’obligation de protéger les informations qu’ils utilisent, mais aucun d’entre eux n’est réellement à l’abri d’une brèche.
Rappelons-nous du vol de données de Desjardins en 2019, un des pires incidents du genre au pays, qui a chamboulé la vie de millions de personnes et d’entreprises. Depuis, les Québécois sont devenus particulièrement méfiants, non sans raison: nos données personnelles sont des denrées prisées, vendues de part et d’autre dans le monde pour des sommes astronomiques.
L’intelligence artificielle, utilisée pour prendre des décisions souvent importantes sur la vie des humains, n’est absolument pas exclue de ce débat éthique. Comme toute technologie qui se respecte, elle doit se conformer aux réglementations en matière de protection de la vie privée, une tâche qui est loin d’être évidente puisque l’IA a besoin d’énormément de données pour fonctionner. Par exemple, les flux de renseignements provenant des médias sociaux ou de nos téléphones sont utilisés par certaines entreprises pour former des systèmes d'apprentissage automatique, leur permettant de surveiller les comportements des consommateurs ou de gérer les relations client et l'analyse marketing stratégique.
Les entreprises qui sont actives sur plusieurs plateformes peuvent également obtenir des données de nombreuses sources. Certaines sont fournies directement par les utilisateurs, comme les informations de contact, alors que d'autres sont collectées via l'utilisation de cookies (témoins tiers). Ainsi, il devient difficile de savoir exactement quels renseignements personnels sont récoltés et à quels endroits ils sont emmagasinés.
Parce qu’il s’agit d’une technologie somme toute récente, l’IA n’est soumise qu’à très peu de surveillance ou d’imputabilité en fin de compte. C’est ce qui soulève la question de comment établir et maintenir la confidentialité et l’intégrité des utilisateurs tout en obtenant et en traitant les données essentielles pour alimenter des algorithmes, nécessaires à l’épanouissement de nombreux domaines d’affaires.
Pour les entreprises qui utilisent ou qui désirent utiliser de l'intelligence artificielle pour améliorer leurs opérations, il peut s’agir d’un véritable casse-tête. Celles sans politiques ou processus solides en matière de gestion de la vie privée courent le risque de voir leurs bases de données perdues, volées, exposées ou piratées — des violations lourdes de conséquences et particulièrement coûteuses.
Les réglementations varient considérablement d'une région à l'autre, ce qui rend la conformité difficile. Certains endroits du monde sont cependant beaucoup plus en avance que nous à ce niveau. L’Union européenne, par exemple, vient d’implémenter le «AI act», un projet de loi ambitieux qui veille à ce que les systèmes d'IA mis sur le marché respectent les droits fondamentaux des citoyens. Les clauses sont exhaustives et font notamment mention de la collecte de données, oui, mais également des autres applications plus controversées de l’intelligence artificielle comme les deepfakes, la reconnaissance faciale et les données biométriques.
Une telle loi est certaine de mettre le feu aux poudres et de paver la voie aux autres pays, Canada inclus. La preuve, le gouvernement fédéral a tout récemment présenté son projet de loi C-27, soit la toute première législation qui touche l’intelligence artificielle et les données.
En résumé, cette loi vise à «encadrer la conception, l’élaboration et le déploiement des systèmes d’IA pour protéger les individus des préjudices potentiels», et ce, pour toutes les entreprises qui exercent une activité réglementée en lien avec l’intelligence artificielle et qui utilisent des données anonymisées pour alimenter leurs algorithmes. Ces dernières doivent délimiter des politiques claires de protection des données, procéder à l’évaluation et l’atténuation des risques, surveiller la conformité de leur système en continu et faire preuve de transparence.
Le Parlement mettra sur pied un tribunal consacré à la protection des renseignements personnels, définira des exigences de sécurité et imposera des sanctions à ceux qui manquent à ces règlements. D’ailleurs, les infractions les plus sérieuses pourraient encourir une peine moyennant 25 millions de dollars, ou 5% du chiffre d’affaires de l’organisation. C’est un pensez-y-bien.
Il n’y a pas d’intelligence artificielle qui vaille sans une bonne dose d’éthique, ça, c’est certain. Comme les modèles d'IA dépendent de la qualité des données pour fournir des résultats efficaces, leur existence doit donc préconiser le respect des utilisateurs et de leurs informations personnelles afin d’empêcher les analyses abusives et inexactes ou les biais à l’encontre des personnes sujettes à des décisions automatisées.
Pour les entreprises d’ici, il faudrait faire preuve de vigilance et de rigueur quant aux systèmes d’intelligence artificielle qu’elles exploitent. Bien que plusieurs algorithmes n’utilisent pas vraiment de données jugées personnelles ou sensibles, il est tout de même important de préconiser une culture de l’IA transparente, humaine et responsable au sein de votre infrastructure technologique, et ce, dès son implémentation. Sinon, gare aux infractions!