Loi 25 : l’enjeu des décisions automatisées

Votre organisation prend-elle des décisions fondées exclusivement sur un traitement automatisé? La loi 25 vient éclairer et encadrer ces pratiques.

La loi 25 apporte des précisions importantes en matière de protection des renseignements personnels, notamment en ce qui concerne la prise de décision fondée sur un traitement automatisé. Vous devez bien comprendre les droits et obligations qui encadrent l’utilisation des renseignements personnels afin de vous y conformer.

Qu’est-ce qu’une décision fondée sur un traitement automatisé?

La prise de décision exclusivement basée sur un traitement automatisé se définit comme l’utilisation de la technologie pour prendre des décisions sans intervention humaine. La façon de l’appliquer peut se faire par l’entremise de l’un ou l’autre de ces systèmes:

Cette prise de décision automatisée ne relève donc pas toujours de l’IA. Un système peut être automatisé sans pour autant faire appel à des techniques d’apprentissage automatique, mais en se basant plutôt sur des critères déjà définis.

Par exemple, un système de traitement des curriculum vitae peut être configuré pour exclure d’emblée les candidatures ne répondant pas à des besoins spécifiques déjà établis, tels qu’un nombre d’années d’expérience minimum dans un secteur donné.

La loi 25, pour sa part, ne fait pas de distinction entre ces deux types d’automatisation. Elle s’applique à tout système de prise de décision automatisée, qu’il utilise l’IA ou non.

La décision est-elle fondée exclusivement sur un traitement automatisé?

Dès qu’un humain intervient de manière importante dans le processus décisionnel, les obligations spécifiques de la loi 25 ne s’appliquent plus.

Cette intervention humaine doit être déterminante pour exclure l’application de la loi. Une simple intervention technique ou une validation automatique sans réel pouvoir décisionnel ne suffit pas.

Une décision implique une action à prendre à l’égard d’une situation précise. Elle doit permettre à votre organisme ou à votre entreprise de prendre une position précise sur une personne et faire en sorte que cette décision ait un effet sur cette dernière: des conséquences juridiques, l’octroi ou le refus d’un service, l’attribution d’une classification, etc.

Quelles sont vos obligations en tant qu’organisme public ou entreprise?

Lorsqu’une décision automatisée est prise à son sujet par un organisme public ou une entreprise utilisant ses renseignements personnels, la personne concernée doit en être informée et peut demander des explications.

L’essor de l’IA et son utilisation croissante dans la prise de décision automatisée soulèvent de plus en plus de questions quant à la protection des renseignements personnels.

La loi 25 vient encadrer ces pratiques en offrant aux personnes concernées des droits accrus en matière de transparence, d’explication et de contestation des décisions automatisées les concernant.

N’hésitez pas à vous faire accompagner par un spécialiste lors de la mise en place de vos politiques, d’une méthodologie et des procédures requises, afin de vous assurer d’être conforme à la loi et éviter ainsi des pénalités coûteuses.

Cet article a été rédigé en collaboration avec Sabrina Roy, conseillère principale en gouvernance de l’information chez Raymond Chabot Grant Thornton.