Votre organisation prend-elle des décisions fondées exclusivement sur un traitement automatisé? La loi 25 vient éclairer et encadrer ces pratiques.
La loi 25 apporte des précisions importantes en matière de protection des renseignements personnels, notamment en ce qui concerne la prise de décision fondée sur un traitement automatisé. Vous devez bien comprendre les droits et obligations qui encadrent l’utilisation des renseignements personnels afin de vous y conformer.
Qu’est-ce qu’une décision fondée sur un traitement automatisé?
La prise de décision exclusivement basée sur un traitement automatisé se définit comme l’utilisation de la technologie pour prendre des décisions sans intervention humaine. La façon de l’appliquer peut se faire par l’entremise de l’un ou l’autre de ces systèmes:
- Système simple appliquant des règles prédéfinies;
- Système d’intelligence artificielle (IA) plus complexe, capable d’apprendre et de s’adapter.
Cette prise de décision automatisée ne relève donc pas toujours de l’IA. Un système peut être automatisé sans pour autant faire appel à des techniques d’apprentissage automatique, mais en se basant plutôt sur des critères déjà définis.
Par exemple, un système de traitement des curriculum vitae peut être configuré pour exclure d’emblée les candidatures ne répondant pas à des besoins spécifiques déjà établis, tels qu’un nombre d’années d’expérience minimum dans un secteur donné.
La loi 25, pour sa part, ne fait pas de distinction entre ces deux types d’automatisation. Elle s’applique à tout système de prise de décision automatisée, qu’il utilise l’IA ou non.
La décision est-elle fondée exclusivement sur un traitement automatisé?
Dès qu’un humain intervient de manière importante dans le processus décisionnel, les obligations spécifiques de la loi 25 ne s’appliquent plus.
Cette intervention humaine doit être déterminante pour exclure l’application de la loi. Une simple intervention technique ou une validation automatique sans réel pouvoir décisionnel ne suffit pas.
Une décision implique une action à prendre à l’égard d’une situation précise. Elle doit permettre à votre organisme ou à votre entreprise de prendre une position précise sur une personne et faire en sorte que cette décision ait un effet sur cette dernière: des conséquences juridiques, l’octroi ou le refus d’un service, l’attribution d’une classification, etc.
Quelles sont vos obligations en tant qu’organisme public ou entreprise?
Lorsqu’une décision automatisée est prise à son sujet par un organisme public ou une entreprise utilisant ses renseignements personnels, la personne concernée doit en être informée et peut demander des explications.
- Information: l’organisme ou l’entreprise doit l’informer de la décision automatisée au plus tard au moment où elle lui est communiquée.
- Explications: l’individu concerné peut exiger de connaître les renseignements personnels utilisés, les raisons et les principaux facteurs qui ont mené à cette décision.
- Rectification: si des renseignements sont erronés, cet individu peut demander leur correction.
- Révision humaine: l’individu concerné a le droit de présenter ses observations et de demander une révision de la décision par une personne.
L’essor de l’IA et son utilisation croissante dans la prise de décision automatisée soulèvent de plus en plus de questions quant à la protection des renseignements personnels.
La loi 25 vient encadrer ces pratiques en offrant aux personnes concernées des droits accrus en matière de transparence, d’explication et de contestation des décisions automatisées les concernant.
N’hésitez pas à vous faire accompagner par un spécialiste lors de la mise en place de vos politiques, d’une méthodologie et des procédures requises, afin de vous assurer d’être conforme à la loi et éviter ainsi des pénalités coûteuses.
Cet article a été rédigé en collaboration avec Sabrina Roy, conseillère principale en gouvernance de l’information chez Raymond Chabot Grant Thornton.
-
Avis d'experts
Loi 25 | Quels sont ses impacts sur votre entreprise?
Mis à jour le 31 mai 2024 Votre entreprise doit se conformer à la loi 25 et mettre en place un programme(…)
Conseils en gestion des risquesLoi 25 | Quels sont ses impacts sur votre entreprise?… En savoir plus -
Avis d'experts
Loi 25 : comment mettre en place la prochaine étape?
La Loi 25 sur la protection des renseignements personnels se renforce avec le droit à la portabilité. Votre organisation est-elle conforme? À(…)
Conseils en gestion des risquesLoi 25 : comment mettre en place la prochaine étape?… En savoir plus