Sécurité informatique : vos projets d’automatisation sont-ils concernés par le Projet de loi 64?

Par admin

Partager cette publication

Le gouvernement du Québec entend réformer la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé »)[1] vieille d’il y a vingt-cinq ans déjà. L’objectif est de rendre cette loi davantage cohérente avec le paysage numérique actuel, sans cesse redessiné par de nouvelles avancées technologiques. L’automatisation des processus, virtuellement inconnue à l’époque de l’adoption de la Loi sur le secteur privé, a depuis pénétré la plupart des industries et redéfini les règles de la concurrence.

Alors que les robots et l’intelligence artificielle semblent pouvoir s’introduire partout pour exploiter des données de plus en plus volumineuses, avec pour corollaire un accroissement proportionnel des cyber-attaques et des vols d’identité, la difficile mission du gouvernement consiste à instaurer un cadre législatif pour le traitement automatisé des renseignements personnels tout en veillant à ne pas ralentir indûment la transformation numérique des entreprises québécoises – et donc de leur compétitivité sur le marché national et international. Un bel exercice sur une corde raide!

C’est le défi que tente de relever le Projet de loi no 64, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « Projet de loi »)[2], déposé devant l’Assemblé nationale le 12 juin dernier.

Nouveau cadre législatif pour l’automatisation – Ce qu’il faut retenir

L’automatisation des processus dans le domaine numérique peut prendre de multiples formes. Certaines sont devenues banales au point où les entreprises oublient même qu’il s’agit de traitements automatisés de données. Ce serait le cas, par exemple, d’une facture générée automatiquement depuis un logiciel comptable. D’autres révolutionnent des industries et accroissent radicalement les niveaux de productivité. Se classeraient dans cette catégorie les algorithmes qui permettent à un individu de souscrire seul, en ligne, à une assurance sur la base de renseignements fournis.

Dans cette optique, la grande majorité des entreprises automatisent, à plus ou moins grande échelle, certains de leurs processus et la tendance générale porte vers l’accroissement des niveaux d’automatisation.

Tous les types d’automatisation ne sont néanmoins pas concernés par ce nouveau cadre législatif proposé.

Les activités visées par la loi

La portée des nouvelles dispositions serait circonscrite aux entreprises qui utilisent « des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci ».[3]

Exemples de processus d’automatisation qui pourraient être concernés

  • Dans le cadre d’un processus de recrutement, une entreprise utilise un robot pour lire les dossiers de candidatures et effectuer une présélection.
  • Une personne fait une demande de prêt en ligne. Le site Web utilise des algorithmes et une recherche de crédit automatisée pour fournir une décision immédiate sur la demande.
  • Lors d’une vérification de sécurité de routine dans une entreprise faisant de la R&D, un robot équipé d’une IA collecte un ensemble de données publiées sur les médias sociaux concernant un employé et lui attribue un niveau de risque.
  • Quelqu’un souscrit à une assurance en ligne dont la prime est calculée de façon immédiate et automatique par le site Web au moyen d’un logiciel robot qui analyse les données fournies.

Les exemples ci-dessus illustrent des cas où la décision est rendue de façon autonome par un logiciel robot, sans que celle-ci ait préalablement fait l’objet d’une révision par un humain.

Dans ces cas, le Projet de loi prévoit que l’entreprise devrait prévenir l’utilisateur du traitement automatisé de ses données personnelles. À la demande de ce-dernier, elle devrait également l’informer :

  • des renseignements personnels utilisés pour rendre la décision;
  • des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision;
  • de son droit de faire rectifier les renseignements personnels afin de demander une révision de la décision par un membre du personnel de l’entreprise.

Comprendre comment raisonne son robot devient primordial

En prévoyant qu’un utilisateur puisse s’enquérir, auprès d’une entreprise, des raisons qui ont mené à une décision rendue à son égard par un logiciel robot, le Projet de loi reconnaît une forme de « droit à l’explication ».[4]

Or, pour savoir expliquer, il faut comprendre!

À l’avenir, il deviendra primordial pour les entreprises qui démarrent un projet d’automatisation, notamment de type RPA (de l’anglais Robotic Process Automation, c’est à dire « Automatisation des processus par la robotique » selon notre définition de la RPA), de former une partie de leur équipe sur les grandes lignes du fonctionnement de leur robot.

Il ne s’agit pas d’enseigner à ces collaborateurs des notions de programmation, mais plutôt d’en faire des personnes ressources à même d’expliquer de façon vulgarisée le processus décisionnel du robot.

Chez TechNuCom, nous accompagnons des entreprises dans leur transformation numérique. Contactez-nous pour en apprendre davantage sur nos services d’accompagnement et pour évaluer comment nous pouvons vous accompagner dans l’automatisation de certains de vos processus.

Ce billet a été rédigé avec la collaboration de Nathan Cudicio.


Références

[1] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.

[2] Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Disponible en ligne : http://www.assnat.qc.ca/fr/travaux-parlementaires/projets-loi/projet-loi-64-42-1.html

[3] Article 102 du Projet de loi.

[4] Laboratoire de cyberjustice. 17 juin 2020. Projet de loi 64 : une réforme à l’Européenne du droit à la protection des renseignements personnels. Disponible en ligne : https://cyberjustice.openum.ca/2020/06/17/projet-de-loi-64-une-reforme-a-leuropeenne-du-droit-a-la-protection-des-renseignements-personnels/

Plus à explorer

Prenez une minute pour nous connaître

Les gens derrière TechNuCom