L’intelligence artificielle : Une menace silencieuse pour la vie privée au Québec?

L’intelligence artificielle (IA) transforme nos vies à une vitesse vertigineuse. De la personnalisation des publicités en ligne aux décisions bancaires, en passant par les assistants virtuels ou les diagnostics médicaux assistés, l’IA est partout. Mais cette présence généralisée soulève une question de plus en plus pressante : que devient notre vie privée dans un monde où des algorithmes analysent, prédisent et influencent nos comportements? Au Québec, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) impose de nouvelles balises, mais suffit-elle à encadrer les risques réels que pose l’IA?

Une technologie puissante… mais opaque

L’un des problèmes fondamentaux de l’IA, surtout dans ses versions les plus avancées comme l’apprentissage profond (deep learning), est son opacité. Contrairement à un code informatique classique, où chaque règle peut être inspectée et comprise, un modèle d’IA peut produire des décisions sans que l’on sache exactement comment il y est arrivé. Cette nature “boîte noire” complique sérieusement l’application des principes de transparence et d’explicabilité exigés par la Loi 25. Un individu devrait pouvoir comprendre pourquoi il a été classé dans une catégorie de risque ou pourquoi une demande a été refusée. Mais que se passe-t-il quand même le fournisseur de l’algorithme est incapable de l’expliquer clairement?

Décisions automatisées : un droit fondamental mis à l’épreuve

La Loi 25 impose aux organisations une obligation claire : lorsqu’une décision est prise exclusivement à l’aide d’un traitement automatisé, la personne concernée doit être informée de cette situation, de la logique qui sous-tend cette décision, ainsi que des conséquences potentielles. Elle doit aussi pouvoir présenter des observations et contester la décision. Or, dans la réalité, cette protection est difficile à garantir. De nombreuses entreprises utilisent déjà des systèmes d’IA pour trier les candidatures, attribuer des crédits ou recommander des produits — souvent sans en informer les utilisateurs de manière explicite. Cela pose un réel problème de consentement éclairé et de pouvoir de contestation. Et quand les décisions sont prises en quelques millisecondes par des algorithmes en constante évolution, le citoyen se retrouve souvent démuni.

Profilage, surveillance, manipulation : des risques qui s’accumulent

L’un des aspects les plus invasifs de l’IA réside dans sa capacité à profiler finement les individus. En combinant des données issues de multiples sources — navigation web, géolocalisation, historiques d’achats, comportements sur les réseaux sociaux — les systèmes d’IA peuvent générer des profils prédictifs d’une précision redoutable. Ces profils servent ensuite à personnaliser des expériences ou à orienter des décisions commerciales, parfois au détriment des consommateurs. Le ciblage publicitaire, par exemple, devient de plus en plus intrusif. Certains utilisateurs sont poussés vers des offres qui exploitent leurs faiblesses ou leur vulnérabilité (jeux d’argent, crédit facile, consommation compulsive), dans une logique où la frontière entre influence et manipulation devient floue. La Loi 25 exige que les entreprises informent clairement les utilisateurs de tout recours à des technologies de profilage ou de localisation, mais dans les faits, ces informations sont souvent noyées dans des politiques de confidentialité opaques, difficilement accessibles.

Réidentification et pseudo-anonymisation : des garde-fous illusoires?

Une autre menace sous-estimée liée à l’IA est la capacité des systèmes à réidentifier des individus à partir de données pourtant “anonymisées”. Ce processus consiste à croiser différents jeux de données pour retrouver une identité précise, même lorsque les informations directes (comme le nom ou l’adresse) ont été supprimées. Les technologies d’IA, par leur puissance d’analyse, rendent cette tâche plus facile que jamais. Cela pose un risque immense, notamment pour les secteurs sensibles comme la santé ou les services publics. Les organisations doivent donc mettre en place des mécanismes d’anonymisation robustes — mais aussi se demander si l’anonymisation, seule, suffit encore à protéger la vie privée dans un contexte d’IA omniprésente. La Loi 25 introduit des règles sur l’anonymisation, mais elle laisse aux organisations le soin de prouver qu’une réidentification est “raisonnablement impossible” — une notion floue et difficile à prouver à long terme.

L’encadrement légal à l’épreuve de la complexité technique

Même avec les meilleures intentions du monde, la mise en œuvre concrète de la Loi 25 dans un contexte d’IA est ardue. L’évaluation des facteurs relatifs à la vie privée (EFVP), par exemple, est obligatoire pour tout projet qui comporte des risques élevés, notamment lorsqu’il implique des technologies de surveillance ou des transferts à l’étranger. Mais qui, dans une PME québécoise, possède les compétences pour évaluer les impacts d’un algorithme d’IA sur les droits des individus? Et surtout, qui peut réellement garantir que l’usage futur d’un système restera conforme à ce qui a été évalué au départ? Les modèles d’IA évoluent, s’adaptent, apprennent de nouveaux comportements. Le respect de la loi devient alors une cible mouvante, difficile à suivre.

Vers une IA éthique et responsable?

Pour limiter les dérives, les organisations devront aller au-delà de la conformité juridique minimale. Il faudra mettre en place une vraie gouvernance des données et des algorithmes : auditabilité des modèles, tests de biais, supervision humaine significative, révision régulière des politiques, implication de comités éthiques, etc. La confidentialité devra être intégrée dès la conception (privacy by design), et non ajoutée après coup. La transparence devra se traduire par des interfaces claires, des explications compréhensibles et un réel pouvoir pour les utilisateurs de contrôler l’usage de leurs données. Bref, faire en sorte que l’IA respecte la dignité humaine, la liberté individuelle et le droit fondamental à la vie privée.