En tant que leader mondial en matière d’intelligence artificielle (« IA ») responsable, le Québec s’appuie sur des initiatives phares comme la Déclaration de Montréal pour un développement responsable de l’intelligence artificielle ou la création de l’institut d’intelligence artificielle Mila pour promouvoir un développement responsable de l’IA, un enjeu qui devient de plus en plus complexe. L’IA offre aux entreprises des opportunités uniques d’optimisation de leur gouvernance, notamment grâce à l’analyse prédictive et la gestion de risques, mais son intégration responsable soulève des défis juridiques et éthiques importants, en particulier concernant la responsabilité, la transparence, la confidentialité et la conformité réglementaire.
L’utilisation de l’IA par les conseils d’administration
Les conseils d’administration sont confrontés à une complexité croissante : volumes de données importants, risques multidimensionnels et exigences réglementaires accrues. Dans ce contexte, l’IA peut agir comme un outil d’aide aux décisions, en facilitant l’analyse de données financières ou la modélisation de scénarios de risques. Elle permet donc aux administrateurs de prendre des décisions plus éclairées, plus rapidement.
Cependant, l’IA ne remplace pas le jugement humain : l’intuition, le sens moral et la responsabilité juridique demeurent propres aux membres du conseil. Elle doit donc être utilisée comme un soutien et non comme un substitut dans les processus décisionnels.
Ce que dit le droit au Québec et au Canada en matière d’encadrement de l’IA
Au Québec, la récente Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« Loi 25 »), dont la majorité des dispositions législatives sont entrées en vigueur le 22 septembre 2023, exige des mesures proactives en matière de gestion des données et de systèmes décisionnels automatisés (incluant les outils d’IA). Les entreprises doivent procéder à une évaluation de facteurs relatifs à la vie privée avant l’implantation et l’utilisation de tels systèmes, et doivent divulguer l’utilisation de processus décisionnels automatisés fondés sur des renseignements personnels. Ces exigences s’appliquent directement aux conseils d’administration qui s’appuient sur des outils d’IA pour orienter leurs décisions.
Au Canada, la Loi sur la protection des renseignements personnels les documents électroniques (« LPRPDE ») régit la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales. Bien que la LPRPDE ne traite pas explicitement de l’IA ou de systèmes décisionnels automatisés, elle demeure applicable en ce qui a trait à l’utilisation par l’IA de renseignements personnels. Plus récemment, la Loi de 2022 sur la Charte du numérique (le « Projet de loi C-27 ») avait comme ambition de mettre en place la première loi canadienne relative à l’IA, soit la Loi sur l’intelligence artificielle et les données (« LIAD »), en plus de réformer la législation canadienne en matière de protection des données personnelles. La LIDA aurait implanté des règles visant à mieux encadrer les systèmes d’IA à haut risque. Bien que le Projet de loi C-27 soit mort au feuilleton le 6 janvier 2025 suivant la prorogation du Parlement, il témoigne tout de même d’une réelle volonté du gouvernement d’implanter une règlementation proactive de l’IA et de répondre aux enjeux technologiques émergents.
Enjeux de responsabilité et de transparence
Responsabilité juridique des administrateurs
L’utilisation d’IA ne décharge pas les administrateurs de leur responsabilité juridique. Même lorsque les décisions sont influencées par des systèmes d’IA, les administrateurs demeurent pleinement responsables des décisions prises conformément à leurs obligations fiduciaires suivant le Code civil du Québec et le régime constitutif de l’entreprise. Les membres du conseil doivent exercer leur jugement, s’assurer de la fiabilité des outils d’IA utilisés et être en mesure de justifier leurs décisions. Cela implique notamment une vérification diligente des systèmes d’IA utilisés, une documentation rigoureuse des processus décisionnels, incluant les apports de l’IA, et une supervision humaine constante, même lorsque l’IA propose des recommandations automatisées.
Transparence et traçabilité des décisions
La transparence constitue un pilier fondamental de la gouvernance responsable. En vertu de la Loi 25, les entreprises doivent divulguer l’utilisation de processus décisionnels automatisés fondés sur des renseignements personnels. Cela inclut les algorithmes utilisés dans les décisions du conseil, notamment en matière de gestion des risques, de nomination ou d’évaluation de performance.
Les conseils d’administration doivent donc informer les parties prenantes (actionnaires, employés, clients, etc.) de l’usage de l’IA dans les décisions stratégiques, expliquer les critères et les données ayant influencé les décisions, et mettre en place des mécanismes de traçabilité, permettant de retracer les étapes ayant mené à une décision, y compris les suggestions ou analyses générées par l’IA.
Risques liés aux biais algorithmiques
Les systèmes d’IA sont particulièrement vulnérables aux biais, généralement issus de leurs données d’entraîînement. Ces biais peuvent affecter la neutralité des décisions, notamment dans des domaines sensibles comme le recrutement, la gestion de la performance ou l’attribution de ressources. Un exemple marquant est celui de l’IA développée par Amazon pour l’embauche, qui, il y a quelques années, marginalisait systématiquement les candidates féminines dans le secteur technologique, qui était majoritairement masculin. Les conseils d’administration doivent donc s’assurer que les outils utilisés aient été rigoureusement testés, audités et validés pour minimiser les risques de discrimination ou d’iniquité.
Recommandations pour les entreprises
Afin d’intégrer l’IA de manière responsable dans les conseils d’administration, il est nécessaire d’adopter une approche proactive et de bien comprendre les technologies d’IA pour en favoriser une intégration responsable au sein des opérations. À cet effet, les entreprises devraient :
- Former et sensibiliser les administrateurs aux enjeux technologiques et juridiques inhérents à l’utilisation de l’IA ;
- Établir des politiques internes de conformité pour encadrer l’utilisation de l’IA dans les processus décisionnels ;
- Assurer une supervision humaine constante des outils d’IA ;
- Mettre en place des mécanismes de reddition de comptes et de transparence liés à l’utilisation de l’IA; et
- Surveiller les évolutions législatives, notamment les initiatives provinciales et fédérales en matière de protection des données personnelles.
Conclusion
L’intégration de l’IA au sein des conseils d’administration est prometteuse pour optimiser et accélérer la prise de certaines décisions, mais cette intégration doit être accompagnée d’une gouvernance rigoureuse, axée sur la responsabilité, la transparence et l’éthique. En adoptant une approche proactive, les entreprises ont la possibilité de bénéficier pleinement du potentiel de l’IA tout en respectant leurs obligations juridiques en en préservant la confiance des parties prenantes.