ÉFVP et intelligence artificielle au Québec : guide de conformité
· 8 min de lecture · Gouvernance
L'évaluation des facteurs relatifs à la vie privée (ÉFVP) est obligatoire pour de nombreux projets IA au Québec. Voici votre guide complet pour être conforme.
Qu'est-ce qu'une ÉFVP ?
L'Évaluation des Facteurs relatifs à la Vie Privée (ÉFVP) est un processus systématique d'analyse des risques liés à la protection des renseignements personnels. Au Québec, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) a rendu cette évaluation obligatoire dans plusieurs contextes, y compris les projets d'intelligence artificielle.
Depuis le 22 septembre 2023, toute organisation québécoise qui recueille, utilise ou communique des renseignements personnels dans le cadre d'un projet impliquant de la technologie doit se demander si une ÉFVP est nécessaire. Pour les projets IA, la réponse est presque toujours oui.
Quand l'ÉFVP est-elle obligatoire ?
La Loi 25 exige une ÉFVP dans les situations suivantes :
- Acquisition ou développement d'un système d'information impliquant des renseignements personnels
- Communication de renseignements personnels à l'extérieur du Québec
- Profilage ou prise de décision automatisée concernant des individus
- Utilisation de nouvelles technologies pour traiter des renseignements personnels
Application spécifique à l'IA
Les projets IA déclenchent presque systématiquement l'obligation d'ÉFVP car ils impliquent typiquement :
- La collecte et le traitement de données personnelles pour l'entraînement
- Des décisions automatisées affectant les individus
- L'utilisation de technologies nouvelles et complexes
- Le transfert potentiel de données vers des fournisseurs cloud étrangers
Attention : même si votre modèle IA n'utilise pas directement de données personnelles, l'ÉFVP peut être requise si le système est susceptible de traiter ou de générer des inférences sur des individus.
Méthodologie de l'ÉFVP pour les projets IA
Étape 1 : Description du projet
Documentez précisément votre projet IA :
- Objectif : quel problème métier l'IA résout-elle ?
- Données utilisées : quels types de données sont collectés et traités ?
- Algorithmes : quels modèles ou techniques d'IA sont employés ?
- Flux de données : comment les données circulent-elles de la collecte à la décision ?
- Parties prenantes : qui développe, opère et utilise le système ?
- Fournisseurs : quels services tiers sont impliqués (cloud, API, outils) ?
Étape 2 : Cartographie des renseignements personnels
Identifiez tous les renseignements personnels impliqués :
| Catégorie | Exemples | Niveau de sensibilité | |-----------|----------|----------------------| | Identité | Nom, prénom, adresse, NAS | Élevé | | Contact | Email, téléphone | Moyen | | Financier | Revenus, historique de crédit | Élevé | | Comportemental | Historique d'achats, navigation web | Moyen | | Biométrique | Empreintes, reconnaissance faciale | Très élevé | | Santé | Dossier médical, prescriptions | Très élevé | | Inférences IA | Scores de risque, prédictions, profils | Variable |
Étape 3 : Analyse des risques
Pour chaque traitement identifié, évaluez :
Probabilité d'atteinte à la vie privée :
- Quelle est la probabilité d'un accès non autorisé ?
- Les données pourraient-elles être réidentifiées après anonymisation ?
- Le modèle IA pourrait-il générer des biais discriminatoires ?
- Les décisions automatisées pourraient-elles causer un préjudice ?
Gravité de l'impact :
- Quel serait l'impact sur les personnes concernées ?
- Y a-t-il des risques de discrimination, d'exclusion ou de préjudice financier ?
- Les personnes vulnérables sont-elles particulièrement exposées ?
Étape 4 : Mesures d'atténuation
Pour chaque risque identifié, définissez des mesures de protection :
Mesures techniques :
- Chiffrement des données au repos et en transit
- Anonymisation ou pseudonymisation des données d'entraînement
- Contrôles d'accès basés sur les rôles
- Journalisation des accès et des traitements
- Tests de robustesse du modèle (adversarial testing)
Mesures organisationnelles :
- Politique de gouvernance des données IA
- Formation des équipes sur la protection de la vie privée
- Processus de revue éthique des modèles
- Procédures d'incident et de notification
Mesures de transparence :
- Information claire aux personnes concernées
- Mécanisme d'explication des décisions automatisées
- Droit de contestation des décisions IA
- Publication d'un registre des systèmes IA
Étape 5 : Consultation et approbation
L'ÉFVP doit être :
- Revue par le responsable de la protection des renseignements personnels (obligatoire depuis la Loi 25)
- Approuvée par la direction
- Communiquée à la Commission d'accès à l'information du Québec (CAI) si le projet implique un transfert hors Québec
Spécificités de l'IA dans l'ÉFVP
Biais algorithmiques
L'ÉFVP doit adresser spécifiquement les risques de biais :
- Biais dans les données d'entraînement : les données historiques reflètent-elles des discriminations passées ?
- Biais de sélection : certains groupes sont-ils sous-représentés ?
- Biais de confirmation : le modèle renforce-t-il des stéréotypes ?
Actions recommandées :
- Auditer les données d'entraînement pour détecter les déséquilibres
- Tester le modèle sur différents sous-groupes démographiques
- Implémenter des métriques d'équité (fairness metrics)
- Prévoir des mécanismes de correction post-déploiement
Explicabilité
La Loi 25 accorde aux individus le droit de comprendre les décisions automatisées qui les concernent. Votre ÉFVP doit documenter :
- Comment les décisions du modèle IA peuvent être expliquées
- Quel niveau de détail est accessible aux personnes concernées
- Quels outils d'explicabilité sont utilisés (SHAP, LIME, attention maps)
- Comment contester une décision automatisée
Données d'entraînement vs données de production
L'ÉFVP doit couvrir les deux phases :
- Entraînement : origine des données, consentement, anonymisation, conservation
- Production : données traitées en temps réel, inférences générées, stockage des résultats
Exigences de la CAI (Commission d'accès à l'information)
La CAI du Québec a publié des lignes directrices spécifiques pour les ÉFVP. Les points clés :
- Proportionnalité : l'ÉFVP doit être proportionnelle aux risques du projet
- Documentation : l'évaluation doit être documentée et conservée
- Mise à jour : l'ÉFVP doit être révisée si le projet évolue significativement
- Consultation : la CAI peut être consultée pour les projets à haut risque
- Communication : le transfert de données hors Québec doit être signalé à la CAI
Erreurs fréquentes à éviter
1. ÉFVP trop tardive
L'ÉFVP doit être réalisée avant le déploiement du système IA, idéalement dès la phase de conception. Une ÉFVP rétrospective est moins efficace et peut révéler des problèmes coûteux à corriger.
2. Approche purement technique
L'ÉFVP n'est pas un exercice technique réservé aux ingénieurs. Elle doit impliquer :
- Les équipes métier (compréhension des usages)
- Le juridique (conformité réglementaire)
- Les RH (impact sur les employés)
- La direction (acceptation des risques résiduels)
3. Évaluation unique sans suivi
Un modèle IA évolue au fil du temps — ses données changent, ses performances varient, ses usages s'étendent. L'ÉFVP doit être un processus vivant, révisé périodiquement.
4. Ignorer les fournisseurs tiers
Si votre projet IA utilise des services cloud (AWS, Azure, Google Cloud) ou des API tierces (OpenAI, Anthropic), l'ÉFVP doit couvrir ces sous-traitants et leurs pratiques de protection des données.
5. Sous-estimer les inférences
Les modèles IA peuvent générer des inférences qui constituent elles-mêmes des renseignements personnels. Un modèle qui prédit le risque de santé d'un individu crée de nouvelles données personnelles sensibles.
Modèle simplifié d'ÉFVP pour un projet IA
Voici les sections essentielles à documenter :
- Identification du projet : nom, responsable, date, version
- Description du traitement IA : objectif, données, modèles, flux
- Base légale : consentement, intérêt légitime, obligation légale
- Inventaire des renseignements personnels : types, sources, volumes
- Analyse des risques : identification, probabilité, gravité
- Mesures d'atténuation : techniques, organisationnelles, contractuelles
- Transferts hors Québec : destinations, garanties, notification CAI
- Droits des personnes : accès, rectification, explication, contestation
- Plan de surveillance : indicateurs, fréquence de révision, responsable
- Approbation : signatures du responsable vie privée et de la direction
Conclusion
L'ÉFVP n'est pas un obstacle bureaucratique — c'est un outil précieux pour concevoir des systèmes IA respectueux de la vie privée et conformes à la Loi 25. Les entreprises québécoises qui intègrent l'ÉFVP dès le début de leurs projets IA réduisent leurs risques juridiques, renforcent la confiance de leurs clients et se positionnent avantageusement dans un paysage réglementaire de plus en plus exigeant.
Vous devez réaliser une ÉFVP pour votre projet IA ? Contactez-nous pour un accompagnement adapté aux exigences québécoises.
Voir tous les articles