L’intégration de l’intelligence artificielle (« IA ») dans le milieu professionnel peut modifier tant les relations individuelles de travail que les dynamiques collectives. Le 27 janvier 2025, la Commission d’accès à l’information (la « CAI ») dépose au ministère du Travail son mémoire intitulé L’IA au travail : pour un meilleur encadrement.

L’IA offre des avantages en matière de productivité et d’organisation, mais elle entraîne aussi des défis majeurs liés à la vie privée et au droit du travail. Face à ces enjeux, la CAI émet des recommandations quant à l’utilisation de l’IA au travail, d’une part, et, d’autre part, encourage la mise en place d’un cadre réglementaire précis pour l’IA dans un contexte de travail pour garantir une utilisation transparente et respectueuse des droits fondamentaux des travailleurs.

Cette note reflète l'interprétation de la loi de la CAI et son point de vue sur les pratiques à privilégier.

Recommandations De La Cai Sur L’utilisation De L’ia Au Travail

La CAI propose des solutions qu'elle considère utiles pour garantir le respect des lois sur la protection de la vie privée lors de la mise en œuvre de technologies basées sur l'IA dans un milieu de travail.

• Publication d’une politique interne sur l’usage de l’IA. Les employeurs devraient considérer publier une politique interne qui explique en détail l’usage des technologies d’IA précisant, notamment :
  • Le nom des systèmes utilisés et le nom des fournisseurs, le cas échéant;
  • Les finalités poursuivies;
  • Les renseignements concernés, tant ceux utilisés dans les systèmes IA, que ceux générés par l’IA;
  • L'incidence prévue sur les droits des personnes concernées (dont les travailleurs) et les mesures d'atténuation de risque applicables;
  • La manière dont les résultats sont produits (quels indicateurs sont retenus, quels sont les principaux facteurs et paramètres pris en compte);
  • La manière dont les résultats seront utilisés dans la prise de décision;
  • L'exercice des droits en lien avec ces technologies;
  • Les audits et les évaluations réalisés.

La plupart des employeurs ne mettront pas les audits et évaluations à la disposition des employés (notamment puisqu’ils sont souvent confidentiels). Les employeurs pourraient simplement confirmer les types d'audit ou de certification effectués (par exemple ISO, etc.).

Bien que la CAI n’aborde pas directement la question de la protection des secrets commerciaux et des renseignements confidentiels des entreprises dans son mémoire, il est important de trouver un équilibre entre la transparence et la préservation des intérêts commerciaux, notamment afin d’éviter une divulgation excessive pouvait nuire à la compétitivité de l’entreprise.

• Aviser les employés. Les employeurs devraient informer leurs employés dès qu’ils envisagent recourir à des décisions partiellement ou entièrement automatisées. Ils ne devraient pas attendre au moment de la prise de décision automatisée. Ce type d’avis est seulement obligatoire en vertu de la Loi sur le secteur privé pour des systèmes de prise de décisions entièrement automatisées.
• Bonifier son évaluation des facteurs relatifs à la vie privée (EFVP). En plus de réaliser une EFVP portant sur le développement ou le déploiement d’un système d’IA impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels, les employeurs devraient bonifier leur grille d’évaluation pour y inclure une analyse d’impact algorithmique.
• Réaliser une analyse d’impact algorithmique. Une analyse d’impact algorithmique devrait être réalisée pour évaluer les effets des systèmes d’IA qui prennent des décisions partiellement ou entièrement automatisées sur les droits fondamentaux des employés et leur vie privée. Cette analyse pourrait inclure une consultation des employés afin de recueillir leurs préoccupations et garantir une évaluation complète des risques.
• Restreindre l’utilisation de l’IA. Éviter l’utilisation d’IA pour des usages inacceptable, notamment pour l’analyse des émotions ou des états psychologiques, la catégorisation biométrique et les décisions entièrement automatisées ayant un impact significatif sur les employés. À ce sujet, la CAI estime que le règlement (UE) 2024/1689 établissant des règles harmonisées en matière d’intelligence artificielle peut servir d’inspiration dans l’analyse des pratiques interdites en matière d’IA.
• Assurer l’accès aux données. Les employeurs doivent mettre en place des mécanismes permettant aux employés d’accéder aux renseignements personnels utilisés et générés par les systèmes d’IA. Les prédictions ou les analyses générées par l'IA sont considérées comme des renseignements personnels et sont soumises à ce droit.;
• Faire preuve de transparence. Assurer une transparence proactive des employeurs sur les technologies employées et leur impact potentiel.
• Impliquer vos employés. Impliquer les employés dans les décisions concernant l’usage de l’IA dans le milieu de travail.
• Évaluer la pertinence, la nécessité et l’impact de l’IA. Les employeurs devraient mener des évaluations régulières pour s’assurer de la pertinence, de la nécessité et de l’impact des systèmes d’IA déployés et s’assurer que ceux qui fournissent ces systèmes s’engagent à réaliser de telles évaluations.
• Offrir des formations. Parallèlement au déploiement de l’IA, les employeurs devraient former les gestionnaires et les employés sur les enjeux juridiques et éthiques liés à l’IA et à la protection des renseignements personnels en milieu de travail.

Certaines Mises En Garde De La Cai

La CAI souligne que l’essor des technologies de surveillance et des systèmes d’intelligence artificielle en milieu de travail soulève d’importants enjeux en matière de protection de la vie privée. Elle met en garde contre l’ampleur des renseignements personnels collectés et les risques liés à leur utilisation, en insistant sur la nécessité d’un encadrement rigoureux.

Parmi les technologies concernées, la CAI s’attarde sur l’usage des dispositifs biométriques, tels que la reconnaissance faciale et les empreintes digitales, qui impliquent la collecte de renseignements personnels sensibles. Elle relève également les risques associés aux logiciels de surveillance des employés, capables d’analyser leur activité en temps réel, ainsi qu’aux systèmes de géolocalisation, qui peuvent mener à un suivi constant des déplacements. Enfin, elle met en garde contre les dérives potentielles de la vidéosurveillance, particulièrement lorsque ces outils sont couplés à des systèmes d’IA capables d’analyser le comportement ou la performance des employés.

Face à ces enjeux, la CAI insiste sur l’importance du respect des principes de nécessité et de proportionnalité afin d’assurer un équilibre entre les objectifs poursuivis et la protection des droits des employés.

Par ailleurs, la CAI souligne que des entreprises utilisent souvent les renseignements personnels d’employés pour entraîner des modèles d’IA dans divers domaines des ressources humaines, notamment pour :

• l’automatisation des processus de recrutement et de sélection des candidats;
• l’évaluation des performances et la détection de tendances comportementales;
• l’optimisation des horaires et de la répartition des tâches; et
• la prise de décisions disciplinaires fondées sur l’analyse des données collectées.

L’utilisation de l’IA dans ces contextes n’est pas sans risque, mais demeure possible. Selon la CAI, l’entraînement des modèles sur des données massives peut entraîner des biais discriminatoires, une surveillance accrue et une prise de décision opaque. La CAI insiste donc sur la nécessité d’un encadrement plus rigoureux pour garantir que l’exploitation de ces données respecte les principes de nécessité, de proportionnalité et de transparence.

Les employeurs devraient demander aux fournisseurs s'ils utiliseront des informations sur les employés pour former leurs modèles d'IA et, le cas échéant, prendre les mesures nécessaires pour s'assurer que ces fournisseurs respectent les lois sur la protection de la vie privée et ne mettent pas en péril la conformité de l'employeur.

Dans un milieu de travail, l’utilisation de l’IA s’impose directement à l’intersection entre le droit du travail et le droit à la vie privée.

Par ailleurs, les employeurs doivent également veiller à ce que l'utilisation de l'IA respecte les politiques d'emploi en vigueur, les contrats de travail individuels ainsi que les dispositions prévues dans les conventions collectives, lorsqu’applicable. De plus, cette utilisation doit être conforme aux droits fondamentaux protégés par la Charte des droits et libertés de la personne, notamment en ce qui a trait au respect de la vie privée, à la dignité, à l’égalité des employés ainsi qu’au droit à des conditions de travail justes et raisonnables. Toute utilisation de l'IA qui contreviendrait à ces cadres juridiques pourrait exposer l'employeur à des recours judiciaires ou à des contestations syndicales.

Un Cadre Juridique Précis Pour L’ia

Malgré la récente réforme des lois sur la protection des renseignements personnels au Québec, la CAI note que le monde du travail peut présenter certains défis d’application des différents principes élaborés par ces lois. Selon la CAI, les lois existantes posent des bases solides, mais elles doivent être mises à jour pour répondre aux nouvelles réalités technologiques, dont l’IA. Entre temps, les entreprises devraient notamment s’interroger quant: i) à la nécessité, la proportionnalité et la transparence de leur recours à l’IA; ii) au consentement (implicite ou explicite, selon les circonstances) des employés concernés; iii) au droit des employés concernés d’exercer, notamment, leur droit d’accès, de rectification, de retirer leur consentement et quant iv) à l’usage de renseignements personnels à des fins spécifiques liées à l’IA.

Conclusion

Bien que ce mémoire ne constitue que des recommandations émises par la CAI, il demeure essentiel d’en tenir compte pour garantir la conformité du système IA tout au long de son cycle de vie. Étant donné les investissements requis et l’intersection de multiples enjeux, une planification anticipée et une approche proactive sont cruciales pour assurer une utilisation optimale de l’IA, en particulier en milieu de travail.

Pour plus d’information sur ce sujet, veuillez contacter Arianne Bouchard, Alexandra Quigley ou Charles Giroux ou les autres mêmes des groupes cybersécurité et protection de la vie privée et des renseignements personnels et droit du travail au Canada.