Réponse — Gouvernance de l’IA
Que demandera le vérificateur sur l’IA ?
Quatre questions reviennent : quels outils d’IA sont en usage, à quoi ont-ils accès, quel encadrement s’applique — et pouvez-vous le démontrer avec des dossiers créés au moment des faits ? Depuis le 22 septembre 2023, la Loi 25 oblige chaque municipalité à encadrer les renseignements personnels — le vérificateur cherche la preuve que cet encadrement existe réellement.
D’où viendra la question ?
D’un vérificateur général ou d’un vérificateur externe pendant l’audit annuel, d’un élu en séance du conseil, ou de la Commission d’accès à l’information (CAI) à la suite d’une plainte ou d’un incident. Le déclencheur varie ; la question, elle, revient toujours au même point : quelle IA est utilisée chez vous, et pouvez-vous le démontrer ?
Le cadre de référence du vérificateur existe déjà. Depuis le 22 septembre 2023, la Loi 25 lie directement les municipalités : politiques de gouvernance des renseignements personnels, responsable désigné, validité des consentements, évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les projets visés — le tout sous la surveillance de la CAI. L’IA n’y fait pas exception : la plupart des projets d’IA touchent des renseignements personnels.
Les quatre questions à prévoir
-
Quels outils d’IA sont en usage ? Pas seulement ceux qui ont été approuvés. Ceux qui sont arrivés par une mise à jour de fournisseur, un agent activé par défaut, un abonnement pris par un service. Un inventaire qui ne couvre que l’IA déclarée répond à une autre question que celle posée.
-
À quoi ces outils ont-ils accès ? Quels dossiers, quels renseignements personnels de citoyens, quelles permissions. C’est le point de rencontre avec l’ÉFVP : on ne peut pas évaluer les facteurs relatifs à la vie privée d’un traitement qu’on ne voit pas.
-
Quel encadrement s’applique ? La politique existe-t-elle, le responsable est-il désigné, et si une décision est fondée exclusivement sur un traitement automatisé, l’article 65.2 de la Loi sur l’accès est-il appliqué — la personne informée, les principaux facteurs et paramètres communiqués sur demande, ses observations reçues par un membre du personnel en mesure de réviser la décision ? Une intervention humaine significative dans la décision change l’analyse ; encore faut-il pouvoir établir ce que chaque outil fait réellement.
-
Pouvez-vous le prouver ? C’est la question qui départage. Une politique adoptée, un inventaire dans un tableur et une ÉFVP classée documentent des intentions. Le vérificateur, lui, cherche des dossiers créés au moment des faits : quand tel outil est apparu, ce qu’il pouvait toucher, quand l’écart a été constaté, quand il a été corrigé.
Pourquoi « contemporain » est-il le mot clé ?
Un dossier reconstitué dans les semaines qui précèdent l’audit montre l’état d’un jour ; il ne démontre pas une pratique. La diligence raisonnable démontrable — la norme que les régulateurs évaluent — se lit dans des enregistrements horodatés, tenus en continu, qu’on ne peut pas réécrire après coup. Et un tel historique est neutre : il peut montrer des écarts. C’est précisément ce qui le rend crédible — un écart détecté, daté et corrigé se lit comme une gouvernance qui fonctionne, pas comme une faute.
Agentica, une entreprise de gouvernance de l’IA établie à Montréal, tient ce type d’historique : chaque agent d’IA de votre environnement d’affaires, cartographié en continu et consigné dans un historique infalsifiable — en lecture seule, métadonnées et signaux uniquement — d’où le rapport destiné au conseil ou au vérificateur se génère sur demande. Le responsable de la protection des renseignements personnels et la direction générale demeurent imputables ; l’historique leur donne de quoi répondre.