Guide sur la portée de la Directive sur la prise de décisions automatisée
Sur cette page
Introduction
La Directive sur la prise de décisions automatisée (la directive) s’applique aux ministères qui utilisent des systèmes décisionnels automatisés pour prendre une décision administrative fondée complètement ou en partie sur un traitement automatisé. Ces systèmes comprennent les systèmes reposant sur l’intelligence artificielle (IA) et d’autres technologies. La directive s’applique au systèmes développés ou acquis après avril 2020.
Cette directive ne vise pas tous les systèmes d’IA employés dans la fonction publique fédérale; uniquement ceux qui servent à la prise de décision administrative doivent s’y conformer. L’utilisation des systèmes d’IA qui ne sont pas utilisés dans la prise de décisions administratives est assujettie à d’autres exigences, notamment celles relatives à la sécurité, à la protection de la vie privée, et à la gestion de l’information.
Le présent guide a pour objectif d’expliquer les situations dans lesquelles la directive s’applique. Il importe de comprendre les limites de la directive pour s’y conformer. Il convient d’envisager de se conformer volontairement à la directive lors du développement ou du déploiement de systèmes d’IA qui n’entrent pas dans la portée de la directive, tels que ceux qui soutiennent les décisions relatives aux politiques.
Objet de la directive
La directive vise à garantir que les ministères sont transparents, responsables et justes dans la prise de décisions automatisée. Elle prévoit également que les ministères doivent :
- évaluer les répercussions des systèmes décisionnels automatisés;
- faire preuve de transparence;
- garantir l’assurance de la qualité;
- offrir un mécanisme de recours pour contester les décisions;
- publier des rapports sur l’efficacité et l’efficience des systèmes.
La directive aide les ministères à :
- répertorier, évaluer et atténuer les risques que les systèmes décisionnels automatisés présentent à l’égard des personnes et des ministères;
- respecter les principes du droit administratif, comme la transparence, la responsabilisation, la légalité et l’équité procédurale.
Cinq principaux éléments de la portée
Pour déterminer si un système est visé par la directive, il doit répondre aux cinq critères suivants :
Utilisation par un ministère
La directive s’applique aux ministères au sens de l’article 2 de la Loi sur la gestion des finances publiques, soit les ministères figurant à l’annexe I, à l’annexe I.1 et à l’annexe II, ce qui représente en tout environ 97 institutions fédérales.
Institutions exclues
Certaines institutions sont exclues au titre de leur loi habilitante, comme l’Agence du revenu du Canada (paragraphe 30(2) de la Loi sur l’Agence du revenu du Canada) et Investir au Canada (paragraphe 8(2) de la Loi sur Investir au Canada). D’autres institutions, comme les agents du Parlement, sont exclues en totalité ou en partie au titre de la section 9.1.1 de la directive.
Les Forces armées canadiennes ne sont pas assujetties à la directive puisqu’elles ne correspondent pas à la définition de « ministère » au titre de la Loi sur la gestion des finances publiques. Cependant, la Défense nationale est assujettie à la directive, puisqu’elle figure à l’annexe I.
Développé après le 1er avril 2020
La directive s’applique:
- aux systèmes décisionnels automatisés développés ou acquis après le 1er avril 2020;
- lorsqu’un système développé ou acquis avant le 1er avril 2020 est modifié de manière significative.
Autrement dit, un système existant doit être considéré comme un nouveau système et se conformer à la directive si son champ d’application ou son fonctionnement est modifié de sorte qu’il pourrait avoir une incidence sur les décisions.
Modifications apportées aux systèmes déjà déployés
Les modifications qui obligeraient un système existant à se conformer à la directive comprennent, mais ne sont pas limitées à :
- mise à niveau des capacités d’analyse ou du fonctionnement;
- modification du groupe de clients touchés;
- utilisation du système pour fournir un service connexe;
- utilisation du système pour offrir un autre service (par exemple un ministère fournit le système à un autre ministère pour qu’il l’utilise).
Les modifications qui n’obligeraient pas un système existant à se conformer à la directive comprennent, mais ne sont pas limitées à apportées :
- entretien régulier du système;
- réentraînement des modèles n’ayant pas une grande incidence sur les capacités d’analyse ni sur le fonctionnement;
- correctifs de sécurité;
- modification du site d’hébergement du système, comme la migration d’un serveur local vers le nuage.
Assurer la conformité des systèmes modifiés
Pour les systèmes développés ou acquis après le 1er avril 2020 et auxquels d’importantes modifications sont apportées, les ministères doivent vérifier que les nouveaux systèmes sont conformes à la directive. Concrètement, cette vérification consiste à faire une nouvelle évaluation de l’incidence algorithmique (EIA) ou de la mettre à jour afin de déterminer si de nouvelles exigences sont nécessaires.
Cette vérification peut également inclure la mise à jour de la documentation existante pour tenir compte des changements, comme l’évaluation des facteurs relatifs à la vie privée, l’évaluation de la sécurité, les documents juridiques et l’Analyse comparative entre les sexes Plus (ACS Plus). Des mesures d’atténuation supplémentaires ou modifiées peuvent également être requises.
Utilisation dans le cadre d’un processus décisionnel administratif
Une définition de « décision administrative » figure à l’annexe A de la directive. En résumé, il s’agit de toute décision qui pourrait avoir une incidence sur les droits juridiques, les privilèges ou les intérêts d’un client.
Un système décisionnel automatisé est visé par la directive s’il prend des décisions à tout moment dans le processus décisionnel ou s’il contribue à ce processus.
Les systèmes décisionnels automatisés qui prennent des décisions administratives, qui aident les agents à prendre de telles décisions ou qui sont utilisés pour des évaluations connexes entrent dans le champ d’application de la directive. Celle-ci s’applique aux décisions fondées complètement ou en partie sur un traitement automatique, y compris dans les cas où un humain intervient ou un agent prend la décision finale.
Exemples de décisions administratives
Généralement, les ministères prennent des décisions administratives lorsqu’ils fournissent des services aux clients. Les clients sont des particuliers ou des entreprises (définis à l’annexe A de la Politique sur les services et le numérique). Puisque la directive s’applique tant aux personnes au sein du gouvernement qu’à l’extérieur de celui-ci, elle prévoit des mesures de protection cohérentes en ce qui concerne les décisions touchant le public (Canadiens et non-Canadiens vivant au Canada ou à l’étranger) et les fonctionnaires fédéraux.
Voici quelques exemples de décisions administratives :
- évaluer les demandes de permis et de prestations, et les renseignements à l’appui de ces demandes;
- évaluer la recevabilité et l’admissibilité des demandes pour entrer au Canada;
- nommer des personnes à des postes au sein de la fonction publique;
- autoriser la mise en marché d’un produit pharmaceutique;
- lancer une enquête sur le comportement d’une personne.
Situations dans lesquelles la directive s’applique aux décisions administratives
La directive s’applique lorsque la décision administrative implique une automatisation complète ou partielle.
Automatisation complète
La prise de décision est complètement automatisée lorsque le système prend lui-même la décision au sujet d’un client.
Automatisation partielle
La prise de décision est partiellement automatisée si le système contribue à celle-ci. Cette contribution pourrait se faire lorsque le système :
- fournit des renseignements à un agent;
- fait une évaluation ou une autre analyse qui permet d’étayer la décision d’un agent, de l’influencer ou de l’aider;
- prend une ou plusieurs décisions d’une série de décisions qui aideront à prendre une décision définitive.
L’automatisation partielle peut être réalisée à n’importe quelle étape du processus de prise de décision, pas seulement lors de la décision finale. Par exemple, la directive s’applique dans les cas suivants :
- la décision finale est prise par le système automatisé;
- la décision finale est prise par le système automatisé, et un agent examine ensuite la décision;
- le système prend une décision provisoire, mais la décision finale relève de l’agent;
- une évaluation, une recommandation, une cote, un résumé ou d’autres renseignements sont générés par le système et sont présentés à l’agent pendant le processus décisionnel.
Situations dans lesquelles la directive ne s’applique pas aux décisions administratives
Les décisions que prend le gouvernement ne sont pas toutes de nature administrative. D’ailleurs, un bon nombre de ses décisions ne constituent pas une décision administrative selon les critères de la directive. Les décisions non administratives ne touchent pas directement les droits, les intérêts ou les privilèges des clients.
L’automatisation des décisions non administratives n’est pas assujettie à la directive. Consultez les services juridiques de votre ministère si vous avez besoin d’aide pour déterminer si une décision est de nature administrative.
Remplacement ou aide au jugement
La directive s’applique à un large éventail de systèmes automatisés, qu’il s’agisse de systèmes déterministes fondés sur des règles ou de systèmes d’IA avancés.
La directive ne se limite pas aux systèmes d’intelligence artificielle
Les systèmes décisionnels automatisés peuvent avoir recours à des règles, à la régression, à l’analyse avancée, à l’IA, à l’IA générative, à l’apprentissage automatique, aux réseaux neuronaux, à l’automatisation robotisée des processus, au traitement du langage naturel et à bien d’autres moyens.
La directive ne se limite donc pas aux systèmes d’IA. Lorsque le système automatisé est utilisé pour prendre ou aider à prendre une décision administrative ou procéder à une évaluation connexe au sujet d’un client, ce système est assujetti à la directive.
Comment savoir si un système est un système décisionnel automatisé
Pour déterminer si un système est bel et bien un système décisionnel automatisé selon la définition de l’annexe A de la directive, il faut se demander si le système a pour objectif de remplacer ou d’aider le jugement, le discernement ou la pensée critique d’un humain. Habituellement, les humains appliquent des règles en s’appuyant sur un raisonnement et une bonne compréhension du contexte dans lequel la décision est prise. Si le système remplace l’agent ou lui permet d’étayer sa décision, alors il relève de la directive.
Remplacer ou aider le jugement
Les systèmes, même ceux en apparence simples, pourraient être visés par la directive lorsqu’ils:
- sont conçus pour remplacer ou automatiser le jugement, peu importe s’ils prennent la décision finale ou s’ils contribuent au processus décisionnel à une étape donnée;
- s’appuient sur des règles ou des critères qui ont été élaborés par des humains et sont fondés sur leur expérience, leur jugement, leur discernement et leur pensée critique;
- établissent eux-mêmes les règles ou les critères, ou présentent une combinaison de règles ou de critères définis par le système et les humains.
Ne pas remplacer ou aider le jugement
Les systèmes ne relèvent pas de la directive lorsqu’ils :
- automatisent les calculs;
- mettent en œuvre les critères simples définis par des lois ou des règlements;
- suivent les règles définies par des lois d’une manière qui ne remplace pas le jugement;
Par exemple, un système qui limite l’admissibilité d’un programme aux personnes de 18 ans ou plus, lorsqu’il s’agit d’une exigence claire au titre du règlement, n’est pas visé par la directive.
Utilisation dans un environnement de production
La directive ne s’applique qu’aux systèmes qui seront déployés ou qui sont en production.
Les systèmes servant à la recherche et à l’expérimentation ne sont pas assujettis à la directive, car ses exigences pourraient imposer un fardeau indu aux chercheurs ou décourager l’exploration des capacités technologiques au sein du gouvernement fédéral.
Déploiement des systèmes visés par la directive
Les systèmes sont en production s’ils traitent concrètement les renseignements des clients par exemple, lorsqu’ils sont :
- entièrement déployés dans un environnement de production à l’appui des activités ministérielles;
- déployés dans un environnement de production à plus petite échelle, comme dans un projet pilote (y compris les essais bêta et les essais relatifs à l’expérience client), où les résultats sont utilisés pour prendre des décisions ayant une incidence sur certains clients.
Déploiement des systèmes qui ne relèvent pas de la directive
Les systèmes ne relèvent pas de la directive lorsqu’ils sont utilisés uniquement à des fins de recherche et d’expérimentation et ne sont pas destinés à l’automatisation des activités, par exemple lorsqu’ils sont :
- exécutés sur des échantillons de données lors de la phase d’élaboration, de mise à l’essai ou de validation de principe;
- à l’étude dans un bac à sable ou un laboratoire de recherche, où les résultats ne servent pas à prendre des décisions ayant une incidence sur les clients.
Bien que les systèmes employés seulement à des fins de recherche et d’expérimentation ne soient pas visés par cette directive, ils sont tout de même assujettis à d’autres exigences, comme celles qui ont trait à la protection de la vie privée, à la sécurité, à la gestion de l’information, aux valeurs et à l’éthique.
Assurer la conformité
Les ministères qui développent et mettent à l’essai des systèmes auxquels la directive s’appliquera sont tenus d’établir un plan de conformité à la directive. Ils doivent connaître les exigences de la directive et prendre les mesures nécessaires pour les respecter.
Par exemple, les ministères devraient mettre à l’essai non seulement la fonctionnalité, l’efficacité, la sécurité et la validité du système, mais aussi les mesures d’atténuation concernant les risques ciblés lors des premières évaluations (évaluations de l’incidence algorithmique, évaluations des facteurs relatifs à la vie privée, évaluations de la sécurité, Analyse comparative entre les sexes Plus, etc.).
Exemples d’activités du système auxquelles s’applique ou non la directive
Activités incluses :
- trier les demandes des clients en fonction de leur complexité, selon les critères définis de manière automatisée;
- examiner une opération financière pour estimer la probabilité de fraude;
- générer une évaluation, une cote ou une classification pour le client;
- générer un résumé des renseignements pertinents sur le client pour aider les agents à déterminer l’admissibilité à un programme;
- présenter de l’information provenant de diverses sources à un agent (par exemple par le couplage de données et les correspondances floues);
- utiliser la reconnaissance faciale ou d’autres technologies biométriques pour cibler des personnes en vue d’un examen plus approfondi;
- recommander une ou plusieurs options au décideur;
- utiliser un outil d’IA dans le cadre d’un processus de recrutement pour évaluer les curriculum vitæ ou les compétences des candidats afin de filtrer les candidats les plus performants pour sélectionner ceux qui seront convoqués en entrevue;
- examiner les demandes de prestation des clients et recommander leur approbation ou refus à un agent;
- se servir d’un robot conversationnel pour conseiller une marche à suivre.
Activités exclues :
- trier les demandes des clients en fonction de règles définies par les lois dont l’interprétation n’exige pas de jugement ou de discernement (comme l’âge et la province de résidence);
- exécuter des tâches répétitives de bureau, comme vérifier que tous les champs obligatoires d’un formulaire sont remplis avant de passer à l’étape suivante du traitement;
- utiliser un robot conversationnel qui dirige un client vers les sites Web du gouvernement;
- envoyer un courriel automatiquement à un employé ou à une boîte de réception en fonction de mots-clés définis;
- recourir à l’IA générative pour produire un résumé d’un article de presse non classifié aux fins de diffusion aux membres de l’équipe;
- filtrer les pourriels;
- automatiser les calculs des coûts d’après les prix et les formules publiés;
- exécuter des actions qui n’ont pas d’incidence sur les privilèges, les intérêts ou les garanties juridiques des personnes ou des employés, comme la recherche, l’évaluation de programmes, les séances de remue-méninges et la rédaction de documents.
Demander une exception à la directive
Au titre des paragraphes 4.1.1.2 et 4.1.1.2.3 de la Directive sur les services et le numérique, les exceptions aux exigences aux termes des directives figurant dans l’ensemble des documents relatifs à la Politique sur les services et le numérique doivent être demandées par l’intermédiaire du Conseil d’examen de l’architecture intégrée du gouvernement du Canada (CEAI GC). Il faut déterminer les exigences en cause et expliquer pourquoi elles ne peuvent pas être respectées. Après avoir obtenu l’approbation du sous-ministre adjoint responsable du projet de prise de décisions automatisée et du dirigeant principal de l’information du ministère, les demandes d’exception doivent être soumises au CEAI GC à l’adresse suivante : EA.AE@tbs-sct.gc.ca.
Approche en matière de sécurité nationale
L’approche du SCT sur la façon d’appliquer la directive aux systèmes de sécurité nationale (SSN) est en constante évolution. Les SSN regroupent un large éventail de systèmes de sécurité qui traitent des renseignements de classifications variées présentant divers niveaux de risque.
Les SSN ne sont pas visés par la directive, conformément à la section 6.3 de la Politique sur les services et le numérique. Cependant, les ministères qui utilisent ces systèmes en respectant la directive bénéficient d’avantages, tout comme leurs clients. En procédant ainsi, on contribue à renforcer la confiance du public et on assure le bon fonctionnement des systèmes au moyen de mesures comme la surveillance des résultats et l’évaluation des biais.
Les ministères qui utilisent les SSN pour la prise de décisions administratives devraient se conformer au plus grand nombre possible d’exigences de la directive sans compromettre la sécurité nationale. Par exemple, un ministère pourrait se conformer à toutes les exigences de la directive, à l’exception des exigences spécifiques en matière de transparence qui entraîneraient la divulgation inappropriée de renseignements sensibles. Dans certains cas, il est possible d’effectuer une EIA et de la publier, étant donné que cet outil est conçu pour éviter la divulgation de renseignements sensibles.
Les ministères peuvent évaluer au cas par cas les systèmes décisionnels automatisés dans des contextes de sécurité nationale afin de comprendre les répercussions des politiques sur ceux-ci. Les ministères devraient se conformer à toutes les exigences, sauf celles qui pourraient raisonnablement porter atteinte à la sécurité nationale.
Communiquez avec nous
Les ministères peuvent consulter l’équipe Données et IA responsables du SCT à ai-ia@tbs-sct.gc.ca, qui les conseillera sur la façon d’appliquer la directive et les aidera à effectuer les EIA.
Liens connexes
© Sa Majesté le Roi du chef du Canada, représenté par la présidente du Conseil du Trésor, 2024
ISBN : 978-0-660-72713-4
Détails de la page
- Date de modification :