Les zones grises de l’intelligence artificielle à l’université

L’intelligence artificielle (IA) poursuit son irruption dans les universités. Elle s’insinue dans les processus administratifs aussi bien que dans l’enseignement et la recherche. Or, on évalue encore mal les risques légaux qu’elle engendre. 

En février 2024, la Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP), Patricia Kosseim, a reproché à l’Université McMaster d’avoir porté atteinte à la vie privée de personnes étudiantes. La décision concerne l’utilisation du logiciel Respondus pour surveiller des examens faits à distance. Le logiciel enregistre l’image et le son des personnes étudiantes pendant leur examen et emploie l’IA pour identifier des indices de tricherie.  

En 2021, une personne étudiante s’est plainte auprès de la CIPVP du fait que l’université avait ainsi colligé des informations personnelles à son sujet de manière inappropriée et que la façon dont ces données étaient recueillies, utilisées, dévoilées et détruites manquait de clarté. La Commissaire lui a donné raison, arguant que McMaster n’avait pas effectué assez d’efforts pour informer les personnes étudiantes.  

M^me Kosseim a aussi relevé que le contrat entre l’établissement et Respondus protégeait mal les informations collectées, et que cette entreprise n’avait pas reçu le consentement des personnes étudiantes pour utiliser leurs enregistrements audio et vidéo dans le but d’entraîner leur système. 

« Les risques légaux engendrés par l’IA dans les universités sont nombreux en raison des multiples applications potentielles de cette technologie, que ce soit dans l’administration, la livraison d’informations ou de services, l’enseignement ou la recherche », souligne Teresa Scassa, professeure titulaire de droit à l’Université d’Ottawa et chercheuse au Centre de recherche en droit, technologie et société. 

Ces risques peuvent venir d’endroits tout à fait inattendus. En juin 2025, la CIPVP a épinglé l’Université de Waterloo, de nouveau pour une question d’atteinte à la vie privée des personnes étudiantes. Cette fois, des machines distributrices installées sur le campus étaient en cause. En 2024, une personne étudiante a noté sur l’écran d’une de celles-ci un message d’erreur indiquant un problème avec son programme de reconnaissance faciale. La communauté étudiante s’est vite saisie de l’affaire. 

 « Le niveau d’exigence de la loi 25 est très élevé, plus même que les législations européennes souvent considérées comme les plus demandantes en matière de protection de la vie privée » 

Les machines, retirées depuis, utilisaient à l’insu des personnes étudiantes un système de reconnaissance faciale qui permettait d’identifier leur âge et leur genre. « L’université elle-même ignorait l’existence de ces caméras, mais elle demeure responsable de ce qui s’est produit », souligne Teresa Scassa. 

Protéger les renseignements personnels 

Vincent Gautrais, professeur titulaire de droit à l’Université de Montréal et titulaire de la Chaire L. R. Wilson sur le droit des technologies de l’information et du commerce électronique, croit que la protection de la vie privée et des renseignements personnels constitue l’un des plus grands défis actuels de l’emploi de l’IA.  

Le 7 décembre 2023, les autorités de protection de la vie privée du Canada ont publié des principes de développement et d’utilisation responsables de l’IA générative. Elles ont rappelé que les organisations qui se servent de l’IA doivent s’assurer de respecter la loi et les règlements qui s’appliquent en matière de protection de la vie privée. Elles doivent prouver qu’elles ont le droit de recueillir et d’exploiter ces renseignements personnels, et parfois recevoir un consentement éclairé et valide des personnes concernées. 

Ce principe est notamment inclus de manière explicite au Québec dans la loi 25, adoptée en 2021. Celle-ci exige entre autres qu’on évalue les risques à la vie privée avant de communiquer un renseignement personnel à l’extérieur du Québec. Les organisations doivent également obtenir un consentement manifeste, libre et éclairé pour chaque usage précis de renseignements personnels. De plus, elles doivent procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques. L’EFVP sera ensuite validée par la Commission d’accès à l’information (CAI). 

« C’est compliqué à intégrer à un protocole de recherche qui impliquerait, par exemple, d’analyser les données de participants, souligne M. Gautrais. Mais passer outre peut avoir des conséquences fâcheuses ». 

Il cite l’exemple d’une décision prononcée en 2022 par la CAI. Le Centre de services scolaires (CSS) du Val-des-Cerfs, en Estrie, avait élaboré un algorithme de prédiction du décrochage scolaire avec des spécialistes de l’analyse de données d’un cabinet comptable. On l’alimentait avec une base de données sur des élèves de 6^e année du primaire, comprenant des renseignements personnels dépersonnalisés, comme les résultats scolaires et des statistiques sur l’absentéisme, l’aide financière et les mesures disciplinaires. 

Selon la CAI, ces données constituaient des renseignements personnels au sens de la loi, et il restait possible, malgré la dépersonnalisation, d’identifier la personne concernée par ceux-ci. Elle a aussi affirmé que les indicateurs prédictifs produits par l’algorithme pouvaient avoir un effet sur les décisions prises au sujet des élèves. Elle a de plus jugé que les données inférées (le résultat de l’analyse de l’algorithme) deviennent de nouveaux renseignements personnels et que le CSS devait informer les parents des objectifs et de la méthode par laquelle elles ont été recueillies. 

« Le niveau d’exigence de la loi 25 est très élevé, plus même que les législations européennes souvent considérées comme les plus demandantes en matière de protection de la vie privée », prévient Vincent Gautrais. 

Attention aux biais 

La possibilité que les outils d’IA introduisent des biais dans certaines analyses ou décisions représente un autre risque légal, puisqu’elle peut mener à des accusations de discrimination.  

« Les risques de biais sont notamment liés aux données utilisées pour entraîner les modèles d’IA, qui excluent certains types de recherche et ne sont donc pas représentatives de l’ensemble des connaissances que l’on a dans un domaine », souligne Didier Paquelin, professeur titulaire au Département d’études sur l’enseignement et l’apprentissage à l’Université Laval et membre de l’Observatoire international sur les impacts sociétaux de l’IA et du numérique (OBVIA). 

C’est particulièrement problématique lorsqu’on emploie l’IA de manière prédictive ou pour effectuer des sélections. À l’université, cela pourrait concerner l’admission des personnes étudiantes, les embauches de personnel, des conseils sur le parcours académique en fonction des chances de réussite, etc. 

 « Les universités devraient favoriser ou développer elles-mêmes des outils d’IA transparents, dont on peut expliquer les processus et interpréter les résultats. » 

« Dès qu’on entre dans les solutions prédictives, le risque posé par les biais monte en flèche », reconnaît Sébastien Gambs, professeur d’informatique de l’Université du Québec à Montréal et titulaire de la Chaire de recherche du Canada (niveau 2) en analyse respectueuse de la vie privée et éthique des données massives. Par exemple, certaines entreprises utilisent l’IA pour déterminer les salaires qu’elles offriront. Or, comme les données d’entraînement de l’IA portent sur les rémunérations passées et que traditionnellement les femmes ont été moins bien payées que les hommes, l’IA reproduira cette inégalité.  

Les biais peuvent aussi surgir dans les outils de surveillance. M^me Scassa indique que les bruits ou le fait de regarder ailleurs que vers son écran peuvent représenter des indices de tricheries pour un logiciel IA de surveillance d’examen. « Or, certaines personnes peuvent vivre à plusieurs dans un petit logement ou avoir un jeune enfant, ce qui crée plus de bruits et de distractions, souligne-t-elle. On sait aussi que certains de ces systèmes peinent à déterminer si un visage à la peau foncée fixe l’écran ou regarde ailleurs. » 

M. Gambs travaille sur l’élaboration de modèles IA qui diminuent le risque de biais. Il précise que si on utilise un modèle d’IA commercial « clé en main », on a très peu d’explications sur son fonctionnement. Cela réduit la capacité de bien évaluer les dangers de biais.  

« Les universités devraient favoriser ou développer elles-mêmes des outils d’IA transparents, dont on peut expliquer les processus et interpréter les résultats, croit-il. Et toutes les parties prenantes qui les emploient ou en sont affectées devraient pouvoir s’exprimer à leur sujet. » 

L’IA n’échappe pas au droit 

Au Québec, le gouvernement a publié en août 2025 un guide sur l’utilisation de l’IA au collégial et à l’université. Il exige notamment le respect de la loi 25 en ce qui concerne la conservation et la protection des renseignements personnels et le respect des droits d’auteur.  

Le document rappelle que l’IA est susceptible de reproduire des contenus sans permission, et que c’est toujours la personne qui s’en sert qui porte la responsabilité en cas de diffusion illégale de ces contenus. Les risques liés à la propriété intellectuelle et au droit d’auteur vont d’ailleurs dans les deux sens. « Les universitaires doivent réaliser que de mettre un article scientifique, le travail d’un étudiant ou des données sur une application d’IA commerciale comme Chat GPT revient à l’envoyer directement vers une entreprise étrangère et d’en perdre le contrôle », souligne M. Gambs. 

Réjean Roy a participé à l’élaboration du guide du gouvernement du Québec. Il est directeur formation et mobilisation des connaissances à l’IVADO, un consortium interdisciplinaire et intersectoriel de recherche, de formation et de mobilisation des connaissances en intelligence artificielle piloté par l’Université de Montréal. 

« Le guide énonce les grands principes éthiques qui doivent encadrer l’utilisation de l’IA dans les établissements d’enseignement supérieur, mais il aborde surtout l’enjeu principal : comment y arriver? », souligne M. Roy.  

« Il y a une face claire et une face sombre de l’intelligence artificielle et le défi des universités consiste à apprendre à profiter de la première, tout en réduisant les effets potentiellement très négatifs de la seconde » 

La réponse à cette question passe beaucoup par la gouvernance, dont la structure et les responsabilités doivent être claires. Les universités doivent comprendre comment ses parties prenantes (professeures et professeurs, chercheurs et chercheuses, personnes étudiantes ou employées, etc.) se servent de l’IA et bien les former sur l’éthique et le droit. Avant d’introduire de nouvelles solutions IA, les parties prenantes devraient être consultées. « Ces outils doivent aussi faire l’objet de tests rigoureux dans des environnements sécuritaires avant d’être déployés à grande échelle », ajoute M. Roy.  

En janvier 2025, le gouvernement fédéral a abandonné le projet de loi C-27, qui incluait une loi sur l’IA et des réformes en matière de protection des renseignements personnels, et aucune tentative d’encadrement n’est prévue pour l’instant.  

L’encadrement provincial reste aussi très minimal. En Ontario, le gouvernement a adopté en 2024 le projet de loi 194. Celui-ci l’autorise à instaurer, à la pièce, des règlements pour encadrer l’utilisation de l’IA dans le secteur public. On ne trouve aucune autre législation provinciale qui concerne directement l’IA.

Cependant, même en l’absence d’une législation qui vise précisément l’IA, « l’ensemble du droit s’applique lorsqu’on utilise cette technologie dans les universités », rappelle M. Paquelin. Cela comprend par exemple les Chartes des droits, les lois sur les normes du travail, les lois sur la protection des renseignements personnels, la loi sur le droit d’auteur et les codes de profession. 

« Il y a une face claire et une face sombre de l’intelligence artificielle et le défi des universités consiste à apprendre à profiter de la première, tout en réduisant les effets potentiellement très négatifs de la seconde », conclut Didier Paquelin.