Forum Tech 2024

George Elvira

Bonjour à toutes et à tous, merci beaucoup d’être là, aux invités présents dans la salle C2 du Fairmount Reine-Elizabeth ainsi qu’aux gens, les participants, qui sont présentement online, en ligne. Alors, on vous souhaite la bienvenue aujourd’hui à la troisième édition du Forum Tech, qui est organisé par le groupe de Technologie, bureau de Montréal de Gowling WLG. Je me présente, George Elvira, agent de brevets, associé dans le groupe de Propriété intellectuelle de Gowling, ici à Montréal. Ici, avec mon associé.

Marc Tremblay

Marc Tremblay, associé en droit des affaires. Je suis ingénieur dans ma première vie et je suis coresponsable avec George, comme il dit, du groupe de Technologie à Montréal.

George Elvira

Avant qu’on commence, j’aimerais bien souligner la présence d’un de nos associés dans la salle, Naïm <son coupe 00:01:08> lui-même, juste ici. Naïm était la personne responsable au tout début pour organiser le Forum Tech. C’est lui qui a eu cette idée-là, qui a mis ça en œuvre. C’est notre ancien chef du groupe de Technologie de Montréal. Merci beaucoup, Naïm, d’avoir porté avec autant de brio cette activité-là.

Le Groupe sectoriel de technologie de Gowling WLG, en fait, on est un groupe pancanadien. On est au moins 300 avocats, agents de brevets, professionnels, ingénieurs, Ph. D. dans différentes technologies. On s’occupe à soutenir, accompagner nos clients justement pour voir tous les enjeux juridiques, les enjeux technologiques pour trouver des solutions pour nos clients. On fait ça au Canada ainsi que dans notre plateforme internationale qui se retrouve en Europe, en Asie et un peu partout dans le monde.

Alors, pendant la conférence, les présentations vont se faire en français, mais il y a des micros qui vont se promener dans la salle pour les questions. Les questions peuvent être en anglais, bien évidemment on parle les deux langues, mais le tout va se faire principalement en français. Donc, je vais céder la parole à Marc, qui a quelques mots à vous partager.

Marc Tremblay

Je serai bref. Mais simplement, Forum Tech, qu’est-ce que c’est et pourquoi? Pour ceux à qui c’est la première édition, Forum Tech, comme George le mentionnait, c’est venu l’idée, notamment sous le leadership de Naïm à l’époque, de vraiment qu’au niveau des technologies émergentes <son coupe 00:02:37> à laquelle on est venu, c’est qu’il faut d’abord <son coupe> au départ de ces technologies émergentes, à chaque cycle, il y a une nouvelle technologie, on doit davantage être en mode discussion, débat, questionnement qu’en mode dissertation juridique.

Vous savez, un service juridique professionnel comme, par exemple, en droit des affaires dans ma pratique, on est souvent appelé à remplir essentiellement trois missions. La première, c’est d’identifier les risques. La deuxième, c’est de contextualiser ces risques. Par exemple, c’est quoi par rapport aux meilleures pratiques, par rapport à ce qui se fait dans le marché. Et notre troisième mission, souvent c’est de proposer des allocations de risques en fonction de la tolérance au risque de notre client et évidemment de la <son coupe 00:03:25> cocontractant. Il faut être deux pour signer un contrat.

Alors, c’est ce contexte que vous comprendrez que, dans le contexte des technologies émergentes, on a une incertitude supplémentaire, quelqu’un qui pratique dans ce domaine, parce que ça ajoute une incertitude au niveau de l’identification des risques. Dans les cycles précédents, malheureusement ou heureusement, mais dans mes 30 dernières années, les jeunes ne me croient pas vraiment au bureau des fois quand je leur dis que j’étais… on réfléchissait, quand l’Internet transactionnel a commencé, sur est-ce que la signature électronique était valide. Bref, si on pouvait conclure des contrats à distance. Bref, je suis de cette génération, malheureusement.

Donc, à l’époque, le questionnement, c’est dans les technologies émergentes, il y a une phase où est-ce que les solutions ne sont pas toutes là. Même au niveau juridique, la jurisprudence <son coupe 00:04:19> souvent les nouvelles lois, on le voit en matière de renseignements personnels, on le voit dans toutes sortes de choses. Évidemment, la technologie elle aussi évolue, ce qui fait en sorte que d’expérience, dans tous les cycles, des 30 dernières années en tout cas que moi j’ai vécu, on est davantage orienté vers – et c’est ça le Forum Tech – orienté vers la discussion, le questionnement et peut-être même aussi le débat, qui va nous amener, on l’espère, à avoir une meilleure vision de ce qu’on sait. Il y a un de mes profs en génie à McGill qui nous disait « Si tu veux vraiment savoir ce que tu sais, il faut que tu saches que ce que tu ne sais pas ». Alors, c’est un des objectifs aujourd’hui.

Et Forum Tech, élément essentiel, c’est d’amener de l’oxygène de l’extérieur à l’intérieur, qu’on appelle, nous. On vous a amené des panélistes, des experts dans leur domaine de Gowling et on a également, et c’est un élément essentiel du Forum Tech, c’est d’amener de l’oxygène de l’extérieur du monde des affaires et du monde technologique pour justement avoir ce brassage d’idées au niveau des technologies émergentes qu’on veut susciter avec vous et avec nous. Puis on verra, on espère, notamment dans les pauses, mais éventuellement de continuer cette discussion. Sans plus tarder, on va passer dans le vif du sujet avec le premier panel.

[PANEL NUMÉRO 1 – LES NOUVEAUX HORIZONS EN MATIÈRE D’INTELLIGENCE ARTIFICIELLE]

George Elvira

Merci, Marc. Alors, dans le premier panel, on va surtout parler des nouveaux horizons en matière d’IA. On va commencer avec le premier sujet en ouverture de conférence. J’aimerais explorer un peu l’implication de l’intelligence artificielle, surtout dans le milieu de la science des santés. Qu’est-ce que ç’a changé? À part ChatGPT, qu’est-ce qui se passe vraiment? Alors aujourd’hui, on a la chance d’accueillir parmi nous des panélistes, des experts dans le milieu. J’inviterais les gens du panel à venir s’installer sur les chaises, ici.

On a avec nous Alexandre Le Bouthillier. Il arrive cofondateur et associé chez Linearis, qui est un fonds d’investissement en intelligence artificielle santé pour un continuum de santé collaboratif accessible, équitable et durable. Alexandre travaille avec des médecins, puis des experts en intelligence artificielle d’une renommée mondiale pour révolutionner la précision, la vitesse des traitements et, ultimement, les résultats cliniques chez les patients <indiscernable/son coupe 00:06:44>. Il siège dans les conseils d’administration du Mila, IVADO, Quartier de l’innovation en santé, MEDTEQ+, envisAGE et Montréal InVivo, pour ne nommer que certaines de ses activités exceptionnelles.

Nous avons également la chance d’avoir Laurent Tillement, directeur, Partenariats IA et santé, au Mila, et représentant du Mila dans l’écosystème des sciences de la vie. Il établit des relations étroites avec les différents acteurs, amorce des occasions de partenariat et aide à développer des collaborations de recherche.

On a également Marc Vaucher, qui a rejoint Scale AI en mars 2019 en tant que directeur Investissements senior. Il supervise la sélection et l’exécution de projets. Il a plus de 600 000 000 $ de projets sélectionnés depuis 2019.

On a également Yasmina Boulahia, une de mes collègues, agente de brevets en formation au sein du groupe de Propriété intellectuelle. Yasmina a une formation en génie physique. Donc, elle est une spécialiste d’applications technologiques de pointe telles que l’intelligence artificielle, le quantique, et j’en passe.

Alors, pour commencer, j’aimerais bien rappeler aux gens qu’il y a deux ans, lorsqu’on a commencé notre premier Forum Tech, le sujet de l’heure était l’intelligence artificielle. Pour le grand public ou enfin pour moi, c’était tout nouveau. Il y avait ChatGPT qui apparaissait. Tout le monde en parlait, il y avait des publications un peu partout. Tout le monde se posait la question, mais où est-ce qu’on s’en va? Est-ce que c’est Skynet qui s’en vient? Il y avait plein de questions, plein de discussions. Ça, c’était il y a deux ans. Maintenant, deux ans ont passé et il y a beaucoup de choses qui se sont passées. J’aimerais bien qu’on puisse aller creuser un peu, voir ce qui s’est passé dans ces deux dernières années.

Alors, si on pouvait commencer avec nos panélistes, avec cette question un peu ouverte, je vous inviterais à partager avec nous. Par exemple, on a beaucoup entendu parler, même nos propres politiciens au Canada, d’avoir une intelligence artificielle responsable. Qu’est-ce que ça veut dire et pourquoi est-ce qu’on a besoin de ça? Laurent, au Mila, qu’est-ce qu’on en pense, puis qu’est-ce qu’on fait au Mila par rapport à ça?

Laurent Tillement

Pour revenir sur <son coupe> vraiment le buzzword <son coupe> responsable ici à Montréal, au Québec, au Canada et ailleurs. Mila, c’est avant tout ce que j’appelle un carrefour de la recherche. Mila, c’est 130 professeurs qui sont répartis partout au Québec, 1 400 étudiants qui sont affiliés au Mila, presque 150 entreprises qui viennent travailler avec nous, parce qu’on a ces discussions autour de la recherche en intelligence artificielle. Pour ces chercheurs, pour tous ces gens, l’IA responsable ce n’est pas juste un buzzword, c’est vraiment un principe, une façon de faire. C’est un ensemble de méthodologies qui viennent et qui accompagnent l’intelligence artificielle et le développement d’outils en intelligence artificielle. Donc, l’IA responsable, c’est oui responsable parce que l’IA fait ce qu’on lui a demandé de faire, mais c’est aussi une IA qui est transparente. On sait ce qu’elle fait, on comprend ce qu’elle fait, on comprend pourquoi il y a ces décisions qui sont prises par la machine. On sait que ces décisions vont être éthiques, vont respecter l’équité, vont respecter la diversité de population qu’on a dans le monde. Donc, on a ce côté retrait des biais, parce qu’on va regarder des données dans leur ensemble, etc. Il y a le côté sécuritaire avec ses cybersécurités. Il y a tout un tas de paramètres qui vont vers développer une IA pour le bien de l’humanité.

Et les chercheurs y pensent depuis très longtemps, depuis qu’ils voient que la technologie commence à devenir suffisante pour pouvoir utiliser des algorithmes qui vont être de plus en plus puissants et qui vont répondre de plus en plus à ces besoins. Donc, au Mila, on y pense depuis longtemps. La déclaration de Montréal, qui est de 2017, qui suit tout un tas de discussions qui sont préalables à cette déclaration, ce n’est pas quelque chose de nouveau dans la recherche. Donc, au Mila, on discute de recherches, on discute de comment gouverner cette recherche, comment améliorer cette recherche tout en gardant cette idée d’IA responsable, d’IA pour le bien de l’humanité. Et donc c’est des formations, c’est de la recherche, parce qu’il y a tout un tas de recherches qui sont nécessaires pour rendre les gens responsables de ce qu’ils développent.

Tu parlais de Skynet. Techniquement, Skynet c’est une IA responsable parce qu’il fait ce qu’on lui a demandé de faire. Même si ce n’est pas bien, il le fait de façon efficace. On sait pourquoi il le fait, on sait qu’on ne peut pas le hacker, mais il n’est pas fait pour le bien de l’humanité.

George Elvira

Donc, l’IA responsable, ce n’est pas nécessairement bien pour l’humanité?

Laurent Tillement

Bien, justement, c’est le paramètre qui manque dans Skynet, c’est le bien pour l’humanité. Mais il faut que toutes ces questions soient réfléchies au moment où on programme. Parce que Skynet a été programmé par un humain qui voulait qu’on tue les autres humains. Donc, si on ne rentre pas dès le début, Mila, formant 1 400 étudiants, c’est la génération de programmeurs de demain, il faut qu’ils pensent à comment ils vont améliorer les choses et ce qu’ils développent et le pourquoi derrière.

George Elvira

Je pense, Alexandre, que tu avais également quelques pensées sur ce concept. Est-ce que tu pourrais nous les partager?

Alexandre Le Bouthillier

D’abord, merci, George. Merci, Gowling, pour l’invitation. J’étais avec Yasmina, je disais, Gowling WLG, ça fait combien de temps que ç’a été créé et je peux vous dire qu’il y a beaucoup de données chez Gowling WLG parce que dans 10 ans, ils vont fêter leur 200^e anniversaire. Donc, ça fait beaucoup de données. Il y a un mot qui m’a interpellé au début, on a parlé de gestion de risque. Souvent, les gens qui développent des produits, des entreprises, que ce soit dans le domaine financier, que ce soit dans le domaine santé qui est plus le sujet du jour, on veut développer des produits bien sûr qui vont bien servir nos clients et c’est là qu’intervient l’IA responsable. Donc, ce n’est pas juste un terme pour dire, on va faire les choses pour le bien de l’humanité. Il y a aussi une gestion de risque. Donc, si les données sont utilisées pour l’entraînement d’un modèle, comporte un biais, comporte un certain niveau d’erreur, c’est le cas pour pas mal tous les types de données qui existent, c’est certain que le modèle qui va être fabriqué et qui va être utilisé en inférence va contenir un niveau d’erreur. Donc ça, ça doit être mesuré, ça doit être divulgué, les utilisateurs doivent comprendre ça. C’est là qu’on rentre aussi dans l’explicabilité. On ne veut pas que les utilisateurs deviennent, par exemple dans le cas d’une assistance au diagnostic… suivent de façon aveugle le modèle. On veut qu’ils puissent avoir un dialogue avec une interface homme-machine ou humain-machine pour mieux comprendre ce que l’IA suggère comme réponse. On peut parler de modèle d’attention.

Donc, tout ça pour dire que l’IA responsable, dans la déclaration d’IA responsable de Montréal – on a été la première nation à se doter d’une déclaration et je crois que c’est Stanford qui a repris une étude mondiale de plusieurs déclarations, la nôtre couvre 10 principes – c’est une qui couvre le mieux et toujours. Elle est traduite en plus d’une vingtaine de langues, adoptée par plein de pays. Donc, on peut reprendre, puis je ne vais pas les énumérer, mais chacun de ces 10 principes… Et ce n’est pas un article de loi, ce n’est pas une obligation. Même si vous signez cette déclaration, on ne va pas vous dire, vous ne respectez pas le principe 3. Ce n’est pas ça l’objectif. L’objectif, c’est de pouvoir se mesurer et dire, par exemple, pour le principe d’autonomie, on veut que les utilisateurs soient autonomes, c’est une bonne chose, parce qu’on veut leur profiler un peu une certaine portion de responsabilité, les gens se déresponsabilisent, bien, il faut se mesurer, on en est où? Et on va s’améliorer comme ça. Donc, l’objectif, vous ne connaissez pas la déclaration d’IA responsable de Montréal? Je vous invite à en prendre connaissance et la signer. Et lorsque ça vous engage de façon morale, c’est de vous mesurer et de vous améliorer dans ces 10 principes.

George Elvira

Il y a quelque chose que tu as dit qui est pas mal intéressante, Alexandre. Un des principes, c’est qu’on ne veut pas que l’IA remplace l’humain. Il y avait quelque chose que je trouvais d’intéressant, c’est que t’as fait allusion au contexte du diagnostic. On peut comprendre le risque qui peut exister là, mais je suis également au courant que dans la découverte du médicament, il y a de l’IA également. Donc, si je comprends bien, ce que tu es en train de me dire, c’est que l’IA ne remplace pas les chercheurs qui font la découverte du médicament. Comment ça fonctionne, ça? Puis je pense que tu pourrais peut-être nous en parler un peu par rapport à Linearis. Comment ça fonctionne, tout ça?

Alexandre Le Bouthillier

Oui. Je ne sais pas qui dans la salle utilise le ChatGPT et qui connaît l’acronyme GPT? Qu’est-ce que ça veut dire, GPT? Il y a moins de mains qui se lèvent, sauf qu’il y en a quelques-unes.

<rire>

George Elvira

Je l’ai appris la semaine passée. Quand t’as posé cette question, j’ai fait « Oups, j’ai une confidence à faire », même à Laurent aussi. Ça fait moins de deux ans que je sais ce que veut dire GPT, puis je me disais, comment ça se fait?

Alexandre Le Bouthillier

ChatGPT, ça fait moins de deux ans qu’il est sorti.

Laurent Tillement

Moi, je l’utilise régulièrement.

Alexandre Le Bouthillier

Je vous donne ça parce que vous voulez savoir ce que ça veut dire GPT. G est pour Génératif. On sait tous que ChatGPT s’entraîne sur des données et va générer le prochain token d’un mot. On a une suite de mots, on veut générer le prochain mot en minimisant l’erreur, donc il faut que le mot ait du sens, et ainsi de suite. Ça génère des trucs qui font quand même pas mal de sens. Ça, c’est l’aspect génératif. Le P est pour Pretrain. C’est là que pour moi on pourrait passer toute la conférence juste sur le Pretrain. Qu’est-ce que le Pretrain? C’est un modèle qui est pré-entraîné. En fait, ChatGPT est aveugle. Puis là, je vais vous donner une affirmation qui est doublement fausse. ChatGPT s’est entraîné sur toutes les données, à peu près toutes les données publiques sur la planète. Les gens vont dire, oui, quand même, il y a beaucoup de données qui sont disponibles sur Internet. Donc oui, il y a une notion de copyright. Je vois un avocat qui m’a dit non. Mais il y a beaucoup de données qui ont servi à l’entraînement, mais ce sont des données textuelles. On a Midjourney ou d’autres produits qui vont s’entraîner sur des données d’imagerie. Actuellement, ce qu’on a eu dans les 10 dernières années, c’est principalement des modèles qui s’entraînent juste sur un type de données. Je pense qu’il va y avoir des questions sur les données. Mais essentiellement, dans les prochains mois, je ne peux pas vous dire la journée exacte, le ChatGPT 5 qui va sortir va être entraîné à la fois sur du texte et de l’image. On rentre dans des modèles où l’IA va mieux comprendre ce qu’elle regarde. GPT va ouvrir les yeux parce qu’on va s’entraîner sur l’ensemble de ces données. Et T, c’est pour le Transformer, qui est une technologie qui date de 2017 sur des modèles d’attention.

C’est intéressant, mais ça veut dire qu'on trouve quelque chose de quand même génial sur une technologie depuis sept ans. Et Mila, bien, ça fait plus que sept ans que vous travaillez sur d’autres choses. Je n’ai pas répondu à la question, mais je pense que j’ai donné des choses intéressantes.

George Elvira

Mais je suis vraiment curieux au niveau de la découverte du médicament. Comment ça fonctionne? Ce n’est pas ChatGPT.

Alexandre Le Bouthillier

Non. Alors, vous avez compris le Generative.

Laurent Tillement

<indiscernable>

Alexandre Le Bouthillier

Ça pourrait l’être. Le modèle génératif. On va essayer de faire beaucoup d’interventions qui s’appliquent bien sûr en santé, mais qui s’appliquent à d’autres domaines, parce que je sais que vous n’êtes pas tous dans le domaine de la santé. Des modèles génératifs, bien sûr on veut s’en servir pour générer des nouveaux traitements. Ce qui est intéressant, c’est qu’on peut travailler dans une science où on n’a pas d’hypothèse. On a toujours appris que pour faire de la science, on doit faire une hypothèse et après, on doit la valider ou l’inférer ou en créer une autre, l’invalider, et c’est l’avantage de l’IA. On peut regarder les données et, à partir de ça, générer une hypothèse. Donc, on peut générer une nouvelle molécule, puis la question est « est-ce que ça fonctionne? ». Mais que veut dire « Est-ce que ça fonctionne? »? On veut mesurer deux choses dans le développement d’un nouveau médicament. On veut mesurer la toxicité – est-ce que c’est toxique? Souvent, il y a des médicaments qui sont toxiques, mais on veut juste que ça tue le cancer et pas le tout l’individu – et la réponse. On veut que ça fonctionne chez une majorité de personnes. Souvent, les traitements ne fonctionnent pas pour 100 % des gens, parce que même si on est tous des humains, on a un petit peu chacun des différences. Et là où l’IA intervient, c’est à plusieurs étapes de ce processus de développement.

Où, nous, on intervient comme Linearis, un fonds d’investissement? Bien, on s’est adjoint à un laboratoire qui s’appelle Linearis Lab – on est très créatif dans nos noms – qui mesure les métabolites. Est-ce qu’il y en a qui savent c’est quoi les métabolites, dans la salle? Les métabolites. On connaît tous la génomique. La génomique, c’est un livre qui essentiellement va nous donner nos risques de prédisposition à avoir du cancer ou avoir du cholestérol. Mais ça ne veut pas dire qu’on a un haut cholestérol. Il y a 240 000 métabolites qui sont connus qui régulent notre métabolisme. Le cholestérol en est un. Si je mesure un haut cholestérol, qu’est-ce qu’il y a? On a un haut cholestérol. Ces mesures de métabolites, c’est ce qu’il y a de plus proche de notre état de santé. J’ai vu des gens, qui étaient enceintes aujourd’hui, tous les bébés qui naissent dans 80 pays ont fait un test métabolomique qui couvre 40 maladies chez les bébés. T’as pas ça chez l’adulte. T’as pas de large panel comme ça chez les adultes. C’est sûr qu’on va faire ça dans les médicaments. On mesure 1 300 métabolites et de façon standard. Alors, c’est quelque chose qui est très important dans la mesure de la donnée et de le mesurer de façon standard, parce que l’IA aime ça quand il y a le moins de biais possibles dans les données.

Pour résumer un peu l’histoire, on accompagne les compagnies en portefeuille avec notre lab de service qui offre des services à des CRO, des pharmas et surtout des biobanques pour numériser ces échantillons, ces spécimens de sang, pour trouver ce qu’on appelle des signatures de maladie. Appelez ça comme une signature de problème. Dans certaines données, on va observer des problèmes, que ce soit en assurance, en finances et en santé. Ce qu’on cherche, c’est des signatures de maladie en métabolites. Une fois qu’on a ça, on peut faire plus de diagnostics précoces, on peut aussi développer du médicament, parce qu’on veut que la signature essentiellement disparaisse avec le nouveau médicament.

George Elvira

Donc, l’IA finalement nous permet de voir des signatures là où l’humain ne verrait pas nécessairement.

Alexandre Le Bouthillier

Bien, je ne peux pas trop parler, mais deuxième chose que je veux vous dire sur mon affirmation qui était fausse, ChatGPT s’entraîne sur presque que toutes les données. Je vous ai dit que ce n’est pas juste du texte. Maintenant, on va s’entraîner sur des données multimodales. Mais on est très anthropomorphiste dans notre façon de réfléchir. Il y a beaucoup de données qui existent sur la planète que l’humain ne comprend pas. On peut parler de données d’ultrasons, on peut parler même de données génomiques ou métabolomiques. C’est très complexe. Donc, on va vouloir que les modèles d’IA s’entraînent sur du multimodal, donc plusieurs types de données, mais aussi des données que l’humain ne comprend pas. Pourquoi? Parce qu’il y a du signal dans ces informations, dans ces données qui nous permettent d’avoir une meilleure compréhension, par exemple, d’une signature de maladie. Nous, on focusse sur une signature de maladie en métabolique, au cancer de COVID que vous connaissez, qui est une maladie principalement protéomique. On a 17 métabolites qui sont débalancés pour le COVID.

George Elvira

Ça, c’est vraiment intéressant, puis je vais vouloir qu’on en revienne un petit peu plus tard.

Marc, on a parlé de découverte du médicament avec l’IA, on a parlé de ChatGPT. Est-ce que tu vois chez Scale AI une <indiscernable 00:24:02> de l’IA dans le domaine de la santé?

Marc Vaucher

Merci, George. Merci, Gowling, pour l’invitation. Très heureux d’être ici aujourd’hui. Pour ceux qui ne connaissent pas Scale AI, on est les organisateurs d’ALL IN, qui était le plus gros événement d’IA au Canada, qui a regroupé 4 000 personnes la semaine dernière. La santé, ça fait partie de ce que dans quoi on investit. On a 50 millions de projets au total en santé, en allant de l’organisation des soins à domicile et puis en se focalisant pas mal sur les hôpitaux.

George Elvira

C’est juste au Québec?

Marc Vaucher

Partout au Canada. Lorsqu’on regarde l’IA en santé, c’est vrai qu’on pense spontanément à l’IA qui vient interpréter de l’imagerie médicale. On pense aussi maintenant, grâce à Alexandre, à ce qui permet d’accélérer la recherche médicamenteuse. Mais en fait, il y a un troisième domaine dans lequel l’IA peut être très intéressante en santé. Je pense que ça parle à tout le monde lorsqu’on dit que le système de santé a du mal à soigner tous les patients et qu’on a des ressources qui sont limitées pour soigner ces patients. Je pense que ça parle aussi à tout le monde lorsqu’on dit que le système de santé n'est probablement pas organisé de façon optimale pour soigner l’ensemble de ces patients. Donc, ce que peut l’IA peut faire, c’est aider à faire plus avec les mêmes ressources. Les projets dans lesquels Scale AI a investi, c’est faire plus avec les mêmes ressources. Alors, ça peut être en soins à domicile, de faire en sorte de mieux organiser les plannings des soignants à domicile pour qu’ils puissent finalement traiter plus de patients, mais avec toujours les mêmes ressources. Puis eux faire plus d’heures, donc aussi être plus satisfaits dans leur travail. Dans les hôpitaux, ça va permettre au CHUM de faire l’équivalent d’un mois de plus dans son bloc opératoire, parce qu’on va réorganiser les plannings du bloc opératoire et du coup on va pouvoir faire l’équivalent d’un mois de plus d’opération. Ça parle, plus d’opérations dans un bloc opératoire.

On a pu aussi avoir l’équivalent d’une machine de chimiothérapie rajoutée dans le service d’oncologie, grâce à des à des solutions d’IA et on peut aussi penser aux urgences avec 40 % de moins de patients qui vont attendre plus de 24 heures, parce que malheureusement il y a beaucoup de patients qui attendent plus de 24 heures aux urgences. Donc, réduire ce pourcentage de façon significative, mais aussi réduire de l’ordre de 30 % le temps supplémentaire obligatoire demandé aux soignants, parce que c’est aussi un élément fondamental. On perd des soignants, parce que leurs conditions de travail sont de plus en plus difficiles, compte tenu de cette charge de travail très importante. Et donc, finalement, mieux organiser les soins peut aussi permettre à ces soignants d’avoir de la visibilité sur leurs plannings, d’avoir moins d’heures supplémentaires et donc de rester et d’avoir des soignants expérimentés qui restent en poste.

On est à Sainte-Justine, qui est en train de déployer en ce moment même une solution d’IA pour mieux allouer les patients dans les soins intensifs pour les enfants, parce que dépendant de la criticité <? 00:27:19> du patient, enfin on va avoir besoin de plus de soignants. Donc, il faut être capable de prévoir la criticité <? 00:27:26> du patient, le remplissage de lits pour savoir de combien de soignants on va avoir besoin et des problèmes complexes pour lesquels l’IA et, en particulier, la partie recherche opérationnelle et l’optimisation peuvent être extrêmement utiles. C’est effectivement un domaine où l’IA été a été importante. On a fait deux appels à projets successifs à deux ans d’intervalle, le dernier ayant été annoncé l’année dernière. On est en train de déployer toute une nouvelle série de solutions dans les hôpitaux et ce qu’on voit, c’est que les hôpitaux, en tout cas on a des chefs de file <indiscernable 00:27:59> suffisamment de maturité en termes de données d’un point de vue digital, infrastructures de données pour intégrer des solutions dans leurs opérations et prendre des décisions au quotidien dans leur service de soins, qu’ils soient guidés par l’intelligence artificielle.

George Elvira

Passionnant. Merci.

Yasmina Boulahia

Justement, toutes ces solutions me semblent innovantes, elles nous font gagner de l’efficacité et productivité. C’est le but de l’AI quelque part. Maintenant, je veux savoir. Les compagnies avec lesquelles vous faites affaire, est-ce qu’il y a des blocages au niveau de la commercialisation? Est-ce que ces solutions arrivent à trouver honneur? Est-ce que ça marche bien <son coupe 00:28:43> solutions? Qu’est-ce qu’on pourrait mieux faire? Oui?

Alexandre Le Bouthillier

Je vais commencer, puis je vais poser une question dans la salle. Qui a une initiative d’IA dans son sa compagnie? Fabriquer un projet, faire quelque chose. Donc, c’est pas mal la moitié des gens. Bref, pour moi, le plus grand blocage c’est lorsqu’on a un processus traditionnel et qu’on essaie de remplacer ce processus traditionnel par une IA. On essaie de faire un remplacement un pour un. Là vient la résistance au changement, vient le réglementaire, viennent plusieurs problèmes à remplacer du un pour un. Il faut vraiment que… si j’ai juste 20 % d’augmentation, c’est déjà bien, mais ça crée une résistance.

Je vais faire un petit parallèle avec la deuxième révolution industrielle – là, on vit la troisième – qui était toute l’industrialisation. C’est une image qui est réutilisée souvent, où on voit une usine de fabrication de coton et dans le fond de l’usine il y a un gros moteur à vapeur avec des poulies au plafond qui distribuent l’énergie mécanique. Arrive l’électricité, qui est quand même révolutionnaire. ChatGPT, ç’a pris trois mois pour avoir 100 000 000 d’utilisateurs. L’électricité, je pense, c’est 50 ans. C’était quand même très révolutionnaire. Et là, bien, il y en a qui ont essayé de remplacer ce gros moteur à vapeur par un moteur électrique. Eh bien, ça ne change pas vraiment les trucs. En fait, ça crée des problèmes parce qu’il faut que tu amènes ton alimentation électrique. Et comment ç’a commencé à fonctionner six ans plus tard, en 1920? C’est lorsqu’ils se sont dit, bien, au lieu d’avoir un seul gros moteur électrique, je vais avoir plein de petits moteurs, je vais les répartir partout.

Donc, c’est là où je veux vous amener. Lorsqu’on fait de l’IA, c’est avoir une gestion de changement. Donc, ne faisons pas un remplacement d’un processus par un processus. C’est l’occasion des fois de faire disparaître un processus. C’est l’occasion de merger des choses ensemble. C’est l’occasion de faire un peu les choses plus efficacement. Alors, nous, il y a trois façons qu’on fait les choses plus efficacement.

La première, dans la génération de molécules, actuellement les molécules sont générées principalement sur des propriétés physicochimiques. Je veux générer quelque chose qui ne va pas bloquer quelque chose ou se connecter à un endroit, parce que j’ai une compréhension, si on veut, un peut limitée de l’impact de la maladie. Je vais me focusser sur le principal problème lié à la maladie. Alors nous, on pense qu’il ne faut pas regarder le principal problème lié à la maladie qu’on mesure en métabolique. Je vous ai parlé que le COVID, c’était 17 métabolites débalancés. Cancer du poumon. Un type de cancer, c’est 19. Donc, si je me focusse juste sur le premier, puis je veux faire un médicament qui résout juste mon premier métabolite, peut-être qu’il y a d’autres métabolites qui vont remonter plus tard. Donc, il faut vraiment avoir une vision plus holistique de quel est l’impact de mon processus?

Donc, pour les modèles génératifs, qu’est-ce qu’on doit leur fournir en entrée et aussi une vision plus large du monde. Voilà, nous, on fait des panels de 1 300 métabolites, qu’est-ce qui se passe par exemple pour ceux qui ont le cancer des ovaires? Est-ce qu’on peut caractériser ça? Et si tu développes un médicament, Madame ou Monsieur l’AI, on ne lui a pas encore donné de genre, bien, il faut que ça résout ces 17 métabolites, que ça les rebalance à des niveaux acceptables et que ça ne crée pas de toxicité. Donc, en entrée, il faut déjà donner une direction au modèle d’IA. C’est quelque chose qu’on introduit de nouveau, une vision plus large qu’on appelle multiomique, multiphénomique pour s’assurer qu’on entre dans le modèle quelque chose de plus important. Les modèles génératifs, ce n’est pas nouveau, ce n’est pas nous qui avons inventé ça. Ça fait plusieurs années que les gens travaillent là-dessus. Mais après, on travaille beaucoup dans un monde virtuel. On génère des molécules. C’est tout in silico, c’est tout dans des GPU. Ça ne veut pas dire que si on génère quelque chose dans le monde virtuel que c’est parfait. On sait très bien que le monde réel est très différent. À un moment donné, il faut qu’on confronte le in silico avec le in vitro. Comment c’est fait actuellement? Ça, je suis un peu triste de ça. Ça fait des centaines d’années qu’on torture des petites souris, des rats, des chiens. Il y en a même qui en parlent aux États-Unis, mais c’est pour d’autres domaines <rires> et des chats. Mais c’est plutôt des singes, lorsqu’on avance dans le processus où on va faire de l’essai clinique sur des modèles d’animaux. Mais l’humain n’est pas <indiscernable 00:33:38>. On a un régime hépatique qui est très différent. Ce qui se passe, ce qui fonctionne chez le rat à 75 % ça ne traduit pas chez nous <? 00:33:47>.

Donc, l’expérimentation, je vous ai parlé qu’on change un peu l’entrée des modèles. Mais l’expérimentation, nous, on veut faire ça dans des lignées cellulaires humaines. On fait pousser des petites cellules humaines, on les modifie avec des technologies génomiques et là on peut tester la molécule dans quelque chose qui – évidemment, ce n’est pas des humains, c’est juste des petites cellules – où on peut avoir une indication différente. Heureusement, ça ne va pas remplacer les rats et les souris demain, mais c’est vers là qu’on s’en va. Et là qu’est-ce qu’il faut faire? C’est la partie pour moi qui est cruciale. Une fois qu’on a rentré des informations nouvelles et qu’on a testé d’une façon un peu différente, parce qu’avec l’IA on peut interpréter ces données, il faut que ces données soient réinsérées dans le modèle. Une fois que le modèle rubber hits the road qu’on a testé dans un domaine réel, il faut qu’il y ait une boucle de rétro feedback. Cette boucle de rétro feedback, on aimerait qu’elle soit le plus automatisée possible. Dans notre cas, si on peut faire ça toutes les 24 minutes plutôt qu’à tous les 15 ans, ce que ça prend pour développer un médicament, ça c’est de la vision, on peut mesurer 1 300 métabolites en 24 minutes. Si on peut retourner cette information au modèle génératif, c’est là peut-être qu’on va approcher une vitesse du monde physique très, très loin du monde… parce qu’on peut générer des millions de candidats par jour. Mais si on peut juste faire une expérience à chaque 15 ans, ça ne marche pas. Donc, il faut être capable d’augmenter la rapidité à laquelle on génère des données. Ce n’est pas des données synthétiques, c’est des vraies données et qu’on retourne dans le modèle. C’est les trois éléments qui, je pense, peuvent aider certains bloquants ou lorsqu’on fait juste un remplacement de processus, un pour un.

George Elvira

J’imagine, là-dedans, on doit avoir besoin d’avoir énormément de synergie entre les différents acteurs, par exemple le Mila. Je pense, Laurent, que tu aurais quelque chose à dire là-dessus.

Laurent Tillement

C’est exactement ce que je voulais rajouter à ce que disait Alexandre. J’allais rajouter trois points aussi. En fait, on a eu sur un panel tous les deux la même question : qu’est-ce que c’est la donnée idéale? La donnée idéale n’existe pas. Parce qu’aujourd’hui on a un seuil de détection qui est X et demain il sera Y. Il sera plus bas, on va détecter d’autres choses. La donnée va évoluer, donc les algorithmes vont devoir être réentraînés et ils vont évoluer aussi. Il y a cette notion de données qui reste connue sans être connue et qui est nécessaire d’expliquer. Le côté multidisciplinaire pluridisciplinaire est absolument crucial, parce qu’il faut que les gens qui savent utiliser la donnée, comme les chercheurs qui sont mis là, puissent avoir des idées données par des médecins qui sont des spécialistes du diagnostic, données par des pharmaciens qui sont des spécialistes du médicament, pour aller dans le même sens et aller vers le même usage. Au Mila, on a un chercheur, il s’appelle Samira Rahimi, qui est la seule à être directement Jewish Hospital, affilié à McGill et qui travaille avec les cliniciens pour leur expliquer ce que c’est que la donnée, comment la collecter et qu’est-ce que l’IA peut faire avec. Chaque fois, je dis toujours, pourquoi on n’a pas plusieurs Samira dans tous les hôpitaux? On devrait avoir une personne qui est là pour expliquer ce qu’est la donnée, etc.

Mais il y a aussi le côté du système dont on parlait un peu plus tôt, qui est très nouveau, très compliqué. Comme dit Alexandre, d’ici quelques mois on va avoir ChatGPT 5. En octobre 2002, c’était ChatGPT 3 qui est sorti. On a un système qui avance grosso modo à reculons par rapport à la technologie. La technologie en deux ans a tellement changé que ce n’est plus la même. Par contre, le système demande deux ans de validation pour accepter la technologie dans son système. Donc, on a un système qui demande deux ans pour quelque chose qui évolue en quelques mois. On se retrouve à devoir ralentir, à devoir expliquer. Et c’est le problème des compagnies qui ont une technologie qui est superbe mais qui n’arrive pas dans le système, parce qu’ils sont deux ans en avance par rapport au système.

George Elvira

Marc, est-ce que c’est ça aussi qu’on voit au sein de Scale AI?

Marc Vaucher

Oui, on le constate. Ce qu’ont partagé Laurent et Alexandre, on le voit. C’est-à-dire que, bon, il y a l’élément de maturité digitale globalement des hôpitaux, d’arriver avec des hôpitaux qui ont une structure de données qui permettent l’intégration, l’ajout d’une solution d’IA. C’est ce à quoi on pense en premier. Ensuite, effectivement, il y a la résistance au changement. La résistance au changement, elle prend deux formes, elle est à deux niveaux. Elle est au niveau de l’entrée des données. Ce qu’on veut, c’est que les personnes au quotidien entrent les données. Parce que quand on est sur des prises de décisions opérationnelles, dans l’amélioration de la prise de décision et de l’organisation, les données sont très souvent entrées par des humains dans le système. Si les humains ont compris pourquoi ils entrent ces données et que si ces données sont de bonne qualité, les décisions qui seront proposées seront des bonnes décisions, et qui sont impliquées très en amont dans le processus, les données sont de bien meilleure qualité, la solution sera beaucoup plus efficace.

Il y a aussi la résistance au changement dans l’utilisation de la solution. Je ne sais pas si vous avez déjà entendu ça. Il y a des médecins dans la salle, mais je vais prendre le risque. Est-ce que vous avez déjà entendu cette question : quelle est la différence entre Dieu et un chirurgien? Quelqu’un a la réponse?

George Elvira

Je ne vais pas me mouiller, moi.

Yasmina Boulahia

Je pense qu’on a quelqu’un, oui. Je pense qu’on a quelqu’un à côté.

Marc Vaucher

Non. Dieu ne se prend pas pour un chirurgien.

Tous

<rire>

Marc Vaucher

Et ça, ça traduit le fait que déjà dans une entreprise classique il est difficile de convaincre les personnes d’utiliser l’IA pour prendre des décisions qu’auparavant ils prenaient sans l’IA. Il faut les aider à comprendre qu’en fait on leur fait gagner du temps pour que leur temps soit utilisé à faire des choses plus utiles. On ne remplace pas des gens, on remplace des tâches. Ça, c’est très important. La fameuse phrase, ce n’est pas les radiologues qui vont être remplacés, mais peut-être que les radiologues qui utilisent l’intelligence artificielle vont remplacer les radiologues qui ne l’utilisent pas. Je pense que c’est vrai pour beaucoup de professions. Donc, il faut apprendre à utiliser les outils et comprendre qu’ils nous font gagner du temps, ils nous permettent d’être meilleurs. Donc ça, c’est une partie. Et puis <indiscernable 00:40:31> système de santé, on a encore plus de résistance parce qu’on a un système très complexe qu’on doit gérer et ces systèmes très complexes, avec des habitudes ancrées. Le chirurgien, il aime avoir son mercredi matin au bloc opératoire. Si on lui dit que ce n’est plus tout à fait le mercredi matin au bloc opératoire, ça va être compliqué dans sa salle 3, ça va être dur. Il y a des résistances comme ça qui sont très, très, très concrètes, mais qui font partie du quotidien et des difficultés qu’on peut avoir pour accompagner le changement.

La dernière chose qu’on voit et qui est un dernier obstacle, c’est l’accès finalement à l’adoption de ces solutions. C’est-à-dire qu’on a des joueurs qui sont capables de développer des solutions. Ensuite, on a des acteurs, comme les hôpitaux. Ces hôpitaux ont un système d’achat qui est difficile à franchir. Il y a des validations à plusieurs niveaux, au niveau gouvernemental en particulier. Donc, acheter une nouvelle solution, valider le fait qu’on va se lancer pour tester une nouvelle solution, c’est quelque chose qui est encore plus dur, beaucoup plus dur que dans l’industrie. Finalement, les fournisseurs de services et de solutions ont encore plus de freins pour accéder aux hôpitaux, vendre et tester une première fois leurs solutions pour qu’après elles puissent être déployées dans plusieurs hôpitaux. On a un très bel exemple. J’aime bien parler de cet exemple, Gray Oncology, qu’on avait aidé lors de notre premier appel à projets. Finalement, ils ont eu accès au CHUM, testé leurs solutions, développé un produit d’IA et ce produit est aujourd’hui dans plusieurs hôpitaux en Ontario, au Québec et aux États-Unis depuis les deux ans et demi, trois ans qui se sont écoulés depuis le lancement de leur premier projet. C’est ce type de solutions qu’on veut voir émerger plus souvent.

Yasmina Boulahia

Définitivement, on voit à quel point c’est important. L’adoption, ça reste quand même encore un enjeu, dépendamment dans quel secteur on se retrouve. On parle de AI, donc on parle toujours des données. On va revenir encore une fois aux données. La source des données, est-ce que c’est encore un problème? Il y a deux ans, c’était… Est-ce que c’est encore un problème d’avoir accès aux données? Est-ce qu’il y a des données qu’on donne juste à certaines personnes? Mais aussi la forme des données.

Alexandre Le Bouthillier

On peut faire dans cet ordre-là.

Tous

<rire>

Alexandre Le Bouthillier

On a la chance au Québec d’avoir maintenant ce qu’on appelle la loi 5 sur la mobilité des données et l’accès aux données de santé. J’étais un des experts qui a participé, pas à l’élaboration de la loi, mais un peu à sa co-construction. Le Mila a aussi contribué. C’était vraiment une co-construction, pour s’assurer que les données de santé qu’on a au Québec puissent bien servir la population, mais puissent bien servir la recherche. Quand je dis, la recherche, c’est de la recherche qui va conduire vers des produits et que ces produits vont être utiles aux patients. Dans la loi, ce qui est interdit, c’est de vendre les données, mais on peut développer, on peut faire un usage secondaire de ces données et développer un produit <indiscernable 00:43:42> qu’on veut. On veut que ces produits servent à la population.

La loi a été enactée au mois de juillet. Le temps qu’elle se mette en place avec les règlements sous la gouverne de Santé Québec, malheureusement, ça va prendre du temps. Mais je vous dirais que la base de la pyramide, elle est là. Moi, j’en suis très content. Ça fait, je pense, 40 ans que c’était demandé, une réforme au Québec sur les lois. Donc, d’un point de vue mondial, c’est une très belle loi. On est dans un mode opt out sur cet accès aux données. Qu’est-ce que ça veut dire lorsque ça va être mis en pratique? C’est que les données des patients seront disponibles pour faire une recherche, mais on n’a pas le nom des personnes, on n’a pas leur numéro de téléphone, on n’a pas leur adresse. Ce n’est pas ça qui est important dans le domaine de la santé. On veut comprendre les signatures de maladie, on veut comprendre pourquoi il y en a qui tombent malades, pourquoi ils ne tombent pas malades, pourquoi il y en a qui répondent à des traitements et pas d’autres. C’est vraiment une façon sage, dans un environnement contrôlé, de pouvoir faire de la recherche sur ces données. Je vous dirais que ça, c’est la nouvelle positive. La nouvelle négative, c’est que ça va prendre du temps à se mettre en place.

Yasmina, tu m’as posé la question sur les données. On ne peut pas parler de données sans métadonnées. <indiscernable 00:45:07> Les métadonnées, c’est important. Chaque fois que je parle à des organisations qui ont beaucoup de données, ils me disent toujours : « Nous, c’est la plus belle base de données ou c’est la plus belle biobanque, tout est bien organisé, inquiétez-vous pas ». C’est sûr que quand on commence à regarder la métadonnée, elle est moins prise en compte. Alors, qu’est-ce que c’est pour moi la métadonnée? C’est tout ce qui va entourer la donnée. Je vais vous donner des exemples. Où la donnée a été prise. Ça peut être une position géolocalisée. Par qui? Comment? Si c’est un spécimen qui a été recueilli, dans quel type de contenant il a été mis? Il pourrait y avoir des contenants qu’on découvre plus tard, qui ont des microplastiques qui contaminent l’échantillon. Si ç’a été analysé par un appareil, quel type d’appareil, quel modèle? Quel firmware était utilisé par cet appareil au moment de l’analyse? Là, les jeunes vont dire, Alexandre, tu exagères un peu. Mais des fois, lorsque les firmwares changent, l’humain ne verra pas de différence sur l’interprétation du signal. Mais c’est arrivé qu’il y a eu certaines différences. Donc, tout ce qui entoure la saisie de la donnée est important.

Et après ça, quel type de données? Je vous ai parlé qu’on rentrait dans un monde multimodal. Ce que ça veut dire, c’est que les modèles ne s’entraînent plus sur un seul type de données, là je veux m’entraîner sur du texte, sur de l’image, donc je veux m’entraîner sur de la génomique, de la protéomique, de la métabolomique – c’est ce que nous, on fait – sur de l’imagerie, sur des données cliniques textuelles, sur des données de réponse. Donc, je veux avoir le plus de types de données. À l’intérieur de ça, je veux classifier les données en deux, la cause et l’effet. Souvent, je ne sais pas lequel est lequel. Ça, c’est une composante extrêmement limitative. Et là je reviens à l’acronyme de GPT. Qui se souvient de ce que veut dire le mot P?

George Elvira <?>

Alexandre Le Bouthillier

On s’entraîne sur des données. <indiscernable 00:47:12> vous voyez un réseau deep learning, avec tous les petits points, puis quelque chose qui part de gauche à droite. On rentre les données dans un modèle. Chacune de ces données est rentrée de façon indépendante. Je fais un exemple simple. J’ai une image, chaque pixel d’entraînement rentre dans mon modèle et, ce qu’on espère, c’est que le modèle finit par avoir une compréhension spatiale de qu’est-ce que l’image? Mais je n’ai pas dit au modèle « ça, c’est des pixels qui sont à côté », « ça, c’est une cause », « ça, c’est lié à telle mutation ». Dans mon entraînement, actuellement, dans les modèles, je n’ai pas cette cause et cet effet. Et ça, c’est ce qu’a développé un des fils de Yoshua Bengio, Emmanuel. Il a développé un modèle qui peut s’entraîner sur des graphiques. Je sais qu’on arrive sur la fin, mais tout est un graphe. Tout est un graphe dans la vie. Il y a toujours une cause, un effet. Il y a des liens entre les choses. Et ça, ça va faire partie des nouvelles façons de gérer les données, d’avoir des associations entre les données. Chaque donnée est stochastique aussi, elle n’est pas 100 % véridique, il peut y avoir des niveaux de distribution probabilistes sur ces données, et je dois m’entraîner là-dessus aussi. Donc, il y a toute une complexité sur la donnée, métadonnée, type de données, et comment je les représente, qui sont importantes dans mes modèles d’entraînement pour avoir l’explicabilité.

George Elvira

Alexandre, c’est passionnant. Je suis vraiment désolé. C’est vraiment super intéressant. Malheureusement, on est arrivé à la fin de notre premier panel.

Alexandre Le Bouthillier

Pas déjà?

George Elvira

Oui, déjà. Écoutez, juste pour partager avec vous en préparation pour ce panel, mon associé Denis Keseris, qui est assis ici, et moi avions rencontré chacun des panélistes. On avait des discussions, ça pouvait durer deux heures, deux heures et demie. On se disait, oh mon Dieu, c’est trop intéressant, c’est trop fascinant. Comment on va faire pour réduire ça en 40 minutes? Impossible. Donc, je vous invite à venir parler avec nos panélistes pendant la pause, leur poser toutes les questions, venir nous voir. Écoutez, il y a quelque chose que je trouve passionnant là-dedans, dans l’IA, l’implication dans les différents domaines industriels, particulièrement dans les sciences de la santé. C’est quelque chose que je fais beaucoup avec mon associé Denis Keseris. Lui, c’est notre expert en IA. Moi, en sciences de la vie. Traditionnellement, on a des sphères qui sont complètement mutuellement exclusives. Chacun, on travaillait de notre bord, on avait des clients de notre bord. Mais maintenant, dans les dernières années, on se rend compte qu’il y a beaucoup de fusion entre les deux. Et là on doit changer notre pratique. Même nous, on doit changer notre pratique. On doit combiner nos savoir-faire pour pouvoir voir, comme une intelligence artificielle, un signal, là où il n’y en avait pas auparavant.

Donc, ce que vous disiez, c’est même applicable à notre profession. Si on y va de manière traditionnelle, puis j’ai toujours fait ça comme ça, ç’a toujours fonctionné comme ça, on va passer à côté du bateau et on va rater plein d’occasions. Donc, je voudrais remercier les panélistes, parce que c’est non seulement le travail que vous faites est incroyable et l’impact que vous avez dans notre société est incroyable. Donc, merci beaucoup et merci d’avoir participé à ce panel.

Yasmina Boulahia

Merci beaucoup.

George Elvira

On va passer le micro pour les questions.

PÉRIODE DE QUESTIONS

Question

Bonjour. Merci beaucoup pour le panel. Très intéressant, effectivement. J’ai une question pour Alexandre. Est-ce que vous avez une stratégie en place qui va permettre de faire le lien entre biomarqueurs mécanistiques et biomarqueurs phénotypiques, et quelle est-elle?

Alexandre Le Bouthillier

Oui. Alors, c’est la beauté de la métabolomique. Je ne peux pas donner un cours de sciences, parce que je ne viens pas de la biologie, je viens de l’AI, je viens de l’optimisation. Ça fait juste neuf ans que je suis dans le domaine de la santé. C’est probablement le niveau omique qui nous donne le plus d’explications sur comment on est en santé à cet instant précis. Donc, on peut mesurer en métabolomique votre cortisol, par exemple. Donc, je peux savoir si vous êtes stressé. Je peux mesurer votre alimentation, savoir ce que vous avez mangé, si vous êtes sur une diète plus méditerranéenne ou sur une diète plus hamburger. Il y a beaucoup de causes et beaucoup d’effets et tous les pathways des métabolites sont extrêmement bien documentés. Encore une fois, on parle beaucoup de Yoshua Bengio, qui est le chercheur le plus cité au monde en termes d’impact. Ça dépend quelle métrique on remarque, mais c’est le numéro un pour moi.

On a aussi la chance d’avoir le spécialiste mondial en métabolomique au Canada, qui s’appelle David Wishart. Il maintient la base internationale de métabolomiques qui contient presque 250 000 métabolites et là-dedans on a toutes les dégradations des métabolites et on est le plus proche possible du phénotype. Si je mesure une signature de maladie sur un panel très, très large – nous, on en mesure 1 300, presque tous en mode quantitatif avec des standards inclus chaque fois qu’on fait les mesures. Sur une plaque de 96, on a 16 standards – et 50 000 ions qu’on mesure, donc jusqu’à 50 000 métabolites quantifiés, donc de façon relative, on numérise les échantillons et on découvre ces signatures de maladie pour lesquelles certains des métabolites vont être la cause et l’effet. Mais tout ça, c’est tellement bien documenté que, pour moi, ça va propulser la science, pas juste au niveau de la découverte de médicaments. Parce que, essentiellement, on a investi 97 % de notre budget en traitement et en suivi des maladies. Il faut se rappeler que 50 % des morts, incluant plusieurs de mes amis, c’est des décès qu’on peut prévenir, c’est toutes des maladies qu’on peut guérir si on les attaque très tôt, dont le cancer, par exemple. Trois pour cent est en prévention. Donc, il y aurait peut-être intérêt d’utiliser des signatures métabolomiques, faire comme on fait chez les bébés, par des tests avec des panels un peu plus grands. Je ne parle pas de 1 300 chez un humain dans un processus clinique de routine, mais j’aimerais avoir un test métabolique comme on fait chez les bébés chaque année, pour éviter de mourir d’une maladie atroce. Donc, je pense que c’est là qu’on s’en va, vers une meilleure compréhension des mesures phénotypiques et de la réponse pour les patients.

Question

Bonjour. Denis Keseris de chez Gowling. Vous avez dit, au-delà des métadonnées <indiscernable 00:54:08> des données multimodales. Il y a une espèce de paradigme anthropocentrique de notre vision des données. Pouvez-vous nous donner quelques exemples de valeur qui peut être libérée par un changement de ce paradigme? Valeur économique ou même technologique.

Alexandre Le Bouthillier

Je ne peux pas toujours parler, mais dans ce qu’on voit comme données, on est habitué de traiter des données soit principalement visuelles et textuelles. C’est ça avec lesquelles on interagit. Mais il y a plusieurs types de données. Je vais vous donner un exemple qui n’est pas dans ce qu’on fait, la spectrométrie Raman. Est-ce qu’il y en a qui connaissent ça dans la salle? <indiscernable 00:54:58> Il y a plein de technologies comme ça où on, puis là je caricature un peu, mais essentiellement on envoie une lumière pure ou on peut envoyer une onde et on retourne et on mesure ce qui se passe. On peut identifier des substances, on peut identifier ce qui se passe sur une surface et on peut même aller sous la surface. C’est un exemple de données qui est difficile à interpréter pour un humain, mais pour lequel l’AI, bien, vous pouvez avoir des peaks et ces peaks peuvent être matchés, peuvent correspondre à certains types de substances. J’avais parlé d’ultrasons ou de résonance magnétique. C’est une donnée qui est dans un signal complexe, qu’on ne peut pas représenter sur un écran. Alors, ce qu’on fait, c’est qu’on projette un espace complexe dans un espace deux dimensions avec une vidéo. Le radiologue qui regarde un ultrason ou une résonance magnétique ne regarde pas le signal au complet. Ce qui se passe quand on fait cette projection, il y a du signal qui se perd. Il y a beaucoup d’appareils qui sont faits comme ça. Ils génèrent un signal très riche, mais il y a beaucoup de bruit et, pour que l’humain puisse le voir, il y a un paquet de processus pour nettoyer ce signal et quand on regarde l’image, bien, c’est plus clair.

Mais ça ne veut pas dire que dans ce bruit c’est tout du faux bruit, il y a de l’information. Et là où je veux vous amener, c’est que par exemple en radiologie, plutôt que de s’entraîner sur l’image que voit le radiologue, il y aurait intérêt de s’entraîner aussi sur les données brutes générées par le système. Des fois, c’est peut-être juste un 1 % ou une très faible quantité d’informations qui est perdue, qui n’était pas pertinente pour une interprétation, mais il y a du signal de cacher là-dedans. Je vais vous donner un exemple très simple. Lorsqu’on regarde les images en radiologie, c’est souvent pour identifier des lésions, pour voir quelque chose. Souvent, je vais dire, bien, c’est suspect, on va envoyer ça en biopsie. Mais les systèmes d’imagerie se sont perfectionnés. On arrive même à voir des patterns qui émergent, ils sont caractéristiques de mutation génétique. Donc là, c’est de la radiogénomique. Je suis en train de voir l’effet d’un pattern génomique en imagerie. Évidemment, un humain n’arrive pas à faire ça. Ça fait que c’est là où on s’en va, selon moi. On va s’entraîner sur des signaux autres que des signaux habituels. Ça peut être de l’infrarouge. Pour regarder un accident, regarder une substance. Ça peut être de l’acoustique. Donc, il y a tous ces signaux, toutes ces technologies existent là et l’IA peut faire des liens entre ça. Je peux m’entraîner sur des données traditionnelles, mais rajouter un nouveau type de données, puis là, oups, tout d’un coup je découvre des choses nouvelles.

Laurent Tillement

Sans rentrer dans les détails techniques, on a des systèmes de données qui sont très silotés. La santé, on va dire, on va regarder l’insuline pour savoir si c’est du diabète, on va regarder la pression artérielle pour savoir s’il y a des problèmes cardiaques, etc. et on va regarder paramètre par paramètre <indiscernable 00:58:21> la santé et la métabolémique, c’en est le parfait exemple. Ce n’est pas juste un paramètre physiopathologique, il y a le paramètre socio-économique, il y a les paramètres environnementaux, et la métabolomique peut mieux représenter le patient dans son écosystème. Tant qu’on regardera paramètre par paramètre, on ne pourra pas regarder la prévention, parce qu’on ne saura pas l’état du patient dans sa vie, dans son état, dans son environnement, où il est, comment il est et dans quelles conditions il est. L’IA peut faire ce lien. L’IA peut résumer ce lien au médecin pour donner au médecin plus de temps pour interagir avec son patient, pour poser des questions, pour avoir des réponses à des questions. En ayant en fond d’écran des résultats de métabolomique, génomique, etc., environnemental, pourquoi le patient est comme ça. Tiens, il vient de perdre son chien. Parce que, bien, c’est des choses au sud de notre frontière.

George Elvira

<rire>

Laurent Tillement

Le médecin peut mieux gérer son interaction avec le patient, peut mieux comprendre son interaction avec le patient et ensuite peut mieux répondre en apportant les meilleurs médicaments, les meilleures associations parce que son patient est à cet état dans son environnement à ce moment de sa vie.

Marc Vaucher

Il y a un autre bel exemple de regroupement de données qui permet de faire des interprétations nouvelles et qui révolutionne aussi la santé, c’est la révolution de la santé intégrative, c’est-à-dire la compréhension du parcours de soins du patient et de l’ensemble des  étapes de son parcours de soins, avoir une vision d’ensemble de toutes ces données. Parce qu’on a tendance à se concentrer sur une pathologie, une maladie, un examen, un service, un hôpital et, finalement, prendre le patient dans l’ensemble de son parcours de soins, avec l’ensemble des praticiens qu’il va rencontrer au cours de son parcours de soins. Il y a l’imagerie, il y a le médecin traitant, il y a les psychologues, les gens qui vont l’accompagner sur le plan physique, été. En cancérologie, c’est particulièrement une révolution qui est très importante. C’est de vraiment appréhender le patient dans son ensemble, parce qu’il y a énormément d’aspects qui sont nécessaires, doivent être appréhendés dans le soin du patient. Et ça, finalement, un système d’IA est particulièrement adapté à la prise en compte de l’ensemble de ces données pour finalement accompagner le patient et participer à prendre le patient par la main dans son parcours de soins dans des maladies comme ça, chroniques et complexes.

George Elvira

Merci beaucoup à vous trois. Écoutez, on n’a vraiment plus le temps, mais c’est super passionnant. J’avais encore plein de questions. Je vous invite donc tous à partager vos questions avec eux pendant la pause de réseautage. On va passer maintenant au panel numéro deux. Merci beaucoup, tout le monde.

[PANEL NUMÉRO 2 – LES ACQUISITIONS ET LE FINANCEMENT À L’ÈRE DE L’INTELLIGENCE ARTIFICIELLE]

George Elvira

J’inviterais mon associé, Marc, à monter sur la scène pour le deuxième panel.

 Marc Tremblay

Alors, merci. Le premier panel auquel on vient d’assister a comme un peu mis la table au niveau plus large au niveau de l’intelligence artificielle, les enjeux. Notamment, on a abordé brièvement les données, les enjeux liés aux données, brièvement une référence aux problèmes avec le droit d’auteur et d’autres, ce qui nous amène au panel numéro deux, qui est un panel un peu plus juridique, tout en gardant une saveur aussi d’affaires. On a un panéliste, qu’on va vous introduire plus tard, du milieu des affaires, mais qu’on voulait amener avec qu’est-ce que ça change dans le fond quand on a une transaction, soit d’acquisition ou encore un financement et que la cible soit utilise l’intelligence artificielle ou développe des outils d’intelligence artificielle.

Sans plus tarder, je vais vous introduire mon associée qui va animer cette table, ce panel plutôt. Julia Kappler est associée à notre bureau de Montréal et pratique dans le domaine de la publicité, du marketing et de la réglementation d’affaires. Elle touche également toutes les questions réglementaires en général, notamment des enjeux reliés au commerce électronique et de la publicité et est appelée dans des transactions, notamment, à regarder dans des enjeux de propriété textuelle ou réglementaires reliés à l’intelligence artificielle. Alors, sans plus tarder, Julia, s’il te plaît.

Julia Kappler

Merci, Marc, et merci à notre premier panel pour cette discussion fort intéressante. J’avoue que, moi non plus, je ne savais pas c’était quoi GPT. Ça fait que je viens d’apprendre plein de choses. Alors, revenons maintenant à un enjeu très proche du quotidien de bon nombre d’entre vous qui intégrez de plus en plus les technologies dans vos opérations. L’IA révolutionne les transactions d’acquisition et de financement dans le secteur des technologies. En effet, l’IA offre aux entreprises un avantage stratégique considérable et les investisseurs en sont bien conscients. Pour vous donner une idée de l’ampleur de ce qui se passe dans le domaine, selon le New York Times, entre avril et juin 2024, on a investi 27,1 milliards de dollars dans les start-ups spécialisées dans l’IA aux États-Unis. Cela représente près de la moitié du financement total accordé aux start-ups américaines durant cette période. Au Canada, nous observons également un intérêt croissant de la part des investisseurs et des acquéreurs pour les entreprises qui utilisent ou développent ces nouvelles technologies. Mais ce qui dit nouvelles technologies, dit aussi nouveaux défis, nouveaux enjeux juridiques et nouveaux risques. Lors de ce panel, nous allons donc explorer ceci avec nos experts multidisciplinaires. Je vous présente donc nos quatre panélistes pour ce matin.

Tout d’abord, notre invité expert, Stéphane Pilette, directeur, Investissements, chez Desjardins Capital, dans lequel il supporte les entreprises dans leurs diverses étapes de développement. Ensuite, on a Stéphane Caron, associé, au bureau de Gowling Ottawa, dans le groupe de Propriété intellectuelle. Ensuite, on a Stéphane Nasswetter, associé au sein du groupe Droit des affaires, du bureau de Montréal. Et, finalement, notre seul panéliste qui ne s’appelle pas Stéphane. On a Antoine Guilmain, qui a gentiment accepté la semaine passée de remplacer un panéliste qui n’était plus disponible. Antoine est associé et cochef du groupe de pratique national Cybersécurité et protection des données.

On va pouvoir aborder ces questions sous plusieurs angles. Comme vous voyez, on a des experts dans plusieurs domaines. Je vais commencer par notre invité aujourd’hui. Stéphane, peux-tu nous parler de l’IA et ses impacts pratiques de votre point de vue, soit celui de l’investisseur? Je vais vous laisser ça très large.

<ajustement du micro>

Stéphane Pilette

Merci beaucoup pour l’invitation. Expert, c’est un grand mot. Alors, Stéphane Pilette. J’ai le droit de pluguer Desjardins. Je ne sais pas si les gens connaissent Desjardins. <rire> Desjardins, grand Mouvement Desjardins, première coopérative financière en Amérique du Nord et dans le top 5 mondial, donc n’est plus à présenter. Je fais partie de Desjardins Capital, qui est une espèce de groupuscule. En fait, c’est un fonds fiscalisé. On connaît bien les fonds fiscalisés au Québec; celui de Desjardins, un peu moins. Trois milliards de fonds sous gestion, principalement dans des entreprises en croissance, donc en opération, qui font des profits. Et une petite portion, 10 %, qui est en capital de risque. Capital de risque, pour ceux qui ne connaissent pas, c’est ce monde obscur de capitalistes sanguinaires qui cherchent à faire de l’argent avec les idées des autres. Alors, voilà.

Notre point de vue évidemment, vraiment faire de l’argent, c’est le retour sur investissement. La vraie question, c’est : L’IA, c’est intéressant, y a-t-il moyen de faire de l’argent avec ça? Puis je pense, Julia, que c’est un peu la question que tu me poses et la question est toujours intéressante « Est-ce que l’IA, il y a de l’argent à faire avec ça? » Je pense qu’on ne pose pas la bonne question. Parce que l’IA, c’est un outil, c’est une technologie, c’est une nouvelle technologie. En fait, je ne suis pas sûr que c’est vraiment nouveau, parce que j’ai entendu « recherche opérationnelle et optimisation » sur le panel intéressant et ça m’a rappelé un cours à Polytechnique, au siècle dernier – Marc, quand ça commençait par 19 – et j’ai eu un petit tic quand j’ai entendu ces mots-là, mais ça existe depuis longtemps, la recherche opérationnelle de l’optimisation, et c’est des outils formidables. Ce qu’on a entendu sur le dernier panel, c’est formidable. Mais à la base, quand un entrepreneur vient me voir puis je lui donne le fameux elevator pitch de trois minutes pour me convaincre de m’intéresser à son histoire puis qu’il me plogue deux ou trois fois le mot IA, mon intérêt diminue, parce que ce n’est pas l’IA qui m’intéresse, c’est toujours encore le modèle d’affaires qui est derrière.

Pour moi, l’IA c’est, pour les amateurs de voitures, un turbo que je peux mettre sur ma voiture. C’est un horse multiplyer d’un modèle d’affaires bien établi. Je ne suis pas un expert encore. Je déteste le mot « expert ». En fait, je suis un généraliste, mais les 30 dernières années, il y a un cimetière jonché d’entreprises qui sont décédées mais qui utilisaient l’IA. Donc, le fait d’utiliser l’IA n’est pas un gage de succès d’affaires ou un succès financier. Pour moi encore une fois, l’IA apporte de nouvelles questions pour un investisseur. Pour un entrepreneur, c’est formidable. C’est à la fois un curse et un avantage de pouvoir utiliser ces nouveaux outils qu’on a depuis deux ans, puis des nouvelles questions. Parce que la première question qu’un investisseur va se poser, « oui, mais ça, est-ce que quelqu’un d’autre pourrait le faire avec ChatGPT? ». Donc, ça devient un compétiteur additionnel sur lequel un entrepreneur va devoir se positionner. Puis est-ce que c’est son utilisation, l’IA? Ou c’est certainement peut-être plus sa façon? C’est son modèle d’affaires encore qui devrait être encore plus robuste aujourd’hui, mais dans le temps. Parce que moi, un avantage compétitif aujourd’hui, c’est intéressant. Est-ce que cet avantage compétitif va être durable dans le temps, dans cinq ans, quand on va vouloir avoir notre retour sur investissement, nous, les méchants capitalistes? Cette question demeure encore et toujours importante.

Julia Kappler

Super. Merci, Stéphane.

< ajustement du micro>

Julia Kappler

Merci. Super intéressant. J’aime beaucoup votre analogie avec la turbo et la voiture. Puis effectivement, dans mon monde de la publicité, on entend très souvent le terme « AI washing », que tout le monde veut dire, ah j’utilise l’IA, j’intègre l’IA pour voir un peu, souvent trop loin, ou c’est vraiment le buzzword du jour. Mais effectivement, qu’est-ce qui se cache derrière ça qui… Il manque parfois un peu de substance. Ça fait que c’est un très bon point, puis c’est un dont on ne parle pas assez souvent. Maintenant, on va tourner ça aux avocats pour avoir leur position un peu plus juridique dans leur domaine de pratique. Encore une fois, je vais leur lancer une question très large, puis j’aimerais entendre des points de vue soit corporatifs, propriété intellectuelle et renseignements personnels. On va commencer avec Stefan Nasswetter, côté transactionnel. Peux-tu nous parler, qu’est-ce qui est particulier dans une transaction lorsque la cible utilise ou développe l’intelligence artificielle qu’on ne voit pas autrement?

Stefan Nasswetter

Merci, Julia. En fait, c’est une excellente question. Peut-être avant de me lancer, je préciserais quelque chose. De un, je suis en fusions-acquisitions, j’ai également une pratique en technologie de l’information. Vous allez voir que mes réponses vont également se coller à mes domaines de pratique. C’est certain que dans notre rôle en fusions-acquisitions, ce qu’on fait entre autres dans la vérification de diligence, c’est d’identifier les risques. Ultimement, avec l’avènement de l’IA, on va poser plus de questions. On va poser plus de questions pour essayer de comprendre là sont les risques, les apprécier, puis ensuite regarder les options qu’on a pour soit faire une allocation de risque qui fonctionne ou voir quelles sont les options alternatives pour gérer le risque.

Comme vous le savez, puis on a fait allusion à ça peut-être dans le panel un peu plus tôt, on est dans les débuts de l’IA. Il y a donc très, très peu de décisions en la matière de l’industrie. Puis ça change, ça évolue de manière assez rapide. Malheureusement, en droit, on est un peu à la remorque. Je pense que je ne me trompe pas quand je dis que mes collègues en litige utilisent encore le fax pour notifier les procédures juridiques. La loi n’a pas changé à ce niveau-là. Puis il y a beaucoup de projets de loi qui vont venir, justement, apporter plus de substance côté IA, puis ils vont encadrer l’IA. Il y a évidemment des projets de loi qu’on a vus, il y en a qui vont se développer par la suite. Ultimement, dans mon rôle en fusions-acquisitions, je vais faire appel à plusieurs collègues dans leur domaine d’expertise, soit au niveau réglementaire avec Julia, Stéphane Caron en propriété intellectuelle, Antoine Guilmain, évidemment, côté privacy, données, renseignements personnels, tout ça. Je fais appel à eux, puis à leur expertise, mais ultimement, bien, c’est ça.

D’un point de vue commercial, ce qu’on doit premièrement faire, comme on l’a déjà mentionné un peu plus tôt, c’est de scinder, en fait, l’utilisation de l’IA et le développement de l’IA. Dans les deux sphères, les risques sont quand même assez différents, même s’il y en a qui se recoupent. Il ne faut pas mélanger les deux bassins, c’est super important d’y aller un à la fois. Dans les deux, évidemment, on en voit. C’est-à-dire que si quelqu’un développe de l’IA, les chances sont qu’il en utilise probablement également, mais la réalité c’est qu’on va voir pas mal plus souvent quelqu’un qui va utiliser, ou des entreprises qui vont utiliser, l’IA même s’il n’en développe pas.

Alors, pour commencer avec l’utilisation de l’IA, la première question à se poser, c’est de comprendre ce qui est utilisé et comment. Ça commence notamment par savoir qu’est-ce que l’entreprise, justement, va nous dire comme utilisation, puis on va s’interroger. Est-ce que l’entreprise a les politiques ou directives qui guident ses employés par rapport à l’utilisation de l’IA? J’étais à une conférence la semaine dernière à San Diego sur des résultats préliminaires. Il y a encore une très, très grande proportion de firmes juridiques qui n’ont pas de politique à l’interne sur l’utilisation de l’IA. Les firmes juridiques sont probablement ceux qui sont les plus <indiscernable 01:14:22> au risque, ce qui va faire en sorte que les entreprises qui ne sont pas des firmes ont probablement encore moins de prévalence d’avoir une politique qui va guider leurs employés sur l’utilisation de l’IA, si on ne donne pas d’indication à nos employés s’ils ont le droit de le faire, mais les chances sont qu’il y en a qui l’utilisent puis on ne le sait pas. Puis peut-être que, justement, ils utilisent un modèle. Puis l’autre question, c’est : qu’est-ce qu’on utilise comme outil? Bien, il y a des outils évidemment qui sont gratuits. Généralement, c’est les plus problématiques. Et il y a des outils payants. Puis quel outil va aussi dépendre, en fait… La grosse question sous-jacente, c’est : qui est le fournisseur là-dedans? Est-ce que c’est un fournisseur qui a une bonne réputation? Parce que choisir son fournisseur, c’est plus important des fois que le contrat sous-jacent avec ce fournisseur-là. Et le modèle lui-même, l’intelligence artificielle est basée sur quel type de données? C’est-à-dire, est-ce que ce sont les données publiques? C’est at large ou si c’est des données fiables, etc. Évidemment, avec l’évolution, on voit tout type de peut-être un vaste éventail de produits spécialisés qui sortent, puis ils sont commercialisés et, ce qui les différencie beaucoup, c’est la fiabilité des données sur lesquelles ils sont entraînés.

Ensuite, comme je disais, il faut comprendre l’utilisation qu’on en fait. On va regarder évidemment l’intrant, c’est-à-dire ce que les entreprises vont mettre dans les outils d’intelligence artificielle pour essayer d’évaluer notamment est-ce qu’il y a un problème à ce niveau-là? Antoine en parlera certainement pas mal plus. Mais il y a l’enjeu de confidentialité, il y a l’enjeu de est-ce qu’on a mis des renseignements personnels là-dedans? Est-ce que ce qu’on a mis comme intrant peut former l’IA? Parce que si oui, on a un problème. Même chose par rapport aux extrants, c’est-à-dire est-ce qu’on est propriétaire de l’extrant? C’est quoi le droit d’utilisation qu’on peut faire par rapport à l’extrant? Je fais l’analogie avec les codes informatiques. On réalise à quel point il y a un potentiel de multiplication de la force d’une entreprise qui fait du codage, faire usage de l’intelligence artificielle pour coder. Si le modèle est basé sur les informations publiques, les chances sont qu’ils font donc référence, puis ils sont formés sur du open source. Ou « logiciel ouvert » en français, mais on l’utilise pas mal moins souvent. Si c’est quelque chose qui peut venir contaminer le code, qui va faire en sorte que l’entreprise ne sera plus nécessairement propriétaire du code. Peut-être que le code va devenir ouvert, lui, également. Donc, la question est super importante : sur quoi s’est basée l’intelligence artificielle pour produire le code? Et est-ce que l’intelligence artificielle nous indique, quand la réponse est fournie, où est-ce que cette réponse a été prise? J’imagine que ça va se développer au fur et à mesure. C’est-à-dire qu’éventuellement on va voir l’intelligence artificielle qui va nous produire un code qui va nous dire, bien, j’ai pris ce bout de code de telle licence open source, puis on va peut-être pouvoir choisir, ah bien, je ne veux pas, absolument pas de licence open source GNU, parce que ça contamine le code, mais les licences MIT, ça c’est correct. Alors, on va peut-être pouvoir dire éventuellement à l’intelligence artificielle, bien, voici ce que t’as le droit de faire, voici ce que t’as pas le droit de faire. Mais dans les pires scénarios, si, un, tu n’indiques pas à ton employé s’il a le droit de le faire, on pourrait se retrouver avec des logiciels open source sans qu’on le sache même et avec une intelligence officielle qui ne pointe pas vers ce qui a été utilisé pour produire le code.

Évidemment, d’un côté commercial, et je vais devoir être un peu plus rapide dans les réponses, on va regarder également les contrats qu’ils ont avec les fournisseurs, parce que c’est super important de regarder les droits d’utilisation qu’on a, donc les licences qu’on va avoir, l’indemnisation que pourrait avoir ou pourrait nous donner le fournisseur à l’égard de ce qui est produit par l’intelligence artificielle. Je fais notamment allusion à Copilot, mais j’imagine que Stéphane, tu en parleras bientôt, qui a fait justement des dévoilements à l’effet qu’il allait protéger leurs clients. Puis ce qui nous intéresse également, c’est bien beau de nous dire comme quoi Microsoft va protéger leurs clients qui utilisent Copilot, mais jusqu’à quel extrême? C’est-à-dire, est-ce qu’il y a des limites à leurs responsabilités? Donc, c’est toutes des choses qu’on va regarder.

Oui, évidemment, tu mentionnais l’idée du code source qui pourrait être contaminé avec le logiciel open source. La beauté, c’est qu’il y a des produits qui permettent d’identifier ce qui a été potentiellement utilisé comme logiciel, comme open source. Autant qu’on pouvait avoir à l’époque un employé qui prenait une banque open source pour l’intégrer dans le logiciel sans en parler à son patron parce qu’il n’avait pas nécessairement de directives ou de politiques par rapport à l’utilisation des logiciels open source, aujourd’hui on va avoir l’intelligence artificielle qui va peut-être nous fournir justement du open source sans qu’on le sache. Les deux peuvent être repérés par certains logiciels, ont des comparaisons au code ultime, code source ultime d’un logiciel pour voir s’il y a non seulement des modules entiers d’open source qui ont été intégrés, mais également s’il y a par exemple 10, 15 lignes de code qui ont été intégrées qui proviennent d’un logiciel open source qui pourraient être problématiques.

Ça, c’est pour l’utilisation. Pour le développement de l’IA, je serai très bref. Évidemment, il y a la question de données d’apprentissage, l’importance de la fiabilité des données. Mais il y a aussi la question de propriété des données d’apprentissage. Puis il y a tout un spectre. C’est-à-dire que des fois c’est collecté par l’entreprise qui développe l’intelligence artificielle elle-même. Donc, c’est relativement fiable à ce moment-là, c’est-à-dire qu’on s’assure <? 01:20:53> de la propriété. Des fois, c’est des licences qu’ils obtiennent pour utiliser les données, puis des fois dans l’autre côté du spectre, on a des ChatGPT de ce monde qui apprennent sur l’Internet en général et avec beaucoup de plus de problèmes évidemment par rapport à est-ce qu’on avait le droit d’utiliser cette information-là pour entraîner l’IA?

Au-delà de la question des données puis des banques de données, il y a la question de performance. Comme on le mentionnait plus tôt, il y a la question évidemment des erreurs, défaillances. C’est quoi la prévalence des erreurs ou des interruptions qu’on pourrait avoir avec l’outil qui est développé? Et ultimement on parlait d’IA responsable dans le premier panel. En ligne avec ça, puis avec la réglementation qui va probablement se former à cet égard, on se pose la question à savoir, est-ce que la cible a pris des mesures pour tenter d’identifier des biais dans les dans les algorithmes et les résultats qui sortent de l’IA également pour assurer une certaine explicabilité ou une transparence dans les résultats? Au final, on va avoir trouvé des risques. L’important, c’est de les contextualiser, les analyser avec nos clients pour regarder finalement quelles sont les options, puis comment qu’on pourra les gérer et allouer les risques dans le cadre d’une transaction. Je vais m’arrêter là parce que sinon je pourrais continuer pendant très long longtemps.

Julia Kappler

Super. Merci, Stefan. Super intéressant. Il y a énormément d’enjeux, un peu dans tous les sens. On va passer au prochain Stéphane, mais j’aimerais beaucoup revenir plus tard pour t’entendre un peu plus – tu soulèves plein de risques, de considérations – sur ce qu’on peut faire sur le plan concret, lorsqu’on est dans une transaction pour, en tant qu’investisseur ou acquéreur, se protéger pour tous ces risques. Mais pour l’instant, on va passer à Stéphane Caron avec un peu la même question. Du point de vue propriété intellectuelle, lorsqu’on est dans une transaction, qu’est-ce qu’il y a de particulier ou quels sont les points à considérer?

Stéphane Caron

Merci. Alors, comme Stefan à ma droite l’a indiqué, il y a des questions qui se rapportent au output et au input de l’intelligence artificielle. Je pense que l’intelligence artificielle et puis la propriété intellectuelle se connaissent depuis longtemps. Il a peut-être changé, je pense, de manière assez notable. Avec le boom de l’intelligence artificielle générative, on a maintenant un output qui peut être très visible. Ç’a vraiment focalisé l’attention des entreprises et ç’a aussi… La visibilité, évidemment, c’est aussi une composante dans l’évaluation de risques. Donc ça, c’est un premier aspect. C’est qu’avec l’intelligence artificielle plus visible, des activités qui étaient relativement peu risquées, c’est-à-dire que la récolte d’informations sur l’Internet, les questions de licence, les questions de droit d’auteur qui se rapportent à l’usage de cette information-là qui est disponible publiquement ou non attirait beaucoup moins l’attention. Finalement, un bot qui circule sur l’Internet, si finalement l’objectif est d’informer une intelligence artificielle pour reconnaître des visages, on n’a pas de output qui est identifié comme problématique. Alors ça, c’est une question. C’est cet output de l’intelligence artificielle qui est un output qui donc peut soulever des questions de violation de droit d’auteur. C’est une première caractéristique de cet output. Je vais y revenir.

Un autre aspect de cet output, c’est aussi que contrairement, dans le contexte d’une relation contractuelle entre deux parties, généralement c’est une partie amenait le contenu ou l’autre partie amenait le contenu et l’une et l’autre de ces parties avaient finalement l’occasion de vérifier que ce contenu ne violait pas de droit ou… Il y avait un contrôle sur le contenu. Avec l’intelligence artificielle finalement générative, on se retrouve dans une situation où on peut avoir un fournisseur de services qui offre un service pour générer, par exemple, de la correspondance ou pour créer de la musique ou pour générer du code. Et le output du modèle d’intelligence artificielle finalement va dépendre non seulement de l’entraînement – là où on a parlé d’entraînement avec l’utilisation de data, c’est sûr que ça, c’est une composante, les logiciels se sont optimisés à ces fins-là – mais on se retrouve aussi avec évidemment le input de l’utilisateur. Il peut avoir un impact sur si oui ou non le output va être, par exemple, en violation de droit d’auteur. Je dois souligner que le modèle de l’intelligence artificielle, ce n’est pas de générer des copies. Ce n’est pas un copy-paste, ça n’a jamais été un copy-paste, c’est de générer du nouveau contenu. Mais il est clair que dans certaines circonstances, les moteurs d’intelligence artificielle sont susceptibles de reproduire des composantes substantielles des matériaux qui sont utilisés pour les entraîner.

On a parlé tout à l’heure des assurances que Microsoft offrait à ses utilisateurs de les protéger en cas de… de les défendre en cas de poursuites de droit d’auteur, basées sur les droits d’auteur. Ce qu’il faut souligner, c’est qu’évidemment Microsoft donne ses assurances, mais en même temps ses assurances sont accompagnées par des obligations de mitiger les risques que l’utilisation des commandes et des instructions <indiscernable 01:26:40> génère des contrefaçons. Alors, ça illustre bien, je pense, dans ce cas-ci la question qu’il faut regarder de près. Les ententes sur ce plan-là, sur qui est la responsabilité du output du modèle? Et quelles sont les obligations de l’autre partie pour s’assurer que finalement ces assurances ne sont pas trop larges? Alors là, je parle en termes extrêmement larges, mais c’est pour moi vraiment un aspect important et unique du output de l’intelligence artificielle générative.

L’autre aspect, puis ça aussi on en a parlé, c’est l’aspect de l’information qui est utilisée pour entraîner toute cette partie. Parce qu’évidemment, l’intelligence artificielle, on l’entraîne, et tout ça inclut… ça produit une reproduction du contenu. Le droit sur ce plan-là… Tout le monde a lu les manchettes, les poursuites qui ont lieu au sud chez les Américains. Je vais donner à titre d’exemple le modèle d’intelligence artificielle Suno. Modèle fascinant. On lui donne des un thème, on lui donne un style de musique et Suno crée le texte d’une chanson, crée la musique pour cette chanson et crée la bande sonore de la musique de la chanson chantée. Alors, Suno est poursuivi maintenant par les compagnies de disques qui disent qu’en entraînant le modèle, ils ont violé les droits d’auteur aux divers enregistrements qui ont été utilisés. Suno ne remet pas en doute qu’effectivement ils ont utilisé la musique qui était disponible et qu’ils n’ont pas obtenu de licence spécifique. Mais évidemment ils plaident leur position et tant qu’il y avait un usage, c’était un fair use dans le contexte américain. On a un équivalent de fair dealing, de l’usage équitable, au Canada.

Alors, ce qui est intéressant, c’est que voilà un modèle. Comment ça va se résoudre dans un contexte où le droit reste en devenir au Canada, aux États-Unis et à l’étranger? Ça se règle petit à petit. Il y a ça, mais on peut voir parallèle d’autres modèles qui offrent, par exemple, de la musique – <indiscernable 01:29:16> par exemple, eux réclament bien, indiquent bien qu’ils ont utilisé dans l’entraînement du modèle de la musique qui n’était plus protégée par le droit d’auteur ou de la musique pour laquelle ils avaient obtenu les licences nécessaires. Alors, je pense que là il y a deux modèles. En bout de route, qui sera gagnant? Mais certainement dans une liste, parce que ça coûte cher de dépenser tous ces fonds de subventions à payer des avocats plutôt qu’à poursuivre les objectifs de la compagnie. C’est sûr que dans une analyse de risque, étant donné l’incertitude dans le marché, on doit quand même considérer la provenance de ces matériaux qui sont utilisés pour l’entraînement. Donc ça, je dirais que c’est quelque chose de très important. Et de souligner en passant que, on le sait bien, le droit d’auteur c’est comme un bouquet de fleurs, on peut donner différentes tiges à différentes personnes. Le fait qu’on a reçu la tige de, par exemple, utiliser des textes pour générer des documents à l’interne, ça ne veut pas forcément dire qu’on a obtenu des droits pour aller entraîner un modèle d’intelligence artificielle. Donc, je pense que sur ce plan-là il faut être attentif en regardant quels droits ont été accordés, quelles sont les conditions qui sont associées à ça.

Dernière chose que je vais ajouter, la troisième chose qui est très particulière à ce contenu qui est généré par le droit d’auteur, et ça on pourrait y revenir peut-être, c’est le fait que pour le moment si on parle de contenu uniquement créé par l’intelligence artificielle, ce contenu n’est pas protégé par le droit d’auteur. Alors, évidemment, si on parle de contenu qui est créé avec l’assistance d’intelligence artificielle et la participation humaine, là il y a protection. L’absence de participation humaine veut dire que le document ou le contenu n’est pas protégé. Dans certains modèles d’affaires, ce n’est pas grave. Dans d’autres modèles, ça peut être tout à fait problématique. S’il s’agit justement d’utiliser le droit d’auteur pour exploiter certaines créations, certains contenus, on veut avoir les droits, on veut que ces droits existent. Alors ça, c’est l’autre aspect. Est-ce qu’on est bien confortable que le contenu sur lequel on va s’appuyer, il y a eu une intervention humaine dans la production qui nous permet de revendiquer un droit d’auteur si on le veut? Je vais m’arrêter là.

Julia Kappler

Merci. Super intéressant. C’est sûr que je veux revenir sur ce dernier point. Maintenant, on va passer à Antoine. On ne peut pas parler de technologie puis d’intelligence artificielle sans parler de renseignements personnels. Donc, je vais céder la parole à Antoine pour nous parler un peu de la même chose, dans un contexte privacy, quels sont les enjeux qu’il voit.

Antoine Guilmain

Bonjour à toutes et à tous. La première chose, j’aimerais commencer avec la notion de renseignements personnels. Je ne vais pas vous mentir en matière transactionnelle, on n’y est pas quand on pose des questions en matière de renseignements personnels. Pourquoi je dis qu’on n’y est pas? C’est parce que le Canada change vite. On a eu la loi 25, qui a fait mal à pas mal d’organisations. On a eu le RGPD en 2018. Et moi, je suis impliqué sur pas mal de transactions à poser des questions sur les obligations des organisations par rapport aux lois sur la protection des renseignements personnels. Et je ne vais pas vous mentir, quand je demande une EFVP, c’est bien rare que je vois quelque chose. Quand je demande une cartographie de données, on me regarde avec des grands yeux. Quand je demande un registre des incidents de sécurité, s’il y en a un et qu’on a 24 mois, je suis chanceux. Donc, tout ça pour vous dire que je veux gérer les attentes en disant qu’on peut bien penser la responsabilisation des organisations en matière de protection des renseignements personnels, mais il faut également admettre que beaucoup d’organisations sont en train de revoir leur processus. Alors là, vous allez vous dire, bon, bien, très bien, on parle d’intelligence artificielle et là on nous parle de renseignements personnels. Les deux sujets sont évidemment liés, ils sont pourtant différents en ce sens que, quand on parle d’intelligence artificielle, la première chose, c’est qu’il y a un aspect donné évidemment pour développer un système d’intelligence artificielle. Et forcément, souvent, si c’est un modèle qui est supervisé ou semi supervisé, on va avoir besoin d’une quantité de données qui va nous permettre d’avoir, en bon français, un output. Donc ça, évidemment, les données souvent vont être de nature personnelle. Et aujourd’hui, on a une définition de « renseignements personnels » qui est de plus en plus large. D’accord?

Souvent on pense à renseignements personnels – nom, prénom, date de naissance, numéro de carte de crédit. Mais la réalité, c’est qu’on a une interprétation qui est de plus en plus large et libérale et donc votre opinion des éléments qui sont mis ensemble, qui sont agrégés, pourraient permettre de vous réidentifier indirectement. Donc, on a vraiment une quantité de données potentiellement personnelles qui peut être élevée. Le deuxième élément, c’est parce que quand on parle d’intelligence artificielle, aujourd’hui toutes les juridictions dans le monde se battent pour être précurseurs en matière de réglementation de l’intelligence artificielle. Et il faut regarder quelque part. Il faut se demander qu’est-ce qui semblerait fonctionner ailleurs qui pourrait nous aider à encadrer cette nouvelle technologie? Ce qu’on constate, c’est que la plupart du temps, on vient extraire des principes de renseignements personnels pour les intégrer dans des systèmes d’intelligence artificielle. Je vais vous donner un exemple.

Aujourd’hui, on a un projet de loi au fédéral C-27 qui intègre les éléments de protection des renseignements personnels et la nouvelle législation, la partie 3 <indiscernable 01:34:43> l’IAD, donc la Loi sur l’intelligence artificielle et les données, dans le même paquet. Donc il y a vraiment une… à tort ou à raison, moi je ne vous le cache pas, je pense que c’est deux choses différentes. Mais la réalité, c’est que beaucoup de gouvernements vont utiliser véritablement comme béquille la protection des renseignements personnels pour essayer de réglementer cette technologie. Maintenant donc, on a fait le point. Je vous le dis tout de suite, moi j’en pose des questions en renseignements personnels, en cybersécurité et j’ai des réponses qui sont plus ou moins utiles, si j’ose dire. Maintenant, <indiscernable 01:35:14> de systèmes d’intelligence artificielle utilisés dans un contexte transactionnel. Je vous le dis tout de suite, c’est assez nouveau. Et si je me mettais à poser des questions par rapport à ça, il y a vraiment peu de chances que des organisations aient quelque chose en place. Alors oui, on va avoir la fameuse politique sur l’utilisation de renseignements personnels, l’utilisation raisonnable, on les a toutes vues, ces politiques. Mais c’est bien plus complexe que ça en réalité, parce que souvent la première question qu’on va poser en matière transactionnelle, c’est : d’accord, vous utilisez l’intelligence artificielle, mais c’est quoi exactement? Est-ce que c’est un système à incidence générale? Un système de Gen AI? Est-ce que vous avez un système à incidence élevée en matière de biométrie? En matière d’emploi? Donc ça, c’est ce type de questions qu’on va essayer de déterminer pour voir à quel point c’est grave. Parce que si on utilise un système d’intelligence artificielle qui n’a pas d’incidence générale ou qui n’a pas de risque élevé pour les individus, alors oui, il y aura toujours des obligations de transparence, mais on n’est plus du tout sur le même niveau de risque en matière d’intelligence artificielle.

Le deuxième élément qu’on va se demander, évidemment, c’est : vous êtes où dans la chaîne de responsabilité? Parce que la réalité, c’est que vous avez celui qui développe et vous avez celui qui utilise. Et ça, cette approche, si on va un petit peu plus granulairement, la proposition de réglementation au fédéral fait la distinction entre celui qui rend disponible un système d’intelligence artificielle et celui qui l’opère. Et en Europe, on est une taxonomie qui est encore plus complexe, parce qu’on va distinguer le fournisseur du déployeur, du mandataire, du distributeur à l’importateur. Donc, on va essayer de se demander – c’est une sacrée machine à saucisses – vous êtes où là-dedans pour déterminer vos obligations? Donc, cette question du « qui » est intéressante, parce que tout le monde utilise l’intelligence artificielle. Mais est-ce que vous pouvez vraiment dire que dans la chaîne vous êtes celui qui développait? Donc, c’est un élément important à déterminer. Ça, forcément, de manière transactionnelle, on va devoir l’évaluer parce que sinon on passe à côté de quelque chose. Donc, on se demande le « quoi » (incidence générale, incidence élevée). On se demande le « qui » (développeur, distributeur ou tout simplement opérateur). On va se demander aussi le « comment » (vous avez quoi à l’interne?). Puis Stefan… L’avantage que j’ai, c’est que je peux dire, Stefan est toujours très concerné.

Stefan Nasswetter

<rire>

Antoine Guilmain

Stefan en a parlé. Stefan Nasswetter. Je voulais faire des couleurs à la base. J’avais le vert, le rouge et le bleu, mais toujours est-il que les couleurs sont parties. Mais effectivement, il y a beaucoup de cadres à ce niveau-là et souvent on peut de manière… Alors, c’est vrai et pas vrai, en ce sens que c’est plus un instrument pédagogique, mais on peut distinguer les principes. On a tous vu des principes en matière d’intelligence artificielle. Un petit peu… des principes qu’on aime tous. C’est comme la tarte aux pommes. Ensuite, on a les cadres. Et ça souvent c’est les normes. On a le cadre NIST <? 01:37:50>, on a ISO, on va avoir YUDIRIA <?> qui est développé en Europe. C’est des cadres qu’on va utiliser à l’interne, un peu plus opérationnel si j’ose dire, c’est l’objectif.

Le troisième élément, c’est vraiment la réglementation. Les réglementations dans le monde, tout le monde se développe par rapport à ça. D’ailleurs, le Brésil, Singapour, l’Europe évidemment, qui est encore fer de lance par rapport à ça. Mais la réglementation il n’y en a pas 36 000. Donc, le comment, on va se demander c’est : quels sont vos processus internes? Est-ce que vous avez un cadre de responsabilisation? Au fédéral, on va parler de accountability framework. Qui fait quoi? C’est quoi vos rôles et responsabilités? Est-ce que vous avez des politiques à l’interne? Donc, ça,vous allez poser des questions. Vous allez demander, est-ce qu’il y a une évaluation qui a été faite? Mais ça, les évaluations, c’est encore… Vous les connaissez. Les évaluations relatives à la vie privée, les facteurs relatifs à la vie privée – les EFVP ou les PIA (Privacy Impact Assessment). On connaît ça depuis longtemps. Tous ceux dans cette salle, dites-moi si vous avez énormément de PIA au sein de vos organisations. Probablement pas. Parce que ça prend du temps et souvent elles sont demandées pour tout projet. Mais en matière d’intelligence artificielle, on va s’attendre à avoir des évaluations qui vont déterminer non seulement les risques propres à un système donné et les mitigations pour limiter ce risque. Donc ça, on va se demander le « comment » (qu’est-ce qui est fait?). Et je ne vous le cache pas, à l’heure actuelle, moi, mes attentes sont assez basses. Je vois assez peu de choses à ce niveau-là. Et c’est normal, c’est naissant.

Finalement, il y a le « où ». Parce que si vous avez une cible qui est en Europe, au Canada, au Brésil, à Singapour ou en Chine, vous allez vous demander quelle est la réglementation par rapport à ça? Parce que la réalité, c’est qu’il y a des réglementations différentes et vous allez être obligé de vous demander, bon, bien, tiens, quel cadre j’utilise pour déterminer si oui ou non au niveau de leurs obligations ils se conforment à la loi. Et là il y a toute la question de la territorialité. Parce que la réalité dans notre monde globalisé, la plupart des lois ont un impact extraterritorial. Donc, même si on est au Canada, il est fort probable que le EU AI Act ait un impact sur vos activités si vous ciblez le marché européen.

Donc ça c’est des questions, je vous le dis tout de suite, qui vont se développer. Mais je vous mentirais si je vous disais que c’était quelque chose qui est très développé à l’heure actuelle et même qu’on ait des réponses qui soient satisfaisantes, minimalement satisfaisantes. Mais je pense que c’est le futur. On tend vers ça et comme la protection des renseignements personnels, il y a une courbe d’apprentissage qui va se développer. On va avoir de plus en plus de questions sophistiquées et les organisations vont se mettre au diapason. Je n’ai aucun doute là-dessus, c’est juste une question de temps.

Julia Kappler

Super. Ah?

Stefan Nasswetter

J’allais dire que je trouve ça super intéressant. Évidemment, comme tu le disais, on est au début, puis ça va se préciser avec le temps, puis il y a quand même… on va en trouver, des risques. Puis on ne se le cachera pas, comme tu disais, on pose beaucoup de questions, puis des fois on est un peu déçu des réponses qu’on obtient. Mais ça fait partie justement de toute nouvelle technologie. C’est un peu dans cette contextualisation du risque qu’on voit justement comment on peut aller de l’avant. Une des choses qu’on contextualise beaucoup, puis Stéphane Caron le mentionnait tout à l’heure, c’est la question de visibilité. Ça revient un peu à comment on l’utilise, par exemple. Mais je trouve qu’une image qui revient souvent dans ma tête quand je pense à ça, c’est la distinction entre « J’ai utilisé l’intelligence artificielle, il y a beaucoup de risques relativement à ça, mais on l’utilise pour des fins internes, puis nos employés qui l’utilisent » versus « Bien, c’est encore très risqué, mais on l’utilise avec des données ultrasensibles, puis c’est les clients qui le voient. Puis, évidemment, la chance de poursuite puis le risque n’est pas du tout le même quand c’est une personne, un tiers qui le regarde versus quand c’est mon employé qui le regarde ». Donc, déjà là, contextualiser le risque, pour moi la question de visibilité ou comment est-ce que c’est utilisé, a extrêmement un grand impact sur l’évaluation, l’appréciation que va en faire un client. Je me demande, Stéphane Pilette, j’imagine que tu le vois un petit peu de la même façon, c’est-à-dire que le risque puis la visibilité par rapport au risque doit avoir un certain impact du côté des affaires ou?

Stéphane Pilette

Bien, écoute, très certainement. L’industrie du capital de risque de manière générale est allergique aux risques. Mais si on attend un deal où il n’y a aucun risque, bien, on met la clé dans la porte, puis on attend que la question soit réglée, right? Donc, effectivement il y a… Puis je suis le seul ici qui n’est pas avocat sur le panel, mais la jurisprudence est minime dans ce qu’on voit. On ne sait pas ce qui va se passer. Plein d’expertise ici. D’ailleurs, je voulais vous lancer à la blague que s’il y avait un fonds spécialisé dans la facturation des avocats spécialisés dans le domaine de l’IA, je pense que j’investirais là-dedans parce qu’il y a beaucoup d’argent à faire, je pense, dans les prochaines années. Alors, vous me ferez là-dessus. Mais certainement ce risque-là est important. Évidemment, ça rajoute de la pression sur des modèles d’affaires et c’est important de venir les évaluer. Encore une fois en capital de risques, le risque n’existe pas. En fait, dans aucun domaine, le risque nul n’existe pas. Et c’est d’évaluer ce niveau de risque. La maturité, ce que moi je retiens de mon point de vue de généraliste, c’est la maturité des entreprises. Où sont-ils dans leur gestion de ces risques-là? La maturité de leur processus de gestion à l’interne, que ça soit des entreprises mammouth comme les institutions financières comme Desjardins, qui ont des processus établis, comment est-ce qu’ils viennent gérer, la maturité à gérer ces nouvelles technologies-là par rapport à leurs obligations légales de ce côté-là.

L’autre risque. Vous n’en parlez pas beaucoup, parce que c’est vraiment le risque légal, puis il y a une allergie au risque, donc c’est un peu votre principe. Il y a un autre risque. C’est l’adoption. Dans un modèle d’affaires, c’est aussi le risque d’adoption. Donc, peut-être passer plus du côté de la psychologie humaine, c’est-à-dire la résistance au changement. Et ça, tous les questionnements que vous amenez chez des utilisateurs, le client final qui va payer pour un produit ou un service développé va dire, ouais, l’IA, est-ce que c’est vraiment ça que je veux utiliser? Puis il va toujours poser des questions avant d’adopter une nouvelle technologie. Par exemple, en santé. On a eu des beaux exemples en santé. Mais le plus grand risque d’affaires, c’est le risque d’adoption. Parce qu’il y a toujours quelqu’un qui dit, ouais, c’est-tu vraiment… est-ce que par rapport à la pratique, les standards adoptés, est-ce que je veux vraiment adopter cette nouvelle façon de faire? Dans la pratique médicale, par exemple, ah oui, quelles sont les études là-dessus? Il va y avoir une résistance à ce changement-là. Donc, autre risque. Et il faut balancer ces deux risques, ces deux catégories de risques quand on est investisseur.

Stefan Nasswetter

<indiscernable> Vas-y.

Antoine Guilmain

Si je peux me permettre, sur le risque. Souvent le problème, c’est qu’en matière de protection des données, mon risque, il est élevé. J’arrive dans une situation, je dis, j’ai toujours l’impression d’être rabat-joie du groupe qui dit, OK, tout va mal, je veux dire. Et donc il faut donner de la granularité à tout ça en disant, comment est-ce que je fais pour…? Parce que le risque, ça veut tout et rien dire à la fois en droit. Moi, pour moi, j’ai trois manières de le ségréguer, de donner un indicateur un peu plus poussé que bas, moyen, élevé. Le premier élément, c’est le risque – et je vais utiliser le terme anglais, le risk under merit – sur le droit. Est-ce que vous êtes conforme aux dispositions légales? Et je vous le dis tout de suite, souvent mon risque est élevé à ce niveau-là. Je dis, OK, vous êtes quand même assez élevé par rapport à ça ou vous êtes moyen à élevé parce qu’il vous manque tout un tas de processus en matière de conservation de données. Ça, c’est toujours le petit oublié de la classe. Tout le monde a des données pour je ne sais pas combien d’années, ou il y a une politique de conservation de données qui n’est pas appliquée.

Le deuxième élément de risque, c’est le risk of enforcement, c’est-à-dire quel sera votre risque d’avoir des questions ou de demandes de la part des régulateurs ou des poursuites? Et ça, ce risque, il faut avoir le pouls sur ce qui se fait au Canada en matière de poursuites. On sait que la Commission d’accès est limitée en termes de ressources. On sait que le commissariat fonctionne comme un ombudsman. On voit aussi qu’il y a de plus en plus de demandes d’actions collectives au Québec et donc, forcément, on va essayer de gérer en fonction de cet aspect en disant, écoutez, peut-être que votre risk under merit est élevé, mais votre risk of enforcement est quand même assez faible par rapport aux juridictions dans lesquelles on parle.

Le troisième élément, c’est le risque qui est de nature contextuelle. Si vous êtes dans le domaine de la santé ou de l’éducation, surtout où les préoccupations qui sortent des régulateurs ou tous les projets de loi qui sortent pour protéger les mineurs ou les projets de loi en matière de santé. Mais là on va regarder ça, on va dire, OK, vous êtes quand même dans presqu’une no go zone. C’est-à-dire que vous devez avoir des processus plus élevés. Quand vous mettez à côté ces trois éléments, vous vous faites une idée assez claire du niveau de risque. Si vous êtes au rouge sur ces trois catégories, probablement que votre transaction va falloir que vous que vous le gardiez en compte, parce que sinon on passe à côté d’un élément assez capital. Si, en revanche, celui under merit – excusez-moi de l’anglicisme – est élevé, mais le reste est plutôt bas, par exemple, on a, que Stefan plus tôt, c’est un aspect interne utilisé par les employés et en plus on sait que dans les juridictions concernées on a eu assez peu de demandes, on n’a pas eu d’incidents, etc., mais là ça se travaille. C’est-à-dire qu’on est capable de dire, on va travailler sur un plan de remédiation, mais notre risque est tout à fait gérable. Et je pense que c’est une bonne manière de ségréguer les risques, parce que sinon c’est vrai, légal, on est tout le temps dans de l’élevé, puis finalement on ne va jamais avancer. Parce que c’est quasiment impossible d’avoir un portrait, surtout vu la vitesse à laquelle ça change – la réglementation, les risques, etc. Mais je pense que c’est une bonne manière de potentiellement se conceptualiser les risques et évaluer si oui ou non il y a des choses à négocier ou aller de l’avant ou pas. Je ne sais pas ce que tu en penses.

Stefan Nasswetter

Oui, je suis totalement d’accord. Puis j’aurais aimé en rajouter, puis poser d’autres questions que j’avais notées, mais malheureusement il ne nous reste plus de temps. J’aimerais terminer avec quelques petits faits que je veux juste lancer comme résumé de ce que j’en retiens. Si je le fais de façon très sommaire, je dirais, c’est sûr que ça change beaucoup, l’IA. Mais en même temps, on est encore en fusions-acquisitions, on fait l’analyse des risques, on contextualise, on fait une appréciation, on s’assoit avec nos clients pour en discuter puis voir comment ça fonctionne, est-ce que ça cadre avec leur plan puis leur appétit côté risque. Il faut absolument scinder entre l’utilisation, le développement et, troisièmement, dans toute transaction il y a des risques. Puis je reviens à ce que tu disais, Stéphane Pilette, et évidemment capital de risque. S’il n’y avait pas de risques, ça ne fonctionnerait pas. Il y a évidemment des risques qui dépendamment du client vont être tolérables. Ça me fait toujours penser à la situation suivante, puis que je vais paraphraser, la Silicon Valley, où est-ce qu’on dit, bien, on va commencer par voir si ton modèle d’affaires fonctionne; après ça, on va regarder si on peut régler les problèmes juridiques.

La réalité, c’est qu’il n’y a pas de transactions où il n’y a pas de risques. Puis évidemment, c’est l’extrême, la Silicon Valley, puis il y a l’extrême peut-être d’un bureau juridique qui ferait une acquisition où on ne voudrait vraiment pas beaucoup de risques. Mais on trouve justement beaucoup, beaucoup de solutions dans la mesure où on identifie puis on regarde le niveau d’appétit de risque de notre client et en regardant, en s’assoyant avec eux, on trouve des façons d’aller de l’avant. Donc, merci beaucoup.

Julia Kappler

Super. Excellent résumé. Merci. Merci à nos panélistes. J’ai l’impression qu’on aurait pu faire une conférence complète sur chacun de vos sujets. Je pense qu’on est rendu à la pause. Ou est-ce qu’on a le temps pour les questions? OK. Donc, s’il y a des questions... Non?

Stefan Nasswetter

Sinon, moi, j’en ai plusieurs.

PÉRIODE DE QUESTIONS

Question

Aujourd’hui, on exclut automatiquement, finalement, s’il n’y a pas une idée d’intelligence artificielle dans la compagnie. C’est quoi votre…?

Stéphane Pilette

Pas du tout.

Question

Ce n’est pas rentré un critère obligatoire?

Stéphane Pilette

<signe de tête non> Puis encore là, dans le financement, moi je suis une petite partie du financement qui s’appelle le capital de risque, qui a un créneau particulier, on va beaucoup regarder… D’ailleurs, les questions qu’on a ici, c’est très, très similaire. Je vous entendais parler. C’est très, très similaire à la propriété intellectuelle, par exemple. Il y a encore plein de risques en propriété intellectuelle. On fait des FTO, on fait ci, on fait ça pour essayer de réduire le risque. Mais à la fin de la journée, on ne peut pas prédire. Il n’y a aucune firme d’avocats qui va écrire avec son sang, de dire que votre propriété intellectuelle va être défendable, inattaquable. Il n’y a personne qui fait ça. Et donc, il y a une gestion des risques en propriété intellectuelle qui est très, très similaire à la gestion des risques en intelligence artificielle. En termes de financement, bon, c’est sûr que je ne suis pas dans un créneau qui va financer le développement d’outils. On n’est pas là. On est plus dans le financement d’entreprises qui ont un modèle d’affaires. On va développer une thèse d’investissement basée sur ce modèle d’affaires et ils sont des utilisateurs d’intelligence artificielle. Mais on soulève les mêmes questions que, par exemple, s’il y a développement du code avec du open source. Il y a des risques à utiliser du open source. Il faut faire des parallèles. L’IA, ce n’est pas incompréhensible, en fait. C’est incompréhensible pour des non-experts, mais en termes de gestion de risque, il y a des parallèles à faire. Il va y avoir de très grandes évolutions. Même chose que l’utilisation d’Internet il y a trop d’années. Il y a 30 ans, on se posait des questions, qu’est-ce que ça va donner? On est au même endroit. Ça va être fascinant ce qui va se faire. C’est fascinant, là, je veux dire.

On parlait d’IA éthique et tout ça. On peut même l’associer. Moi, j’adore la cybersécurité, qui est un risque. Vous allez voir les bons et les méchants. Les méchants hackers contre les bons qui essaient de se défendre. C’est un très beau parallèle à faire. Il y a des beaux… Pour moi, le secteur de la cybersécurité va être fascinant en termes de retour sur investissement si on choisit les bonnes entreprises. Parce qu’on a une guerre, on a une escalade des moyens, une course à l’armement entre les moyens pour hacker et les moyens pour se défendre. Et ça, dans les 10 prochaines années, il va y avoir de belles opportunités d’investissement pour faire un retour sur investissement incroyable dans ça. Il faut juste bien choisir les entreprises.

J’en ai profité pour faire un peu de millage sur la question, mais il ne faut pas absolument avoir de l’IA dans nos entreprises. Moi, ce que j’aime bien, c’est une propriété intellectuelle. Je suis beaucoup plus du côté deep tech, puis il n’y a aucune entreprise, que ce soit en deep tech ou autre, qui n’a pas du software. Probablement qu’il y aura un outil. Moi, je suis plus intéressé à l’utilisation de cet outil, puis comment est-ce qu’ils en font, comme je l’ai dit un peu au début, comme un force multiplyer du modèle d’affaires.

Stéphane Caron

Juste peut-être pour souligner, je pense que c’est important du point de vue des avocats ce que Stéphane vient de dire. C’est que les principes de droit continuent à s’appliquer. On a souvent l’impression de dire, ah c’est nouveau, c’est une technologie, on doit tout repenser. Je ne pense pas que c’est le cas, parce que ce qui est important, c’est de regarder les choses en gardant en tête le changement de circonstances qu’apporte l’intelligence artificielle dans des contrats, dans des ententes, puis dans le fonctionnement d’une entreprise, puis de voir que, par exemple, ce nouveau contenu qui apparaît, qui doit être traité ou qui doit être considéré de manière différente du contenu qui était produit par des humains avant, au point de vue propriété intellectuelle c’est important.

Stefan Nasswetter

Exact. Des fois, très souvent, c’est le même risque qu’on a toujours connu, mais on est propriétaire. Est-ce que c’est les renseignements personnels qui sont problématiques? Est-ce que la confidentialité…? Il n’y a rien de nouveau là-dedans, dans ces risques-là. Évidemment, les questions qui nous ont emmenés à identifier ces risques sont différentes, mais c’est vraiment plus ça qui change dans mon point de vue.

Stéphane Caron

Il n’y a plus de temps.

Stefan Nasswetter

On s’en va à la pause, alors on sera disponible pour les prochaines questions.

Julia Kappler

C’est ça. Les pénalistes seront présents lors de la pause. Ça fait que n’hésitez pas à leur poser toutes vos questions. Donc, merci.

George Elvira

Donc, je vous invite à aller prendre des rafraîchissements en arrière, discuter, poser des questions aux panélistes. On se revoit d’ici une demi-heure à peu près.

<pause – présentation PowerPoint – vérification du son>

[PANEL NUMÉRO 3 – LES TECHNOLOGIES FINANCIÈRES (FINTECH) : REVUE DES ENJEUX CLÉS EN FINTECH ET LEUR APPLICABILITÉ À D’AUTRES INDUSTRIES]

Marc Tremblay

Alors, on s’est engagé à finir à l’heure. Dans le dernier panel, on va essayer de faire ça un petit peu plus rapide. Le troisième, on va le débuter immédiatement, sans perdre de temps. Je cède la parole à mon associé, Naïm, qui va introduire même le sujet, parce qu’on veut aller plus vite. Merci.

Naïm Antaki

Merci beaucoup, Marc. Merci à toutes et tous d’être ici, aujourd’hui. Puis félicitations aux deux premiers panels. J’ai pris beaucoup de notes, même de mon côté. Le but du panel maintenant est de parler des enjeux clés qu’il y a en fintech. Le but est vraiment de regarder comment est-ce que ça pourrait peut-être un phare ou un indice dans d’autres industries aussi, n’est-ce pas? Les services financiers, c’est un domaine qui est hautement réglementé, mais qui en même temps a dû composer avec la technologie, des fois bien, des fois moins bien. On a la chance d’avoir avec nous Stéphane Bousquet, qui était à la Banque Nationale et puis qui va pouvoir nous en parler, mais qui est aussi VP Associé, Développement des affaires et Partenariats maintenant chez EnStream. Aussi un grand plaisir d’avoir avec nous Parna Sabet-Stephenson, qui est Associée, en Droit des affaires, comme moi, qui est la cheffe de notre groupe, qui est axé sur l’intersection entre les services financiers et la technologie. De mon côté, je suis le chef du groupe de Droit des affaires, à Montréal ici, et le co-chef de notre groupe national en Intelligence artificielle.

Alors, peut-être pour débuter, un petit tour de table. Stéphane, si tu peux nous parler un peu de ton parcours, puis un peu de qu’est-ce qui te passionne particulièrement dans ce domaine.

Stéphane Bousquet

Bien oui, certainement. Merci, merci à tout le monde de me recevoir, aujourd’hui. Une salutation toute spéciale à tous les Stéphane et à toutes les Stéphanie dans la salle. <rire> Je me sens bien entouré. Donc, écoutez, moi j’ai un parcours qui est un peu atypique lorsque vu directement sur papier. J’entame ma première année chez EnStream. EnStream est le fruit d’un joint venture – pardonnez l’anglicisme – entre les trois plus grandes sociétés de télécoms au Canada (Bell, TELUS et Rogers) et on se spécialise dans des solutions d’identification d’identité numérique, des solutions d’authentification et des solutions de prévention et de mitigation de fraude. Donc, c’est ma première année dans le monde des télécoms. La décennie précédente, je l’ai passée dans le secteur financier et mon tout premier chapitre d’une quinzaine d’années s’est passé dans le milieu des médias. Donc, un parcours un peu atypique, mais je vous rassure, il y a quelques fils conducteurs sous-jacents. En fait, mon leitmotiv depuis le tout début de ma carrière consiste à la transformation numérique et surtout la réinvention de la distribution en tirant profit des nouvelles technologies numériques. Et, enfin, il y a cette question de portabilité de la donnée et puis le droit à la portabilité de la donnée qui, depuis la fin des années 90, sont des sujets qui m’intéressent et qui me préoccupent.

Naïm Antaki

Merci, Stéphane. Parna?

Parna Sabet-Stephenson

Merci, Naïm. Très heureuse d’être ici parmi vous, aujourd’hui. Alors, je suis Associée, au bureau de Toronto. Je suis spécialiste en droit de la technologie et droit numérique. Ça fait environ 25 ans que je travaille, mais je dois dire d’après ce que le dernier Stéphane nous a dit, c’était quand même ce siècle. Ça m’a rassuré. Alors, j’ai commencé ma carrière en faisant droit de la technologie en général. Mais très tôt dans ma carrière, j’ai commencé à développer une spécialité dans le domaine financier, juste parce qu’il y avait tellement de demandes vraiment dans ce domaine par rapport à la technologie, à l’époque. Et ça, ça vient un peu le fait que Naïm a mentionné, il y a beaucoup de choses qu’on peut apprendre dans d’autres industries face à ce qu’ils ont fait, parce qu’ils ont commencé un peu plus tôt que les autres, peut-être, et ils ont eu plus de temps d’innover par rapport à ça. Alors, je suis responsable d’un groupe qui travaille à cette intersection. On appelle ça FSXT, à l’intersection des services financiers et la technologie. C’est un groupe multidisciplinaire. On a un peu de toutes les spécialités, mais vraiment spécialisé dans ce domaine. Je dois dire, c’est un domaine en général, que ce soit la technologie ou plus spécifiquement le domaine financier qui va avec, où on ne s’ennuie vraiment jamais.

Naïm Antaki

Merci beaucoup, Parna. Donc, rentrons dans le vif du sujet. Selon vous, et je vais commencer peut-être avec Stéphane, qu’est-ce que tu vois comme étant l’état actuel ou peut-être les enjeux clés, si tu avais à en choisir un ou deux?

Stéphane Bousquet

Oui.

Naïm Antaki

Pour quelqu’un qui connaît peut-être un peu moins ce domaine.

Stéphane Bousquet

Oui. Je dirais, il y a deux dimensions selon moi dans le grand espace numérique qui sont de la haute importance et puis deux dimensions qui sont à différents stades de maturité. Lors de mes trois dernières années à la Banque Nationale, j’étais responsable – puis évidemment je dis ça avec un grand biais parce qu’on est conditionné par ce que nous faisons dans la vie – du programme d’open banking. Pour moi, l’open banking a été un formidable chantier qui nous a permis collectivement de faire beaucoup, beaucoup d’apprentissage, des belles fondations qui ont été mises en place. Mais l’open banking, selon moi, n’est pas la fin en soi. L’open banking est la première étape vers la mise en place d’un écosystème beaucoup plus vaste, qui est celui de l’Open Data. Puisque les concepts – puis on va en parler un petit peu plus tard – sous-jacents de l’open banking s’appliquent à toutes sortes d’industries. À toutes sortes d’industries. Bref, ça c’est la première chose. On est dans une place maintenant assez, je dirais, confortable puisqu’il y a des bonnes bases qui ont été établies.

L’autre endroit, c’est un peu plus le chaos et qui est un domaine plus préoccupant pour moi, c’est celui de l’identité numérique. Ça devient, en fait… la situation n’est pas critique, mais on est à un point où si on ne commence pas à créer un momentum collectif entre le public, entre le privé, entre les différentes juridictions, on va se retrouver dans un moyen pétrin à assez court terme, merci. Encore une fois, on va en parler un petit peu plus en détail tantôt.

Naïm Antaki

Merci, Stéphane. Parna, de ton côté?

Parna Sabet-Stephenson

Alors, de mon côté, plutôt tout ce qui est juridique. Au niveau juridique, déjà on commence à voir de la réglementation, on essaye de se rattraper par rapport à la réglementation. Comme vous pouvez imaginer, la technologie, ça bouge très vite, c’est très difficile pour les lois de bouger tout aussi vite, alors on essaie de se rattraper. Ça ne veut pas dire que dans l’absence de la réglementation qu’on n’a pas eu de progrès. Bien sûr, des modèles d’affaires se sont développés. On a eu beaucoup de choses qui sont passées. Mais avec la réglementation, ce qu’on espère, c’est que ça va véritablement accélérer le rythme, déjà, et aussi permettre beaucoup plus d’innovation et de concurrence aussi. Déjà ça. Mais un des défis qu’on a malheureusement, c’est toujours qu’on a de différents niveaux de gouvernement qui doivent faire face aux problèmes juridiques, aux enjeux juridiques au niveau de la technologie. Ce n’est pas toujours quelque chose qui est au fédéral. Ça peut être fédéral, ça peut être provincial, parfois ça peut même être au niveau local. Et qui dit numérique, on veut bien sûr une certaine harmonie. Un utilisateur de produits numériques ne veut pas s’arrêter à la frontière d’une province ou à la frontière de son pays par rapport au service qu’il reçoit. Donc, avoir cette harmonie, c’est quelque chose qu’on aimerait avoir, mais bien sûr c’est beaucoup plus facile de le dire que de le faire.

Naïm Antaki

Merci. De mon côté, ce que j’ajouterais d’un point de vue d’affaires, je trouve qu’il y a un impact assez important sur la relation au client. Quand j’ai commencé à aller à une banque, on allait en personne. À un moment donné, et ce qu’on voit beaucoup, c’est qu’il y a différentes manières maintenant de faire affaire avec les banques ou d’aller chercher des services financiers. Mon point de vue va être peut-être coloré un peu par l’intelligence artificielle, mais il y a vraiment une crise de la confiance, actuellement. Quand je regarde d’un point de vue de gouvernance, qui est quelque chose que je regarde de près, comment est-ce qu’on peut s’assurer que des clients qui veulent ces nouvelles technologies et, en fait, peuvent avoir même des attentes démesurées par rapport à cette technologie parce qu’ils sont moins au courant des limites de ces technologies, comment est-ce qu’on peut continuer à répondre à leurs attentes tout en étant conscient des problèmes qui existent par rapport à ça? Et il y a trois points qui sont très importants : la question du talent, la question de la puissance de calcul, compute, et la question des données. On a parlé beaucoup de la question des données, parce que tout ça il faut le mettre en place. Donc, pour moi ce sont des concepts qui deviennent très importants, quand on pense à ces questions de technologie.

Ce qu’on va faire pour la prochaine partie peut-être, c’est de se concentrer sur certaines de ces technologies, parce que j’aimerais en apprendre plus, très honnêtement, et j’espère que vous aussi. Commençons peut-être avec ce concept d’open banking ou de système bancaire ouvert. Peut-être Stéphane, si tu peux nous expliquer qu’est-ce que ça mange en hiver, ça? Voilà.

Stéphane Bousquet

Oui. Je vais tenter de faire ça en deux minutes ou moins et ne pas en faire un cours magistral. Le concept de l’open banking en est un à la base qui est très simple. C’est un système qui permet la portabilité de données qui résident à l’intérieur d’une banque et d’assurer : qu’il soit porté vers un tiers parti, que ce soit une application tierce de fintech ou n’importe quelle autre application; que le tout soit fait en prenant bien soin d’avoir capturé le consentement de l’individu; de le faire dans une perspective où on adhère à un standard commun et où on adhère aussi à un principe de responsabilité fondamentale. Et là, vous m’excuserez, je vais sauter à l’anglais, juste parce que je l’ai tellement répété souvent en anglais. La formule francophone m’échappe. Liability flows with the data and rests with the party at fault.

Donc, à partir du moment qu’on adhère à ces principes, on a les fondations d’un système d’open banking. À la base, c’est de permettre à l’individu, au citoyen de prendre les données qui résident dans son institution financière et de les amener dans l’application de son choix.

Naïm Antaki

Si tu me permets une question de suivi, parce que je sais que tu es très… Ce qui est important aussi, c’est quel est le… On a une solution, mais il y a aussi un problème.

Stéphane Bousquet

Oui.

Naïm Antaki

Donc, pourquoi est-ce qu’on est arrivé avec cette idée d’open banking?

Stéphane Bousquet

Oui, bien sûr. Ici, c’est un beau cas. Que le Canada ait été considérablement en retard s’est avéré être une bonne chose. Parce que si on regarde historiquement la mise en place de régimes open banking un peu partout dans le monde, il y a eu des précurseurs, notamment au Royaume-Uni. Le Royaume-Uni, ç’a été déclenché de par une impulsion très politique. L’objectif, c’était de casser l’hégémonie de ce qu’on appelle maintenant le CMA9, les 9 grandes institutions financières britanniques. Il y a eu l’Australie aussi, où la mise en place d’un régime similaire visait à empêcher la poursuite de certains comportements jugés inadéquats. On va dire ça de même. Le Canada, lui, a eu le privilège de pouvoir bénéficier des essais-erreurs qui ont été faits dans ces juridictions et le système a été développé dans l’optique de saisir des opportunités d’affaires de voir à provoquer la création de nouvelles propositions de valeurs et, c’est ça, de pouvoir permettre aux citoyens d’avoir plus de choix au niveau des différents services financiers qui lui sont accessibles. Donc, dans ce cas-ci au Canada, je le répète, c’est une très bonne chose qu’on ait accusé un retard, puisqu’on voit au Royaume-Uni l’implémentation du système s’est faite de manière extrêmement douloureuse. Disons que les banques y allaient un peu à reculons. En Australie, c’était un autre problème. C’était plus un problème de portée et d’accessibilité au système qui s’est créé. Mais bref, voilà, c’est le contexte dans lequel on se trouve.

Naïm Antaki

Merci beaucoup, Stéphane.

Naïm Antaki

Parna, du côté du pouls avec la réglementation, notamment dans le cadre de ton expérience, j’aimerais que tu parles aussi par rapport à tout ce qui est venu depuis plusieurs années.

Parna Sabet-Stephenson

Je voulais dire que Stéphane est gentil de dire que c’est une bonne chose que ç’a pris longtemps. Il y a beaucoup de gens qui ne seraient pas d’accord avec lui, mais il y a bien sûr les deux revers. Alors, ça fait longtemps qu’on parle d’open banking au Canada. Ça fait depuis 2018. C’est à ce moment-là que le gouvernement a décidé qu’ils allaient regarder le mérite du système. À l’époque, on a regardé quel est le mérite du open banking. Il y a eu des consultations, il y a eu un comité qui s’est penché sur cette question. Ils ont même décidé de changer de nom. Le nom a changé plusieurs fois même, depuis. Alors, aujourd’hui, selon la loi, on n’appelle face à open banking, on appelle « système bancaire axé sur le consommateur ». Ils ont finalement essayé d’utiliser un nom qui permet aux gens de réaliser que le pouvoir est passé aux consommateurs, vraiment, mais ce n’est pas un nom qui s’apprête à vraiment savoir qu’est-ce qui se passe aussi. Au niveau mondial, on parle toujours d’open banking et c’est pour ça que dans toutes les discussions, on continue à utiliser le mot open banking.

Alors, ça fait environ six ans qu’on en parle. À l’époque, bien sûr, on était loin d’être en retard au niveau mondial, mais oui, il y avait déjà certaines juridictions qui avaient déjà commencé, dont l’Angleterre qui est bien en avance, et l’Australie aussi qui était vraiment un des premiers à faire le pas face à ça. À l’époque, il y avait beaucoup de juridictions qui ne le considéraient même pas et, aujourd’hui, ils l’ont déjà en place, ce système. On peut parler du Brésil, on peut parler de beaucoup d’autres pays, mais aussi certains pays, dont les États-Unis, qui ne le considéraient même pas. Ce n’était même pas à l’époque quelque chose qui était vu de super du tout. Mais aujourd’hui, ils sont en train de bouger.

Ce qui est intéressant de voir ce qui s’est passé maintenant, c’est que, puisque ç’a pris si longtemps – le gouvernement a reçu beaucoup de pression de bouger plus rapidement –, à cause de ça, très récemment, c’était au mois d’avril, on a vu un projet qui a été présenté. Après le projet de loi, ce projet de loi est passé.

<interruption – son coupe>

Naïm Antaki

Donc, Parna, tu nous parlais de l’état actuel du projet de loi, n’est-ce pas?

<son coupe – ajustement du micro>

Parna Sabet-Stephenson

Alors, c’est une loi qui a été passée au mois de juin. Cette loi, c’est le tome 1 de deux tomes, ce qui ne se fait pas d’habitude lorsqu’on est en train de légiférer. Ce qu’ils ont passé, c’est une loi. Techniquement, on a une loi qui s’appelle… il y a open banking, avec le bon nom que je vous ai dit auparavant. Il y a énormément de dispositions dans cette loi qui ne sont pas encore là. Alors, ce qui va se passer, c’est que cet automne on va avoir tome 2. Tome 2, ce qu’il va faire, c’est qu’il va déjà modifier la première loi qui a passé au mois de juin. Mais beaucoup de dispositions très importantes dans la responsabilité que Stéphane a mentionnée, ça reste à venir cet automne.

Après, ce qui est important de noter, c’est le fait qu’à la base, le système d’open banking, c’est la portabilité des données. Alors au Québec, c’est très bien que la loi déjà existe. Au niveau fédéral, ça n’existe toujours pas. Et c’est dans le projet de loi C-27 qui est en train d’être considéré aujourd’hui. Alors, il faudrait que ce projet de loi soit aussi passe afin d’avoir le droit de portabilité au niveau fédéral aussi. Ce que le ministère des Finances a indiqué, c’est si jamais ce projet de loi n’est pas au même niveau au moment où ils sont prêts à passer la loi sur le open banking, qu’ils vont devoir eux-mêmes donner le droit de portabilité des données juste au niveau financier. Donc, le fait que ce droit de portabilité dans la législation fédérale existe dans une loi qui n’est pas du domaine financier, c’est quelque chose de très positif. C’est le open data dont Stéphane était en train de nous mentionner. C’est le fait qu’on a, après, la possibilité de faire vraiment le open banking dans beaucoup d’autres domaines aussi. Open health, open telecom, open energy. Les possibilités, il y en a énormément. Donc, ça reste à voir, si on aura cette possibilité de le faire très bientôt ou est-ce que ça sera limité à open banking?

Je dois aussi dire que malheureusement, ce qui fait peur à tout le monde, toujours, c’est la possibilité encore d’une autre élection fédérale. Et qu’est-ce qui va se passer si on a encore une élection? L’élection est encore dans un an. On a espoir d’avoir les lois qui ont passé, mais si ça se fait plus tôt, comme on le lit tous les jours, ça sera un peu dangereux par rapport à notre avancement.

Naïm Antaki

Merci beaucoup, Parna. Côté identité numérique. Stéphane, qu’est-ce que tu vois comme l’état des choses, surtout lorsque tu étais au sein d’une entreprise en services financiers, puis maintenant que tu ne l’es plus?

Stéphane Bousquet

Oui. Donc, dans mon intervention précédente, j’ai emprunté un ton un peu plus alarmiste en parlant de l’identité numérique, parce que c’est tout le portrait qu’on a brossé à propos de l’open banking, mais au niveau de l’identité numérique c’est tout le contraire. Présentement, et d’autant plus qu’on se retrouve dans un contexte où les besoins pour les fondations d’une identité numérique forte au Canada sont plus forts que jamais. L’usurpation d’identité, la création d’identité synthétique, le trafic d’identité sur le dark web, tout ça et la fraude qui en découle sont des phénomènes qui font une montée en flèche. J’en suis un témoin de première ligne maintenant, de par mon rôle chez EnStream. L’état des lieux présentement au niveau de l’identité numérique, ce qu’il faut savoir – j’inviterais les gens et je peux peut-être partager la ressource plus tard – il y a un excellent papier blanc qui a été créé par un groupe qui s’appelle l’EQIN, l’Écosystème québécois de l’identité numérique. C’est un document qui peut être retrouvé ici et là chez les différents signataires, notamment Desjardins, Beneva, KPMG. Ils ont vraiment bien établi, comme on dit, the lay of the land.

La problématique à laquelle on fait face avec l’identité numérique, c’est que… L’identité numérique est un triangle à trois pôles. Encore une fois, je n’en ferai pas un cours magistral, mais ce qu’il faut savoir, c’est qu’il y a vraiment trois éléments qu’il faut maîtriser et pour lesquels il faut bâtir les fondations. 1) Il y a ceux qui émettent des attestations vérifiables. 2) Il y a ceux qui détiennent les attestations, donc nous, les citoyens, de par un portefeuille numérique. 3) Ensuite, il y a ceux qui vérifient les attestations. Or, ce qu’on est en train de voir au Canada, c’est qu’on a une douzaine de juridictions qui sont en train de se concentrer à différentes vélocités sur différents points du triangle, comme par exemple : Québec, qui travaille sur son projet de portefeuille numérique; l’Alberta travaille sur son projet de pièces d’attestation vérifiables numériques.

Au niveau de la vérification, c’est plus un mélange de privé et de crown corps qui s’en occupent. Non, excusez, même pas de crown corps, juste le privé : Interac, <indiscernable 02:39:08>. Même EnStream, on fait partie de cette partie-là. Au niveau des portefeuilles, c’est un mélange de public-privé. J’ai mentionné le gouvernement du Québec. Il y a Postes Canada qui a mis au marché un portefeuille. Évidemment, Apple, Google. C’est très, très, très morcelé et il n’y a pas de concertation présentement entre les différentes forces vives. Par-dessus tout ça, il y a le gouvernement fédéral où c’est « pas de son, pas d’image ». Plus encore, il y a vraiment, on sent vraiment une absence de volonté politique du côté d’Ottawa suite au fameux Convoi des camionneurs qui a créé un effet de bord absolument hallucinant au niveau de l’identité numérique, où là il y a… tu sais, ça traîne. C’est un concept aujourd’hui qui traîne avec lui toute une connotation négative de Big Brother, puis d’espionnage et que le gouvernement peut intervenir à tout moment, geler vos fonds, saisir vos biens. Bref, c’est ça. Donc, ça crée beaucoup, beaucoup de frousse présentement auprès des élus et des hauts fonctionnaires, à Ottawa. Donc, voilà.

Naïm Antaki

Merci.

Parna Sabet-Stephenson

J’ajouterais juste que l’identité numérique, bien sûr, est très, très importante pour tout ce qui est open banking, par exemple dans le domaine bancaire. C’est probablement le domaine qui a fait le plus de bruit, mais véritablement on en a besoin pour tout tester de notre économie. Donc, comme Stéphane est maintenant dans un tout un autre domaine, mais c’est véritablement quelque chose qu’on a besoin de mettre l’emphase dessus. C’est quelque chose qui nécessite encore une harmonie au niveau des différents paliers de gouvernement : fédéral, provincial, territorial, municipal même. Et ça, c’est quelque chose qui est un peu difficile à faire dans un pays comme le Canada.

Stéphane Bousquet

Est-ce que je peux ajouter quelque chose?

Naïm Antaki

Oui, bien sûr.

Stéphane Bousquet

Naïm, tu as mentionné en tout début de panel qu’un des enjeux en était un d’expérience client. Or, en l’absence d’une véritable identité numérique au Canada, on se retrouve aussi dans une situation extrêmement bizarre, où une banque, par exemple  – prenons le cas de la Banque Nationale, j’ai vécu de l’intérieur pendant 10 ans –, a fait un virage numérique considérable. Application mobile, Web, les différentes lignes d’affaires. C’est une institution financière qui est vraiment… qui repose sur des bases numériques extrêmement solides. Cependant – je ne vise plus la Banque Nationale, mais je vise toutes les banques – essayez d’aller ouvrir un compte aujourd’hui. Ou pire encore, je vais élever la barre, un compte de courtage direct. On est encore aux prises avec des rencontres en personne, présenter des preuves d’identité, des cartes plastifiées, des T4, des trucs comme ça. On s’échange des PDF ou des photocopies ou on se présente en succursale avec du papier. Ç’a aucun sens. Et puis les méthodes, je dirais numériques, les plus sophistiquées qui existent aujourd’hui et vous l’avez sûrement tous déjà vécu, c’est « Prenez un selfie, puis après ça, prenez une photo de votre pièce d’identité plastique ». Ce n’est pas sérieux. On est à l’ère de Midjourney. On a mentionné Midjourney tantôt. Créer des images de synthèse, falsifier des pièces d’identité, c’est une véritable farce. Donc, il n’y a pas juste la… Bien, oui, on entre dans le monde de la fraude aussi. Mais il y a la dimension de l’expérience client aussi qui est vraiment impactée de par l’espèce de persistance du plastique et du papier, mais dans un monde complètement numérique.

Naïm Antaki

Oui. Puis peut-être pour partager une expérience personnelle – ce n’était pas avec la Banque Nationale. J’ai téléphoné à ma banque où j’ai une question qui me dit « Est-ce qu’on peut enregistrer votre voix pour vous authentifier? » Et ma réponse a été absolument pas. Parce que justement, c’est très facile de cloner la voix, de faire dire quoi que ce soit. On parlait de input, puis de output multimodaux. Il faut faire très attention par rapport à ça. Je pense que cette question d’identité numérique dans le cas des différentes technologies dont on est en train de parler, le fait que les données deviennent ouvertes d’une manière ou d’une autre et l’intelligence artificielle et tout ça, d’un point de vue de gouvernance ou d’un point de vue comme dirigeante ou dirigeant, ce n’est pas seulement comment est-ce qu’on va utiliser ces technologies, mais surtout comment est-ce que ces technologies peuvent être utilisées pour nous causer des problèmes, causer des problèmes à nos clients, n’est-ce pas? Donc, c’est un impact qu’il faut… De toute façon, même si vous décidez que le open banking n’est pas pour vous ou que l’intelligence artificielle va être pour les autres pendant les six prochains mois, vous devez quand même, premièrement, réaliser que certaines choses vont être utilisées par vos employés, quoi que vous fassiez, n’est-ce pas? Ça, c’est un. Mais deux, qu’est-ce que vos concurrents et surtout qu’est-ce que les gens mal intentionnés peuvent faire? On parlait de gestion de risque à la pause avec quelqu’un. Comment est-ce que vos risques changent même quand vous, vous ne changez pas? C’est ça la question qui est névralgique selon moi, avec tous ces changements technologiques. Alors, à garder en tête.

Intelligence artificielle. Comme on n’en a presque pas parlé jusqu’ici, Stéphane, comment tu vois ça d’un point de vue de services financiers puis de <indiscernable 02:44:52>?

Stéphane Bousquet

Oui. Dans les deux panels précédents, j’ai entendu des interventions auxquelles j’adhère pas mal. Je ne me souviens plus c’est quel Stéphane exactement qui l’a mentionné. Mais aujourd’hui j’ai l’impression de revivre un énième Jour de la marmotte, d’un point de vue affaires, ce qui m’incite à beaucoup de prudence. Parce que trop souvent, je vois maintenant des dialogues ou des propositions de valeur, des modèles d’affaires où l’IA devient la fin en soi. L’expérience me… Avec le temps, on vient à développer une espèce de radar par rapport à ça. La dernière fois où j’ai vécu ça, c’était il y a quelques années avec le blockchain. Avant ça, le Web 2.0, le mobile. Ouais. Tu sais, à un moment donné, bien, tout le monde… ta proposition de valeur, c’est le jeu « une app ». Elle fait quoi, ton app? Donc, il y a cette dimension pour laquelle je fais preuve de beaucoup de prudence. Moi, ce qui m’intéresse présentement, puis c’est ce qui a été dit aussi précédemment, c’est où sont les problèmes d’affaires intéressants où l’IA peut venir à titre de levier de valeur, d’accélérateur et tout ça? Lorsqu’on a ces discussions, c’est là où le sujet de l’IA devient absolument passionnant. Mais c’est ça, c’est de résister à la tentation, à ce que l’outil devienne la fin en soi.

Naïm Antaki

Absolument. Par rapport au coût d’un point de vue réglementaire, vous en avez déjà entendu parler un peu, donc je vais peut-être me limiter à certains thèmes, parce que ça aussi, ça pourrait être quelque chose dont on pourrait parler pendant longtemps, vous avez entendu parler du EU AI Act par Antoine avant la pause. Cet aspect d’extraterritorialité, c’est quelque chose qui est très important. Ce que je vois, notamment, il y avait un sommet sur la concurrence qui a eu lieu spécifiquement sur l’intelligence artificielle lundi, puis auquel j’ai assez virtuellement. Ce n’était pas uniquement le Bureau de la concurrence, donc antitrust, qui était là. Il y avait des gens des entités sur le droit d’auteur (Copyright Board), la vie privée (Commissionnaire à la vie privée) et aussi les télécommunications (CRTC). Donc, comme on parle de partenariats sur le terrain entre les fintechs puis les services financiers, il y a aussi une question de partenariat qui est en train de se dessiner entre les différentes personnes au point de vue qui réglementent le tout. Quand on pense à une institution bancaire, il y a beaucoup d’institutions de réglementation auxquelles il faut penser. Dans chacune de vos industries, c’est aussi quelque chose qui est important. Donc, peut-être quand on parle de partenariat, à un moment donné il faut aussi parler de concurrence et puis de limites par rapport à la concurrence.

Un autre item dont on parle peut-être un peu moins, mais qui pour moi est très important, c’est toute la question de… Puis là je regarde Denis; on était à ALL IN jeudi passé pour une présentation, où il a parlé de questions de comment est-ce qu’on change la stratégie en propriété intellectuelle dans le monde de l’IA? C’est quelque chose qui est important pour les services financiers puis les fintechs, parce qu’évidemment il faut développer, il faut avoir des choses qui sont importantes, mais ça devient important même si vous êtes uniquement un utilisateur et que vous faites affaire avec ces fintechs. Donc, dans ce cadre-là, l’idée n’est pas de dire, on ne fait pas confiance à l’intelligence artificielle ou à d’autres domaines comme ceux-ci, mais de voir quels sont les risques qui sont associés à ça, mais aussi quel est le succès par rapport à la stratégie de IA.

Même si la loi est en évolution, comme on en a entendu parler, il y a déjà plusieurs items ou plusieurs – je m’excuse, je suis en train de penser en anglais pour une raison ou une autre – directives qui ont été données. Le problème qu’on a souvent quand on parle d’intelligence artificielle, c’est qu’on va dire, OK, vie privée, puis on regarde de manière un peu trop isolée la vie. J’ai parlé de vie privée en intelligence artificielle, c’est assez. Ou j’ai parlé de propriété intellectuelle en intelligence officielle, c’est assez. Il faut penser à plein d’autres choses. Mais la beauté, c’est que même si la loi n’est pas encore mise à jour, il y a déjà des principes qui ont été donnés spécifiquement par rapport à l’IA générative. Ces principes s’appliquent non seulement… ils ne sont pas précisément pour le domaine des fintechs, c’est quelque chose qui est très général. Par contre, ce qu’on entendait dire des instances réglementaires, c’est que les règlements qui s’en viennent en intelligence artificielle pourraient être spécifiques par rapport aux industries.

Pourquoi est-ce que c’est important? C’est important parce qu’ils n’existent pas encore. Les enjeux d’intelligence artificielle peuvent être très différents d’une industrie à une autre et donc vous avez l’opportunité dans le cadre des consultations de peut-être parler avec les gens au gouvernement pour qu’ils comprennent bien la situation sur le terrain. On parle du fédéral. Évidemment, tous les domaines publics aussi. Il y a le fait qu’au Québec, en février, ils ont parlé qu’ils travaillaient peut-être sur de la réglementation. En Alberta, en mars. L’Ontario en parle, etc. Il y a beaucoup de choses qui bougent. La responsabilité pour l’intelligence artificielle est déjà là, par contre. Il y a déjà eu plusieurs décisions au Canada qui ont été dans les journaux par rapport à ça.

Deux choses qui sont importantes, selon moi. En premier, ce qui va vous protéger, c’est ce que vous avez rédigé ou que vous avez négocié dans vos contrats. Parce que quand la loi n’est pas claire, on peut s’entendre d’un point de vue contractuel. Ça, c’est très, très, très important. La deuxième chose, c’est toute la question de culture. Puis on en parlait auparavant, la question de est-ce que les gens comprennent dans votre organisation? Pas les experts, pas les expertes. Monsieur et Madame Tout-le- monde, est-ce que ces gens comprennent les enjeux et les risques qui sont associés à ceci? Est-ce que vous avez une manière structurée? Chez Gowling, quand on a préparé notre politique sur l’intelligence artificielle, je faisais partie du working group par rapport à ça, on a commencé par la cybersécurité comme numéro un. Ensuite, on a dit, OK, on veut avoir un projet pilote qui n’a pas de données sensibles du tout. Ensuite, on dit, comment est-ce qu’on s’assure qu’il y a un not just a human in the loop, but a knowledgeable Human in the loop all the time? Et ensuite, on n’a pas fini, quelles sont les leçons qu’on peut tirer? Parce que tout change très rapidement. C’est donc pour ça que, selon moi, c’est très important de garder ceci en tête. La loi générale pour l’instant. Il y a certains indices, industrie par industrie, mais on sait que ce qui est en train de se passer en services financiers va se passer probablement d’une manière ou d’une autre dans ces autres industries.

Dans ce cadre-là, tu nous as parlé de décloisonnement des données, Stéphane.

Stéphane Bousquet

Oui.

Naïm Antaki

Est-ce qu’il y a quelque chose que tu aimerais ajouter par rapport à ce point-là?

Stéphane Bousquet

Oui, en fait. Je veux juste faire un petit peu de pouce sur un point que t’as soulevé quand tu disais qu’effectivement, l’open banking, la conversation nationale dure depuis 2018 et puis il n’y a toujours pas de loi. Cependant, une des choses que je retire de ce parcours des sept, huit dernières années, ce sont les apprentissages qui ont été faits au niveau de l’industrie et puis les principes qui ont été établis. Comprenez que même si à ce jour il n’y a toujours pas de cadre réglementaire et de loi en place, les principes qui ont fait consensus entre les banques, les fintechs, le gouvernement et puis les associations de droits de consommateurs font maintenant partie, je dirais, de l’espèce de vernaculaire collectif, ce qui fait en sorte qu’aujourd’hui personne n’attend vraiment dans le secteur financier à ce que la loi arrive pour commencer à développer les modèles d’affaires ou des propositions de valeur. Si c’était le cas, Flinks, pour ne nommer que ceux-là, parce que j’ai travaillé beaucoup avec eux, bien, n’existeraient pas. Ou n’existeraient plus. Or, ce que nous avons fait, nous, à la Banque Nationale lorsque j’étais là, c’est qu’on a collaboré avec Flinks dans la certitude que les fondations qu’on était en train de développer avec le gouvernement puis avec nos pairs dans l’industrie étaient les bonnes. Puis ç’a donné lieu à la naissance de différents produits qui sont aujourd’hui utilisés par plusieurs centaines d’entreprises et puis par la bande des centaines de milliers de consommateurs.

Ces principes, je les vois comme étant tout à fait applicables à d’autres industries, où on pourrait envisager des nouvelles propositions de valeur qui s’appuient sur la portabilité de données. Je les ai mentionnées rapidement : la nécessité d’avoir un standard au sein de l’industrie, la nécessité d’adhérer à un principe de responsabilité – the liability flows with the data – la nécessité de mettre en place un système d’accréditation. Quand on dit « open », ça ne veut pas dire free for all. Les participants qui sont à l’intérieur d’un système de portabilité de données doivent quand même être, appelons-les, des bons citoyens corporatifs, doivent avoir une bonne santé financière, doivent avoir les bonnes protections, justement, en cas de données (est-ce qu’ils sont capables de?) et la responsabilité leur incombe (est-ce qu’ils sont en mesure de dédommager ceux qui ont été lésés?), la capture de la gestion de consentement, droit à la vie privée, droit à l’oubli. Bref, tous ces principes qui ont été développés pour le système bancaire sont d’application. Bon, le terme est peut-être un peu gros. Mais universel. <indiscernable 02:56:04>.

Naïm Antaki

Merci beaucoup. Je sais que malgré les problèmes techniques on arrive à fin de ce panel. Peut-être juste une dernière question. Tu nous as parlé, Parna, du concept de finance intégrée ou de embedded finance, je pense que ça vaut la peine d’en parler.

Parna Sabet-Stephenson

Oui. Alors, c’est quelque chose qui me fascine, personnellement. Parce c’est la finance pour tout le monde. Vraiment, peu importe votre industrie, ça pourrait vous intéresser. Alors, ce que c’est, la finance intégrée ou embedded finance, c’est lorsqu’une compagnie qui n’est pas une compagnie dans ce domaine du tout a la chance d’intégrer des produits financiers dans ce que cette entreprise est en train d’offrir à ses clients. Ça peut être autant au niveau des consommateurs que ça peut être à d’autres entreprises. Par exemple, vous êtes une compagnie et vous fournissez de l’électricité. C’est vraiment votre domaine. Ça n’a rien à voir avec le domaine bancaire, mais vous avez des clients, vous avez énormément de clients et c’est très possible qu’aujourd’hui vous avez une application qui permet à vos clients de voir leur utilisation d’électricité par jour, par mois ou beaucoup d’autres informations. Vous avez la possibilité, à travers cette application, d’offrir des produits financiers à votre client aussi. Par exemple un compte de dépôt, un financement pour payer leur facture et tout ça peut se faire de manière sans friction. Pour le client, il ou elle va voir ça sur leur application, ils vont juste appuyer dessus, oui je veux faire une demande pour un compte, je vais l’ouvrir ou m’en occuper après. Et comme ça, il y a une banque derrière qui offre ce produit financier. Mais le consommateur ou la consommatrice ne va pas réaliser ça. Ça va faire comme si c’était la compagnie d’électricité qui était en train de s’occuper de ce financement. Vous avez probablement vu ce genre de financement par rapport à vos achats avec Affirm, avec Klarna et d’autres aussi. C’est peut-être une manière… On le voit toujours partout en ce moment. Mais les possibilités sont énormes.

Ce qui veut dire aussi, autant pour les institutions financières, ils peuvent multiplier la clientèle; autant pour les compagnies de technologie, ils peuvent offrir ça comme un service qui peut de soi être offert à d’autres compagnies qui n’ont rien à voir dans ce domaine; et aussi pour ceux qui n’ont rien à voir dans le domaine technologie ni dans le domaine financier, ils peuvent quand même offrir ce produit à leurs clients. Donc, quelque part, on a un monde où peut-être à l’avenir toute entreprise pourra faire une fintech.

Naïm Antaki

Merci beaucoup, Parna. Donc, quand vous pensez aux prochaines étapes au sein de vos entreprises, peut-être vous rappeler de certaines choses qu’on a entendues ce matin. Alexandre, qui nous disait que quand pense au changement technologique, il ne faut pas se limiter à remplacer du un-pour-un, quand vous pensez à ça par rapport au open banking, l’identité numérique, l’intelligence artificielle, embedded finance. Laurent, qui disait que penser à l’adoption, ça peut être un peu plus lent. Donc, c’est pour ça qu’il faut y penser tout de suite. Ne pas attendre à peut-être que… la réglementation arrive dans d’autres industries. Et de penser, comme l’un des Stéphane le disait, au fait qu’il faut penser à cette résistance au changement, mais aussi à la maturité de la gestion des risques, comment vous pensez à la gestion des risques et des opportunités. Merci beaucoup pour votre attention, merci.

PÉRIODE DE QUESTIONS

Question

Merci pour ce panel. Mon nom est Mika <?>, de chez Axelys <?>. Ce n’est pas du tout mon domaine. Donc, j’ai une question pratico-pratique. J’ai passé un peu de temps dans le domaine bancaire qui utilise souvent des systèmes informatiques archaïques à l’interne back-end <?>, etc. Quels enjeux voyez-vous en termes de risque, opérationnalité et autres, lorsqu’on pense au fait que ces systèmes archaïques n’évoluent pas du tout comparativement à la rapidité d’évolution de tout ce qu’on vend en fintech?

Stéphane Bousquet

Ma lecture de la situation… Évidemment, c’est un sujet TI fort complexe, alors je vais y aller le plus high level et mettre quelques généralités <son coupe>. Un risque que je vois est humain. Parce que plusieurs poor systems qui existent dans les banques sont des systèmes qui ont été développés voire dans les années 80. Ce sont des systèmes extrêmement robustes, ce sont des systèmes extrêmement résilients. Toutefois, l’expertise nécessaire pour maintenir ces systèmes se fait de plus en plus rare. Des programmeurs en Cobol… Moi, j’ai appris une Cobol à l’université en 91. Je ne suis pas sûr qu’ils donnent encore des cours. Peut-être. Mais je ne suis pas sûr qu’ils donnent encore des cours de Cobol de la même façon qu’ils le faisaient à Concordia puis l’UdM et tout ça. Donc ça, pour moi, il y a un risque humain très fort de ce côté-là. Au niveau de la résilience des systèmes, j’ai moins de craintes, parce que ce sont des systèmes qui ont fait leurs preuves et que, tout compte fait, les core systems d’une banque, ça enregistre des crédits et des débits, essentiellement.

Là où il y a plus de risques, je dirais, c’est dans les couches intermédiaires. Et sans pour autant le tomber dans de l’architecture de systèmes, c’est surtout là où il y a défis considérables, puisque les principes d’architecture sur lesquels se basent les nouveaux paradigmes, les nouveaux outils, ça s’appuie sur notamment des API. Alors que, quand on creuse un peu partout dans la couche intermédiaire d’une banque, on parle plus de micro services, puis d’autres types de trucs du genre. Donc, c’est ça, ce n’est pas la catastrophe, mais c’est sûr qu’il y a des défis considérables à l’intérieur de toutes les institutions financières canadiennes.

Parna Sabet-Stephenson

Un autre défi que je mentionnerais, c’est par rapport aux données en question. Elles ne sont pas tous sur un même système, où ça peut être portable très facilement. Donc, c’est le fait que les données existent sur tellement d’autres différents systèmes, mais aussi certains sont archaïques. Alors, dans ce cas-là, ce n’est pas si facile d’acquérir, de bouger les données de la manière qu’on penserait dans une fintech. Oui?

Stéphane Bousquet

Et je vais ajouter quelque chose. Cette complexité là a fait en sorte que, il y a une douzaine d’années, des entrepreneurs fintech astucieux ont décidé de s’appuyer sur le seul élément commun qui existait entre tous ces systèmes, c’est le système numérique que l’on connaît, et puis l’anglais ou le français, ou les langues parlées, où ça c’est des éléments communs standardisés. Alors, ce qu’ils ont commencé à faire, c’est une technique qui s’appelle le screen scraping. À défaut de s’appuyer sur des standards, ils développaient des algorithmes, des robots qui se connectent aux plateformes des banques au nom d’un client, et l’algorithme parcourt le HTML et reconnaît, ah ça c’est un numéro de compte, ah ça c’est un débit, ça c’est un crédit, ça c’est un solde, ça c’est une transaction, ça c’est un nom de marchand, et tout et tout. C’est comme ça que la donnée devenait portable. C’est une des raisons pour lesquelles le dialogue national a commencé au Canada sur l’open banking. C’est parce que ç’a été vu comme étant un risque. Le screen scraping est un risque. On ne peut pas permettre à des robots de se brancher sur des sites Web et des applications mobiles au nom d’un consommateur. Pensez-y. Je donne mon nom d’utilisateur, mot de passe à un robot, je lui dis « Go for it, va chercher le data, puis tout va bien, je te fais confiance ». Pas de consentement, pas rien. What can go wrong?, tu sais. <rire>

Naïm Antaki

Mais peut-être pour être optimiste, parce qu’il faut bien terminer sur une note optimiste, j’ai aussi vu certaines personnes qui disent, au lieu de se concentrer… Le problème des données est un problème très sérieux. Je ne veux pas le minimiser du tout. Mais en termes de processus, au lieu de dire, j’ai sept machines, puis j’ai sept autres machines, etc., si on revient au premier principe et on dit, quel est le problème qu’on essaie de solutionner? Et ensuite avec un AI stack, quelle est la meilleure manière de le faire? Peut-être qu’on est capable simplement de we can get rid of the Cobol, right? C’est possible de faire une réingénierie du système complet en ayant des nouveaux processus. Donc, au lieu de dire, j’ai ce problème qui est juste ici, de regarder tout puis de dire, bon, bien, qu’est-ce que j’essaie de faire et, comme ça, que le problème devienne un problème temporaire plutôt qu’un problème qui continue dans les années qui suivent. Et puis, ça ensuite, cette portabilité de données va être très difficile, mais dans un temps qui est restreint plutôt qu’un problème qui continue. Bref, il y a beaucoup de choses possibles et qui ont l’air d’être très intéressantes par rapport à tout ça.

[PANEL NUMÉRO 4 – LES COOKIES EN UNE BOUCHÉE : PRATIQUES MARKETING ET CONFORMITÉ LÉGALE]

George Elvira

Merci beaucoup au panel. C’était très, très, très intéressant. Merci. Donc, on est rendu au dernier panel de ce matin. Je sais qu’on a vu énormément de trucs alentour de l’intelligence artificielle. On voulait peut-être changer de sujet pour le dernier panel. Ce n’est pas parce que ce n’est pas de l’intelligence artificielle que ce n’est pas important. En fait, c’est très important. On va parler de quelque chose qu’on appelle en français – d’ailleurs, c’est la première fois que je voyais ça en français –des témoins de connexion, mieux connus sous cookies. Je ne connaissais pas le mot en français, Mika <rire>. On partage avec vous des cookies pour que vous puissiez vous mettre dans le contexte du panel. J’ai mes deux collègues en Cybersécurité et protection des données qui vont venir nous expliquer les risques, les opportunités et les défis dans ce domaine. La parole est à vous.

Antoine Guilmain

Bonjour à toutes et à tous. Ça devrait être illégal de faire une conférence à midi pile. Mais je vais vous faire une promesse, ça va durer absolument 20 minutes, 25 minutes peut-être. On va parler de cookies, qui n’ont rien à voir nécessairement avec l’intelligence artificielle. C’est drôle, parce que Heting, ma collègue, me dit, ah mais on ne parle pas d’intelligence artificielle, est-ce que c’est OK? Je pense que c’est tout à fait OK, en ce sens que c’est un sujet qu’on voit de plus en plus souvent. On voit les bannières sur les sites Internet. On pourrait penser que c’est fini comme enjeu, mais j’ai énormément de clients qui me contactent encore, que ce soit chef du marketing, chef du Juridique, qui viennent me voir qui disent, écoutez, on a une bannière, on a moins de signaux de la part des internautes, comment est-ce qu’on fait pour essayer de maximiser le retour qu’on peut avoir pour optimiser notre site Internet, mais en même temps en se conformant à la loi? Donc, c’est un sujet d’actualité. La formule qu’on vous propose, c’est tout simplement de passer en revue quelques biscuits chinois, qui ne s’appellent pas en fait des biscuits chinois, c’est des biscuits de fortune. Et pourquoi? C’est parce qu’en fait ça ne vient pas de Chine, ça vient du Japon. Donc ça, c’est bon à savoir. Il y en a à peu près 3 000 000 qui sont faits par année en termes de production. Vous avez peut-être remarqué que généralement il y a des petits mots dedans et on a l’impression que c’est toujours les mêmes en fait. « Aujourd’hui, vous allez être lumineux. » « Demain n’ira pas bien. » C’est tout simplement parce qu’il y a une base de données. Peut-être que l’intelligence artificielle pourrait aider un petit peu. On en a en tout 15 000 apparemment qui tournent tout le temps. Généralement, il y a des fautes d’orthographe. Vous allez voir que dans celle de Gowling il n’y a pas de fautes d’orthographe. J’aurais pu en demander une. Mais toujours est-il qu’on va utiliser ça comme prétexte pour passer en revue lesdits, en tant que tels, biscuits qui sont les 10 questions qui sont les plus populaires en matière de cookies.

J’ai déjà donné cette formation, mais je dois admettre que j’ai tout le temps ces questions. C’est le sujet qui revient et je me suis dit que ça serait intéressant potentiellement dans le cadre du Forum Tech d’en parler. Je suis accompagné aujourd’hui d’Heting qui s’est joint à nous il y a combien de temps?

Heting Xu

Il y a deux semaines et demie.

Antoine Guilmain

Il y a 2 semaines et demie. Je lui ai dit, écoute, on va présenter ensemble. Elle m’a dit, oui, sans aucun problème. On a attendu à peu près 10 jours avant de parler de la présentation. Puis là elle me dit, écoute, il faut qu’on en parle, ça avance. Finalement, on s’est réparti les questions un petit peu au dernier moment. Ce matin je lui dis, écoute, ça va durer finalement 20 minutes au lieu de 50 minutes. Tout ça pour vous dire qu’Heting est assez extraordinaire. Heting est assez extraordinaire, parce qu’elle arrive à s’adapter à toutes les situations. On travaille ensemble avec l’équipe Protection des données et cybersécurité sur notamment ces enjeux, mais pas qu’eux. Donc, ce qu’on va faire, c’est qu’on va <son coupe 03:10:10>. Ça devrait fonctionner, normalement.

HEting Xu

On va avoir des problèmes technologiques en premier, comme d’habitude.

Antoine Guilmain

Ah, c’est bon. Première question à se poser, c’est : c’est quoi en tant que tel un cookie? C’est une question qui est assez simple. On les voit partout à l’heure actuelle, mais en fait ce sont des témoins de connexion. On les utilise en anglais, on dit cookies généralement, parce que sinon c’est moins évocateur. C’est un petit fichier texte qui va véritablement s’installer sur un navigateur et qui va permettre potentiellement de vous retracer ou du moins vous identifier. Pas personnellement, mais votre appareil. Et donc là il y a toute la question si c’est un renseignement personnel ou pas; on va y venir. Ça, c’est le principe du cookie, qui est un petit fichier texte. Il faut le distinguer du pixel, qui lui est un petit fichier en termes d’images qui, lui, va être nettement plus efficace si j’ose dire en termes de ciblage, en ce sens que dépendamment si vous changez d’appareil, vous allez pouvoir toujours être suivi par le pixel. C’est vraiment la différence qui est importante entre les cookies et les pixels. Je vous le dis tout de suite, de manière générale, on fait l’amalgame de ces technologies. On parle de technologie, de profilage ou de suivi et on va généralement inclure tous azimuts le cookie, le témoin de connexion, le pixel, le beacon, le tax. C’est généralement ce type de technologie dont on parle. C’est en tant que tel ce dont on parle. J’aimerais vous dire que ce n’est pas nécessairement mauvais. D’accord? Parce que souvent ce qu’on peut lire, c’est que, bon, on se fait cibler et, dépendamment de la génération, il y a certaines générations qui vont dire, moi, ça ne me pose aucun problème, je n’ai rien à cacher. Ou il y en a d’autres qui vont dire, moi, ça me gêne énormément, je n’aime pas être ciblé. Mais il faut bien saisir que les cookies sont très différents entre eux. On va avoir des cookies qui vont vous permettre tout simplement de sauvegarder votre panier. Par exemple, si vous êtes en train de faire un achat en ligne, vous revenez sur un site, on va pouvoir voir un petit peu, mémoriser, sauvegarder votre choix dans votre panier. Pareil pour une vidéo. Vous visionnez une vidéo, vous revenez sur le site, on vous ramène au point où vous étiez en train de visionner votre vidéo. Il y en a d’autres qui vont être nettement plus intrusifs en termes de ciblage, par exemple, pour vous pousser de la publicité ciblée. C’est important de le noter, parce que tous les cookies ne se valent pas en tant que tel. Je pense que c’est assez fondamental.

On va y venir, notamment pour la deuxième question qui est adressée à Heting en l’occurrence : quelles sont les différentes sortes de cookies qu’on peut voir le plus souvent?

Heting Xu

Oui. Donc, on peut parler de différents types de cookies et de différentes catégories de cookies. Premièrement, les types de cookies. On va parler aujourd’hui de deux types spécifiques. Les first party cookies et les third party cookies. Comme leur nom l’indique, c’est des cookies qui proviennent de sources différentes. Maintenant, les first party cookies proviennent du site qu’on consulte. Ils sont créés par le site lui-même. L’objectif principal est de vraiment de personnaliser l’expérience utilisateur. Antoine l’a mentionné un peu, le fait de se souvenir du compte, de se souvenir du mot de passe, c’est surtout grâce au first party cookies. Maintenant, de l’autre côté, third party cookies, le nom l’indique aussi, ils sont créés par d’autres domaines. Ils peuvent viser la publicité, les contenus intégrés. L’objectif final des third party cookies est vraiment pour avoir le suivi des activités pour, entre autres, la publicité ciblée. Ce qui m’amène maintenant aux quatre différentes catégories de témoins de connexion.

D’abord, les cookies nécessaires, les cookies fonctionnels, les cookies de performance et, ceux qui nous intéressent le plus, les cookies de ciblage. Maintenant, ça veut dire quoi? Tout d’abord, les témoins qui sont nécessaires sont, comme le nom l’indique, essentiels au fonctionnement en tant que tel du site Internet. L’objectif est vraiment de pouvoir accéder aux fonctionnalités de base, par exemple les fonctionnalités de connexion.

Maintenant, les cookies fonctionnels mémorisent les choix de l’utilisateur. Par exemple, si on consulte un site en anglais ou en français, on utilise la localisation. On est situé au Québec, au Canada ou autre part dans le monde. Donc, tout ça va personnaliser l’expérience de navigation de l’utilisateur en tant que tel.

Troisième catégorie, les cookies de performance, qui viennent collecter des données sur l’interaction avec le site. Donc, les pages consultées, les liens que l’utilisateur cliquent, le temps, la durée de temps qu’on passe sur chaque page de l’Internet. Tout ça est collecté par les cookies de performance afin d’améliorer encore une fois la performance du site Internet. Finalement, Antoine l’a mentionné un peu plus tôt, les cookies de ciblage qui viennent vraiment suivre l’activité en ligne pour créer différents profils utilisateurs pour vous pousser à avoir des publicités personnalisées. On aime bien celui-là, il est très, très spécial parce que ça va engendrer des obligations légales qu’on va voir par la suite.

Antoine Guilmain

Oui. Vous voyez sur l’écran, ce que je trouve intéressant, c’est que vous pouvez faire l’analyse vous-même. Vous avez en fait des systèmes qui s’appellent des cookie checkers qui sont d’une qualité variable. Je ne vais pas vous mentir, il y en a certains qui sont… Il y en a un qui s’appelle YesCookie <? CookieYes 03:15:02>. Il y en a un qui s’appelle CookieScan. En fait, nous, on s’est amusé à analyser le site de l’IAPP, qui est le International Association of Privacy Professional, qui offre tout un tas de certifications et on s’est demandé, qu’est-ce qu’ils ont comme cookies? Donc, on a utilisé CookieSript pour voir ce qu’ils ont – faites-le pour votre organisation, ce n’est jamais mauvais – et on voit qu’ils ont à la fois des first party cookies. Ils en ont cinq. Mais ils n’en ont aucun des third party cookies. On voit dans les distinctions qu’il y en a certains qui sont strictement nécessaires, d’autres de performance, d’autres qui seraient fonctionnels et certains de ciblage ou non classifiés. Je vous le dis tout de suite, c’est ça la difficulté sur le plan opérationnel. Parce que généralement votre équipe marketing va venir vous voir et vous dire, écoute, c’est comme ça que je les classe et puis c’est tout. Nous, notre rôle, ça va être de poser des questions, de dire, écoutez, vous avez… Moi, je commence à en voir des cookies, je veux dire. À terme, je les vois de temps en temps comme strictement nécessaires dans performance ou dans ciblage. Et généralement il va y avoir une communication pour voir un petit peu où est-ce qu’on doit les mettre. Parce que ces catégories, elles sont artificielles, elles n’existent pas dans la loi. Donc, c’est vraiment des catégories qui découlent de l’industrie et qui sont véritablement adoptées, surtout sous une influence européenne pour aider l’internaute à comprendre ce qui se passe. D’accord? Donc ça, c’est bien important à garder en tête. Et généralement, ce que je fais pour avoir la bonne information, c’est qu’avant de rencontrer un client, je vais passer le site sous différents cookie checkers pour voir un petit peu ce que j’ai. Ça ne veut pas dire que je prends ça pour acquis. Jamais, au bout du compte, mais ça me donne une petite idée.

Puis le deuxième élément, c’est que je vais demander à l’équipe marketing de me donner leur classification de cookies. Et c’est intéressant parce que souvent je vois un écart qui est absolument abyssal entre ce que j’ai d’un côté et de l’autre et, généralement, on va essayer de discuter pour comprendre pourquoi on a un tel écart dans ces pratiques. Donc ça, c’est quand même assez intéressant. C’est à la disposition de tous, c’est d’une simplicité redoutable, mais ça permet quand même de se situer, de mieux se situer par rapport à ces pratiques. Ensuite, on passe à une autre question très rapidement, est-ce qu’un cookie est un renseignement personnel?

Antoine Guilmain

Je vous dirais que oui et non, en ce sens qu’un renseignement personnel, c’est ce qui permet d’identifier une personne physique. Par voie de conséquence, si on peut identifier un appareil, la question à se poser c’est, est-ce que véritablement on peut remonter à l’individu? Aucune autorité de contrôle s’est prononcée de manière active par rapport à ça. On s’intéresse à la publicité comportementale, mais on ne va pas au fond du sujet en disant, est-ce qu’un cookie en tant que tel est un renseignement personnel? Est-ce que je vous dis que c’est une mauvaise chose? Je pense que c’est plutôt une bonne chose, parce que c’est très contextuel. Ça va dépendre du témoin de connexion dont on parle. Ça ne veut pas dire que si on a un témoin de connexion, il y a forcément du renseignement personnel. Ça, c’est intéressant de le garder en tête. Je veux quand même faire une petite référence à la décision Bykovets. Bykovets, décision de la Cour suprême du Canada, d’il y a quelques mois. On les aime, les décisions de la Cour suprême du Canada, parce qu’il n’y en a pas 36 000 et on voit que, de plus en plus souvent, la Cour suprême du Canada se prononce sur des enjeux de vie privée. C’est intéressant parce qu’on s’intéressait à l’adresse IP. On vient dire à la Cour suprême du Canada, pas nécessairement dans un contexte de renseignement personnel secteur privé, mais dans un contexte de fouille, l’art. 8 de la Charte canadienne. La majorité de la Cour suprême du Canada, c’est une décision partagée, vient dire qu’il y a une expectative de vie privée sur l’adresse IP. On ne dit pas que c’est un renseignement personnel. On dit qu’il y a une attente de vie privée par rapport à ça. C’est intéressant, parce que ça donne un signal. Un signal pour les organisations, mais aussi un signal pour les régulateurs qui vont véritablement prendre en compte cette décision pour peut-être revoir leur position sur la définition même de renseignement personnel. C’est intéressant de le garder en tête, parce qu’on voit véritablement une interprétation qui est de plus en plus libérale, et on voit que les tribunaux non régulateurs ont une approche qui est finalement très protectrice par rapport à la vie privée sous ces différentes facettes, que ce soit personnelle, territoriale ou informationnelle.

Quatrième prédiction. Quelle loi s’applique en l’occurrence?

Heting Xu

Heureusement ou malheureusement, il n’y a pas de loi spécifique en matière de témoins de connexion au Québec ou au Canada. À la place, ce qu’on va regarder, j’ai vraiment deux lois : une au niveau fédéral et une au niveau provincial. Au fédéral, on a la Loi canadienne anti-pourriel, LCAP pour les intimes. Au provincial, on a la Loi sur la protection des renseignements personnels dans le secteur privé, Loi sur le secteur privé, ou vous pouvez aussi la connaître sous son nom, Loi 25, dont on n’arrête pas de parler depuis quelques années. Les deux lois viennent dire quoi?

D’abord, la Loi canadienne anti-pourriel, c’est la seule loi qui mentionne explicitement les cookies et les technologies similaires. La LCAP vient de dire que pour installer des programmes informatiques, les cookies entreraient dans la définition des programmes informatiques, on doit avoir le consentement explicite des utilisateurs. Exception concernant les cookies : on peut prévoir… on peut présumer, pardon, qu’il y ait eu un consentement implicite possible pour l’installation des cookies dans le cas spécifique où le comportement de l’utilisateur laisse raisonnablement penser qu’il consent à cette installation. On voit ça à l’art. 8. Malheureusement, on n’a pas eu de jurisprudence qui vient définir c’est quoi le consentement de l’utilisateur qui laisse raisonnablement penser qu’il consent. Donc, <indiscernable 03:20:12> un peu à un flou juridique. Mais la définition est là et elle existe dans la loi.

Maintenant, au niveau provincial, la Loi sur le secteur privé, c’est la loi principale de protection des renseignements personnels dans le secteur privé au Québec et ç’a des obligations pour les organisations qui collectent des informations via des technologies. Les technologies dans ce cas-ci bien sûr incluent les témoins de connexion. Surtout, on vise des témoins de connexion, de localisation, d’identification et de profilage. Ça veut dire quoi, tout ça? Localisation. On parle de la capacité d’indiquer où se trouve une personne. Un certain degré de spécificité, ça dépend vraiment du témoin en question. Quand on parle d’identification, on parle de distinguer un individu d’un autre. Donc, Antoine versus Heting. Finalement, le profilage. Le but ultime, c’est l’analyse et l’évaluation des caractéristiques personnelles de préférence et de comportement, qui est très intéressant pour bien sûr l’équipe de marketing des entreprises.

Maintenant, la loi dit quoi? À l’art. 8(1), on dit que les entreprises ont deux obligations concernant ces technologies. D’abord, on doit informer les personnes de l’utilisation, donc leur dire qu’on utilise des technologies similaires. Deuxièmement, on doit indiquer à la personne comment activer ces fonctions. Si on lit un peu entre les lignes, ces fonctions doivent être désactivées par défaut. En d’autres mots, les cookies de ciblage qui permettent la localisation, le profilage et l’identification doivent être désactivées par défaut et c’est vraiment l’utilisateur lui-même qui consent à l’activation, soit en cochant une case, soit en cliquant « Accepter tous les cookies ». Maintenant, pour les autres cookies qu’on a discutés un peu plus tôt, donc les cookies nécessaires, les fonctionnels et de performance, ceux-ci, puisqu’ils ne collectent pas des renseignements personnels pour les fins de localisation, de profilage et identification, peuvent être activés par défaut.

Antoine Guilmain

Oui. Puis ça, c’est un élément important. Parce que dans beaucoup d’organisations, on a décidé de tout couper. D’accord? On ne prend pas de risque, on désactive tout. Ç’a posé un vrai problème. Parce que la réalité, vous comprenez qu’il y a uniquement une catégorie de témoins de connexion qui est visée par la loi 25, c’est la catégorie qui permet le profilage. Alors oui, le profilage, c’est défini d’une manière large, mais la réalité dans les catégories qu’on dont on a parlé un peu plus tôt, c’est surtout la catégorie qui parle de véritablement targeting ou profiling, qui permet véritablement… qui est ciblée par l’art. 8(1). Je vois encore beaucoup d’organisations qui décident de dire, ah, bien, tiens, on a un peu peur du Québec, on décide de tout désactiver. Et c’est rare. Souvent j’arrive avec des problèmes, mais des fois j’arrive avec des solutions puis je leur dis, écoutez, vous avez peut-être un peu plus de marge de manœuvre que ce que vous pouvez penser et potentiellement vous pourriez activer par défaut certains autres cookies. Ça ne veut pas dire qu’on ne donne pas de transparence, ça veut juste dire qu’on a une approche qui est peut-être un peu plus flexible au niveau de l’utilisation des témoins de connexion.

Antoine Guilmain

J’ajoute à ce niveau-là que vous pourriez-vous demander, quel est l’intérêt de cette question en disant, pourquoi est-ce qu’on aurait une loi qui s’applique aux cookies? C’est tout simplement parce qu’en Europe, notamment la ePrivacy directive, l’art. 5(3), qui encadre indépendamment des renseignements personnels, les renseignements liés aux appareils. Donc, on est vraiment dans une situation où on sait qu’ailleurs ça existe et c’est pour ça qu’en Europe on a une approche si différente. C’est parce qu’on a une législation, une directive qui est ensuite implémentée dans des États membres avec leur propre loi applicable. C’est pour ça que, nous, au Canada, on est un petit peu toujours à la remorque. Il faut comprendre ce qui se fait en Europe pour voir les solutions… des solutions en fait qui sont offertes. On appelle ça des CMP (Consent Management Platform). Il y en a plusieurs sur le marché. Je commence à tous les connaître, je vois toutes leurs solutions et souvent il y a un goût <? 03:23:51> européen, parce que tout a été fait pour se conformer à la législation européenne. Nous, au Canada, c’est assez rudimentaire, on a la Loi canadienne anti-pourriel, qu’un seul, qui en parle, qui parle d’une présomption sans véritablement en dire plus. Et on a la loi 25 qui parle de cookies, mais qui dit, je veux parler de 9(1). Vous allez voir, on ne va pas parler trop de droit, mais quand même. Vous avez une disposition au Québec qui est assez incroyable, qui dit que tous les services technologiques <indiscernable 03:24:20> de paramètres de confidentialité doit être paramétré au plus haut niveau de confidentialité. Autrement dit, vous avez des paramètres de confidentialité. Ils doivent être au plus haut et, en fait, on doit avoir un opt-in pour pouvoir se conformer à l’art. 9(1).

Selon moi, ça n’a aucun sens, cette disposition, parce que ça ne donne même pas envie de créer des paramètres de confidentialité. Je ne sais même pas ce que c’est qu’un paramètre de confidentialité. Je fais ça à temps plein. J’aurais de la difficulté à vous définir ce que c’est. Et donc on note quand même que 9(1) indique que ça ne s’applique pas aux témoins de connexion. Il y a une référence dans la loi à ça. C’est un peu la passion qui croit raisonner et l’entendement en délire. Parce qu’on a 9(1) qui exclut cet aspect des paramètres de confidentialité, mais on en reparle indirectement à 8(1). Donc, ç’a créé beaucoup de confusion au Québec. Maintenant, je pense qu’il y a quand même une entente, qu’on vise uniquement les cookies qui permettent le profilage et/ou souvent qui sont fournis par des tierces parties. Mais pendant longtemps, jusqu’à maintenant, encore aujourd’hui, j’ai beaucoup de questions par rapport à ça.

Antoine Guilmain

Je vous ai promis que ça irait vite. Faut-il consentir aux cookies? Bien, c’est ce que je vous disais, c’est-à-dire que techniquement il faut uniquement… Moi, je vous donnerais comme conseil très pratique de focaliser sur vos cookies qui sont catégorisés comme permettant de faire du ciblage. D’accord? Encore une fois, ç’a l’air facile quand je vous dis ça, mais quand je revois des fichiers Excel où je vois toutes les listes de cookies qui sont utilisées avec les domains, subdomains, lifespan, etc., souvent il va y avoir une discussion qui va s’initier avec le département marketing. Je vous le dis tout de suite, moi j’ai beaucoup d’organisations qui me disent, ah c’est bon, on est conforme à la loi 25. Je vais voir leur site Internet et le bandeau ne parle pas à la politique cookies puis tu ne comprends même pas comment s’est structuré le bandeau. Donc, tout le monde se dit, on se met un peu la tête dans le sable en disant, c’est conforme, on a un bandeau. Mais ce que je vois, c’est qu’il y a beaucoup d’incohérences, puis parfois, souvent il y a un manque de communication au sein des organisations, de telle sorte à ce que ça évolue. L’équipe marketing veut utiliser plus de cookies, puis ça ne correspond plus à ce qui est décrit sur la bannière ou la manière dont c’est catégorisé. C’est malheureux, mais il y a toujours un petit travail à faire. Je pense que c’est bon de lever le doigt en disant, écoutez, je ne suis pas certain de comprendre exactement comment c’est structuré. Ça ne veut pas dire que c’est mauvais, mais poser des questions, c’est la clé par rapport à ça.

Maintenant, comment s’obtient que le consentement, finalement, en matière de cookies?

Heting Xu

Malheureusement, puisqu'on n’a pas de loi, on est un peu dans un vide encore une fois au niveau légal pour le consentement, la manière de consentir à l’utilisation des cookies. Comme on l’a mentionné, l’Europe est un peu plus avancée au niveau de la conformité par rapport aux cookies. Pour cette partie de la présentation, on s’est beaucoup inspiré des lignes directrices du European Data Protection Board. Je vais donner quelques situations, Antoine. On va voir un peu c’est quoi l’opinion de notre expert.

D’abord, l’absence de boutons de rejet sur la première couche.

Antoine Guilmain

Je ne savais pas que j’allais avoir des questions, donc je vais y répondre au meilleur de mes compétences. C’est une question qui revient souvent, en disant soit que vous avez deux boutons ou trois boutons. Vous arrivez, vous le voyez. Votre expérience utilisateur a dû être un petit peu impactée ces derniers mois, je suppose, à moins que vous n’utilisiez jamais votre Internet. Souvent, la question qui va venir, c’est dire, est-ce que je peux avoir un bouton Paramétrer et un bouton Continuer ou est-ce que je suis obligé d’avoir Paramétrer, Continuer, Tout rejeter? Souvent, la question qu’on a : trois boutons ou deux boutons? Bon. En Europe, ils recommandent d’avoir un bouton Rejeter tout. Au Canada, ce n’est pas si évident que ça. Moi, je ne vous cache pas. Le Tout rejeter, ça va dépendre du type de cookies qui est utilisé. Ça va dépendre, ça va être une analyse au cas par cas. Dépendamment des paramétrages qui sont faits par défaut, je vais pouvoir… j’ai pu dire que moi je pensais que le bouton Tout rejeter n’était pas nécessaire. Donc, trois boutons, ce n’est pas obligatoire, je l’entends. Des fois, j’ai des gens qui m’appellent, qui me disent, ah mon chef marketing me dit qu’il faut trois boutons. C’est plus compliqué que ça. Généralement, moi je pense que le deux, si c’est paramétré par défaut, les bons paramétrages sont faits par défaut peuvent tout à fait convenir et ça c’est un petit peu différent de ce que recommande le comité européen sur la protection de données, le EDPB.

Heting Xu

Deuxième question, les boîtes précochées. Utiliser des boîtes précochées pour le consentement aux cookies. Si vous avez suivi un peu la présentation au Québec, vous avez déjà la réponse, mais Antoine?

Antoine Guilmain

Non. Les boîtes précochées, c’est rare en matière de cookies. On en voit rarement par rapport à ça. Moi, je ne vous recommande pas de les utiliser parce que de manière générale le CRTC déteste les cases cochées, tout comme le Commissariat à la protection de la vie privée. Donc ça, c’est à éviter. Pour des raisons de temps, j’aimerais vous parler quand même de tout ce qui concerne le dark pattern. Est-ce que quelqu’un a la traduction de ça? En fait, c’est l’idée d’inciter un utilisateur à prendre une action plutôt qu’une autre. Par exemple, vous avez deux boutons qui sont côte à côte, ils n’ont pas la même couleur, il y en a un qui est plus gros que l’autre. Forcément, il y a une volonté de pousser l’utilisateur à cliquer sur un bouton plutôt qu’un autre. Et ça, c’est un sujet qui est de plus en plus abordé par les autorités de contrôle, en disant, écoutez, vous êtes bien sympathique, c’est bien légal tout ce que vous faites au niveau du texte, mais la manière dont l’information est structurée, ça pousse l’utilisateur à prendre une action qu’il n’aurait peut-être pas prise. Et ça je vous le dis, c’est quelque chose à prendre en compte. Parce que quand vous regardez les modèles, tout ce que vous devriez penser, c’est vraiment l’approche de la personne raisonnable, si j’ose dire, de vous demander, est-ce que véritablement c’est paramétré de telle sorte à ce qu’on pourrait dire qu’il y a un choix libre et éclairé? Donc ça, c’est important de le noter par rapport à ça. Pareil, je vois souvent ce qu’on appelle des cookie walls, c’est-à-dire qu’on arrive sur un site et on vous force à prendre une action. Je déteste ça, moi. Ça m’horripile. Évitez ça. Je vous le dis tout de suite, parce que déjà pour l’expérience utilisateur je trouve que c’est désastreux, mais la réalité c’est qu’en plus, ce qu’on lit des régulateurs européens, c’est que ça ne serait pas conforme aux lois applicables.

Je vais me permettre de poursuivre rapidement par rapport aux politiques sur les cookies. Souvent, vous allez vous demander, est-ce que j’ai une politique séparée pour les cookies et une politique différente pour la protection des renseignements personnels, ou vous mettez tout dans la même? Il n’y a pas de règle absolue, vous faites ce que vous voulez. Il y a quand même une flexibilité dans la loi, à ce niveau-là c’est assez neutre. Mais là, vous allez vous demander, alors quel est l’intérêt de garder ça séparé? Je pense qu’ils sont doubles.

D’une part, il y a une question de mise à jour. Souvent, les cookies, ça évolue bien plus vite que vos pratiques en matière de protection des renseignements personnels. Donc, vous allez vouloir potentiellement avoir une politique de cookies propre aux témoins de connexion qui ne sont pas nécessairement des renseignements personnels. Ça, c’est souvent un aspect opérationnel qui pousse les organisations à avoir une politique distincte sur les cookies. Je vous le dis d’emblée, il faut que cette politique parle avec votre bandeau. Parce que des fois, c’est l’équipe légale qui gère la politique et l’équipe TI ou marketing qui gère le bandeau. Puis ils parlent, ils utilisent des termes complètement différents. Donc, on ne sait même plus de quoi on parle au bout du compte; c’est très confondant pour l’utilisateur.

Le deuxième élément, pourquoi on aurait une politique distincte pour les cookies? C’est également parce qu’il y a cet aspect aussi de dire que ça évolue dans le temps et souvent on va avoir beaucoup de détails, de techniques, des technicalités <indiscernable 03:31:07>. Il y a beaucoup d’informations qu’on doit donner sur le type de cookies, les catégories, etc. Et quand on a le bandeau, on aime avoir un lien direct vers le cookie par ici. Donc, à moins que vous soyez capable de faire deep link vers votre politique de confidentialité, vers la section sur les cookies, souvent il y a cette idée en bon français de one click away et avoir cette politique séparée, ça facilite la compréhension de l’utilisateur. Il n'y a pas d’obligation, vous avez la liberté. Mais une approche d’avoir une politique distincte, c’est parfois plus facile à gérer pour beaucoup de monde.

Quelle devrait être la durée d’un cookie?

Heting Xu

Puisqu’il n’y a pas de loi sur les témoins de connexion, on va vouloir regarder à la place les lois concernant la protection des renseignements personnels. Donc, quelle serait la durée de conservation pour les renseignements personnels? Au Québec, la loi 25 impose une conservation des données tant et aussi longtemps que la raison de la collecte n’a pas été atteinte. Si on applique ça aux cookies, ça dépend vraiment de quels témoins de connexion on utilise et quels sont les renseignements collectés. Donc, tout dépendamment que ce sont des témoins de fonctionnalités, de ciblage, etc., ils auront une durée de conservation différente.

C’est important à ce point-ci de parler de deux types de témoins de connexion spécifiques. D’abord, les cookies de session et, deuxièmement, les cookies persistants. Les cookies de session, comme indiqué dans leur nom, sont valides et durent seulement de manière temporaire, pendant la longueur de votre session d’utilisation du site Internet. Ils sont supprimés dès la fermeture du navigateur et ils sont vraiment utilisés pour permettre à l’utilisateur de faciliter son accès, d’enrichir son expérience d’utilisation. Donc, avec ceux-ci, les renseignements collectés doivent être supprimés dès que la personne supprime ou ferme son navigateur.

De l’autre côté, les cookies persistants durent un peu plus longtemps, soit on a une date d’expiration spécifique déterminée, soit, encore une fois, on regarde l’utilité ou les finalités de la collecte. L’objectif serait de mémoriser les préférences et les informations d’un utilisateur sur plusieurs sessions. Et ce qui est recommandé, encore une fois, il n’y a pas de… une <indiscernable > spécifique imposée par la loi. À la place, encore une fois, on va regarder ce qui est strictement nécessaire pour atteindre les objectifs de collecte.

Antoine Guilmain

Oui, et puis là on voit sur la diapo des statistiques. On voit que la plupart, 50 %, ça se compte en termes de jours, le temps que cette information est gardée en termes d’heures, en termes de mois et en termes d’années. Quand vous avez votre – en anglais – lifespan, posez des questions. Si vous voyez que votre cookie est là pour deux ans, probablement qu’il y a quelque chose qui pourrait peut-être ne pas être extraordinaire. Généralement, ça oscille en termes de mois et vous avez cette capacité quand même de paramétrer. Vous avez quand même une flexibilité sur le paramétrage de ces cookies.

Je vous ai promis qu’on finirait tôt. Je veux finir là-dessus sur un avenir sans cookies. Il a été annoncé par Google qu’il n’y aurait plus de cookies l’année prochaine. Ce projet a été reporté pour proposer une technologie un peu différente qui serait Cookieless en tant que tel. Ça, c’est très relatif, parce qu’au bout du compte c’est vrai que la technologie n’est plus utilisée de la même manière, mais en matière de renseignements personnels, il faut bien admettre que ce n’est pas si différent au niveau de on aura toujours besoin d’un traceur quelconque. Donc, j’ai beaucoup de difficultés à voir comment est-ce qu'on sortira de ce paradigme des cookies ou pixels qu’on connaît aujourd’hui.

Sur les sanctions. Rapidement, très peu de sanctions par rapport à ça. On a des décisions, des rapports de recommandations en matière de la publicité ciblée, mais on n’est pas encore dans une phase où le risque de sanctions est très élevé. Je le dis souvent aux clients, oui c’est très visible et vous avez intérêt à travailler là-dessus parce que c’est ce que tout le monde verra. Mais la réalité, il faut quand même admettre que les autorités de contrôle, ce n’est pas nécessairement ce qu’on voit par rapport à ce qu’elles publient, leur priorité numéro un. Et ça termine la présentation. <pause> Il y a des questions? Oui?

PÉRIODE DE QUESTIONS

Question

Est-ce qu’on peut vraiment faire confiance? Parce que moi je vais tout le temps dire Refuser tout. Puis là je me dis, vraiment, même si je mets Refuser tout, peut-être qu’eux autres <indiscernable 03:35:21>. Est-ce qu’on peut vraiment faire confiance ou ça va dépendre, dans le fond, de la crédibilité du site? Si je suis sur la SAQ en ligne, puis j’achète du vin d’importation, que je dis Refuser tout, vont-ils vraiment me traquer quand même? Probablement pas, mais enfin.

Antoine Guilmain

SAQ, c’est un moins bon exemple, parce que moi je leur fais confiance pour absolument tout <indiscernable/rire 03:35:44> fidèle consommateur, donc je répondrais, il n’y a pas de problème. Mais cela dit, déjà, avoir une organisation qui a un bandeau, ça veut déjà dire, vous savez qu’il y a une réflexion qui a été faite à l’interne. Vous savez qu’à l’interne on a pris ça en compte et on a essayé de se demander, comment est-ce qu’on va donner le contrôle aux individus? Donc, c’est plutôt rassurant en tant que tel. On en voit beaucoup. OneTrust, Didomi. J’en vois, moi, beaucoup. Je prends pour acquis que c’est bien fait. Souvent, le problème c’est le lien entre quand il y a un compte utilisateur et quand on est non authentifié. C’est souvent là où ça pose problème, les équipes produits. Donc moi, je vous dirais, oui s’il y a quelque chose. Moi, mon expérience, c’est que les organisations respectent ça. Mais le problème qui se pose régulièrement, c’est le lien entre le légal et les équipes techniques ou marketing. Souvent, des fois, il y a un manque de communication et notre rôle c’est vraiment de faire communiquer ces équipes. Mais pour répondre à votre question, si je vois ça, souvent je dis non, mais je fais confiance à ça. C’est bon? Merci mille fois, en tout cas.

George Elvira

Alors, ceci termine notre conférence. Je voudrais remercier, donner un grand merci à tous nos conférenciers, Laurent Tillement, Alexandre Le Bouthillier, Stéphane Pilette, Stéphane Bousquet, Marc Vaucher, d’avoir été là ce matin avec nous, à vous chers invités en personne et en distance. On espère que vous avez trouvé ces présentations intéressantes. Ceci étant dit, on va avoir des séries de présentations. On vous invite à nous suivre sur les réseaux sociaux, à rester à l’affût parce que le Forum Tech, c’est l’événement fort, mais il y a plein de petits événements qui suivent. Il y a des podcasts, des webinaires, des présentations qui s’en viennent dans les mois prochains. Je vous invite également à vous connecter avec vos avocats favoris en Fusion et acquisition, en Technologie et en Propriété intellectuelle. On est là pour vous aider, on est là pour vous guider dans ce monde technologique et juridique qui change et qui reste pareil en même temps; c’est ce qu’on a entendu ce matin. Marc, un petit dernier mot? Rien du tout?

Marc Tremblay

Je n’ai rien à rajouter.

George Elvira

Alors, je voudrais remercier notre équipe de support sans qui ce ne serait pas possible d’avoir cet événement-là. Alors, merci beaucoup, Mesdames, de votre aide très précieuse.

Tous

<applaudissements>

George Elvira

Merci beaucoup et bonne journée.

<Fin de l’enregistrement>