L’intelligence artificielle révolutionne notre façon de travailler. Elle transforme tout, des tâches routinières à la prise de décisions stratégiques, et ce, à tous les échelons de l’organisation. Si les avantages potentiels de l’IA sont majeurs, ils s’accompagnent de défis tout aussi importants. Alors que l’engouement pour l’IA va croissant, il est essentiel d’en reconnaître les limites.

Il ne suffit pas d’attendre que les autorités réglementaires se mettent à niveau. Les employeurs sont déjà confrontés à des risques bien réels, qu’il s’agisse de résultats erronés générés par l’IA ou d’« hallucinations », de divulgation de données sensibles, ou de lacunes en matière de conformité. Les enjeux pratiques et juridiques se multiplient, exposant les organisations négligentes à des sanctions ainsi qu’à des dommages à leur réputation.

Cet article examine les risques liés à l’IA en milieu de travail et propose des conseils pratiques aux employeurs pour les atténuer.

État actuel de la réglementation de l’IA au Canada et ailleurs

Les employeurs canadiens qui intègrent l’IA doivent tenir compte d’une mosaïque de régimes juridiques et réglementaires en constante évolution[1]. Dépassant le cadre des lois actuelles en matière de protection de la vie privée, l’IA soulève des enjeux complexes liés à la protection des données, à la propriété intellectuelle, aux normes d’emploi et à la transparence.

Comme les organismes de réglementation provinciaux, fédéral et internationaux adoptent chacun une approche légèrement différente, les employeurs doivent demeurer attentifs à l’évolution de la réglementation là où ils exercent leurs activités. Respecter la réglementation n’est pas qu’une obligation légale : c’est un impératif stratégique qui permet de réduire les risques et d’assurer une utilisation responsable de l’IA.

Réglementation provinciale

Les provinces de l’Alberta, de la Colombie-Britannique et du Québec disposent de lois en matière de protection de la vie privée qui s’appliquent aux relations de travail dans le secteur privé.

Au Québec, cette législation comprend l’obligation d’informer la personne concernée lorsqu’une décision la concernant est prise uniquement à partir d’un traitement automatisé de ses renseignements personnels. La personne a également le droit d’être informée des renseignements utilisés pour prendre cette décision, des principaux facteurs et paramètres qui y ont mené, ainsi que de faire rectifier ses renseignements personnels. La loi prévoit aussi d’accorder à cette personne un droit d’accès à ces éléments pour lui permettre de réviser la décision.

Bien que l’Ontario ne dispose pas d’une loi comparable, des modifications apportées en 2022 à la Loi de 2000 sur les normes d’emploi exigent que certains employeurs mettent en place une politique de surveillance électronique. Celle-ci s’applique à « toutes les formes de surveillance électronique des employés et des employés ponctuels ». À compter du 1er janvier 2026, certains employeurs ontariens devront également divulguer dans les annonces publiques de postes si des systèmes d’IA seront utilisés dans le cadre du processus d’embauche.

En outre et plus récemment, la Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public est entrée en vigueur le 29 janvier 2025. Celle-ci comprend la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique, qui a instauré de nouvelles obligations significatives concernant la protection de la vie privée, la cybersécurité et l’utilisation de l’IA dans le secteur public de l’Ontario.

Même en l’absence de législation, une abondante jurisprudence arbitrale en droit du travail encadre la protection de la vie privée des employé·es ce qui influencera nécessairement les manières dont l’IA est exploitée en milieu de travail.

Réglementation fédérale

Actuellement, il n’existe aucune loi fédérale régissant l’utilisation de l’IA en contexte commercial ou en milieu de travail. C’est toujours la Loi sur la protection des renseignements personnels et les documents électroniques qui régit la collecte de renseignements personnels sur les employés par les employeurs sous réglementation fédérale.

Le projet de loi C27 proposait des réformes majeures pour moderniser la législation sur les renseignements personnels dans le secteur privé, notamment l’adoption de la Loi sur l’intelligence artificielle et les données (LIAD), sujet largement débattu devant le Comité permanent de l’industrie et de la technologie. Ce projet de loi a été abandonné en raison de la prorogation du Parlement plus tôt cette année, mais le Premier ministre Mark Carney s’est dit déterminé à maintenir la réglementation de l’IA au cœur de ses priorités et a nommé le tout premier ministre fédéral de l’IA.

Réglementation internationale

L’Union européenne demeure à la pointe de la réglementation, compte tenu de l’entrée en vigueur du Règlement sur l’intelligence artificielle (loi sur l’IA de l’UE) en août 2024, lequel est fondé sur une approche par niveau de risque.

La loi sur l’IA de l’UE s’applique tant aux acteurs publics que privés (qu’ils se trouvent à l’intérieur ou à l’extérieur de l’UE) lorsqu’un système d’IA, tel que défini dans cette loi, est disponible sur le marché européen ou lorsqu’il a un impact sur des personnes situées dans l’UE. Les systèmes d’IA utilisés dans le cadre de l’emploi, et pouvant entraîner des répercussions sur l’emploi sont considérés comme des systèmes « à haut risque », puisqu’ils sont susceptibles d’avoir une incidence significative sur les perspectives professionnelles et les moyens de subsistance des personnes concernées[2].

Conseils pratiques

Lorsqu’une organisation met en œuvre des outils d’IA que les employé·es utiliseront dans le cadre de leur travail, il importe de garder à l’esprit les limites pratiques de cette technologie, notamment les « hallucinations » (ces cas où les systèmes génèrent de l’information erronée ou incohérente). Ce genre d’erreur peut survenir en raison de divers facteurs : données d’entraînement inadéquates, biais algorithmiques ou défaillances du système. En milieu de travail, les hallucinations peuvent entraîner la diffusion de fausses informations et des décisions mal fondées. Dans un contexte plus large, de telles erreurs peuvent miner la confiance quant à la qualité du travail réalisé et même nuire à la réputation des professionnel·les ou de l’entreprise.

À mesure que l’usage de l’IA s’intensifie en milieu de travail, les mises en garde se multiplient, particulièrement en lien avec les résultats peu fiables et le manque de rigueur ou de prudence des personnes qui se servent de l’IA.

Dans le cadre d’une décision rendue en Californie le 5 mai 2025, des sanctions ont été imposées à deux cabinets juridiques ayant déposé des mémoires contenant des « recherches fictives générées par l’IA »[3]. Le résumé de la décision précise que l’avocat spécial désigné dans ce dossier a conclu que les actions des avocats de la partie demanderesse relevaient de la mauvaise foi, et qu’ils avaient fait preuve d’imprudence : (1) en omettant de divulguer dès le départ l’utilisation de l’IA, (2) en négligeant de vérifier les sources citées dans le mémoire original et (3) en déposant à nouveau une version révisée et erronée du mémoire, sans divulgation adéquate du recours à l’IA[4].

À peine un jour plus tard, un autre exemple d’utilisation abusive de l’IA est survenu : un juge de Toronto a conclu que le cabinet juridique de la partie demanderesse avait eu recours à l’IA pour produire des arguments juridiques fondés sur des dossiers fictifs[5]. Fait intéressant : l’avocate a précisé que son cabinet n’avait normalement pas recours à l’IA, mais qu’elle devrait « s’en assurer » auprès de sa parajuriste[6].

Bien entendu, ce genre d’erreurs ne se limite pas au domaine juridique; tous les secteurs où l’IA sert à générer du contenu ou à prendre des décisions peuvent être touchés. Ces incidents mettent en lumière les risques de recourir à l’IA sans procéder à des vérifications adéquates et soulignent l’importance d’un contrôle humain rigoureux.

Conseils pour les employeurs canadiens

Les problèmes mis en évidence par ces exemples peuvent être résolus, ou à tout le moins atténués, grâce à la mise en œuvre de politiques et de procédures appropriées. Voici nos conseils à ce sujet :

  1. Élaborer une stratégie en matière d’IA : Déterminez quels objectifs vous souhaitez atteindre à l’aide de l’IA et veillez à ce que l’outil proposé vous permettra effectivement d’y parvenir. Les raisons d’adopter l’IA peuvent inclure :
    • Surveiller la productivité des employé·es, notamment en analysant l’activité informatique et le travail effectué sur une base régulière.
    • Surveiller le respect des politiques, en analysant par exemple les communications par messagerie instantanée.
    • Détecter les fuites potentielles de données ou l’accès non autorisé à des informations sensibles.
    • Améliorer l’efficacité et la productivité en automatisant les tâches répétitives.
    • Renforcer les processus décisionnels grâce à l’analyse de données et à la modélisation prédictive.
    • Réduire les coûts d’exploitation en optimisant les flux de travail.
    • Offrir un meilleur service à la clientèle grâce à des agents conversationnels et des systèmes de soutien aidés par l’IA, et favoriser l’innovation en exploitant l’IA à des fins de recherche et de développement.

    Dans tous les cas, vous devez vous assurer que l’utilisation envisagée de l’IA respecte les droits à la vie privée des employé·es, les lois applicables et vos politiques d’entreprise.

    Les questions de conformité varient d’un secteur d’activité à l’autre et d’un pays à l’autre, mais pourraient inclure la réalisation d’une évaluation des risques en matière de protection de la vie privée. Cette évaluation doit tenir compte des objectifs de l’utilisation de l’IA, de la capacité de l’IA à y répondre efficacement, de l’existence de moyens moins intrusifs pour y parvenir, et déterminer s’il y a une proportionnalité entre l’atteinte à la vie privée et les bénéfices escomptés.

    Assurez-vous de faire preuve de transparence quant à l’utilisation de ces outils, d’en communiquer clairement la portée et les objectifs à vos employé·es, et de veiller à ce que le recours à l’IA soit proportionnel, nécessaire et suffisamment fiable et précis pour atteindre le but visé.

  2. Élaborer des politiques claires sur l’utilisation de l’IA : Il est important d’établir des politiques exhaustives définissant les conditions d’utilisation acceptable de l’IA par les employé·es en milieu de travail. Ces politiques doivent traiter des aspects suivants :
    • La différence entre les plateformes d’IA publiques et privées
    • Les forces et les limites des outils d’IA autorisés par l’entreprise
    • Les cas d’utilisation acceptable et non acceptable
    • Les moyens de s’assurer de la fiabilité des résultats
    • La protection des renseignements personnels et de la confidentialité des client·es
    • La propriété intellectuelle
    • Les enjeux éthiques
    • Les protocoles de divulgation pour les contenus générés par l’IA
    • Les responsabilités des employé·es lors de l’utilisation de tout outil d’IA

    En outre, demandez-vous si l’utilisation que vous prévoyez faire de l’IA a une incidence sur d’autres politiques, comme le protocole d’intervention lorsqu’une personne demande l’accès à ses renseignements personnels.

  3. Inclure l’utilisation de l’IA dans les ententes de confidentialité des employé·es : Précisez à l’ensemble des employé·es que l’obligation de préserver et de protéger la confidentialité des renseignements sensibles de l’entreprise et de ses secrets commerciaux s’applique aussi à l’utilisation des outils d’IA, tant pendant la période d’emploi qu’après celle-ci.
  4. Mettre en place de rigoureux processus de vérification : Dans le cadre de votre politique sur l’utilisation acceptable de l’IA, il conviendra d’instaurer des protocoles de vérification stricts pour garantir l’exactitude des résultats générés par l’IA. Ceci comprend notamment le fait de vérifier l’information auprès de sources fiables et d’inclure des personnes expertes dans le processus de révision. À titre de pratique exemplaire, la vérification de la qualité du contenu généré par l’IA devrait être effectuée par une autre personne que celle ayant produit ce contenu à partir de la plateforme d’IA.
  5. Investir dans la formation du personnel : Il est essentiel de former les employé·es afin qu’ils et elles comprennent clairement le fonctionnement et les limites des systèmes d’IA. La formation doit notamment préciser les situations où il ne convient pas d’utiliser l’IA et l’analyse critique des résultats afin de détecter d’éventuelles erreurs.
  6. Mettre régulièrement à jour les systèmes d’IA : Le maintien à jour des systèmes d’IA permet de réduire le risque d’erreurs. Assurez-vous de collaborer avec les fournisseurs d’IA afin de veiller à l’entretien et l’amélioration des systèmes en continu.
  7. Faire appel à des expert·es du droit et de l’éthique : Consulter des expert·es juridiques et des spécialistes en la matière peut vous aider à gérer les complexités de l’IA, tout en assurant le respect de la réglementation applicable et des normes du secteur.
  8. Rester au fait des derniers développements : Tenez-vous au courant des avancées en matière de technologies de l’IA et des exigences juridiques pertinentes, notamment en matière de protection de la vie privée et de normes d’emploi.

Prochaines étapes pour les employeurs

S’il est indéniable que l’IA présente des avantages importants pour les milieux de travail canadiens, elle comporte aussi des risques importants à gérer avec soin.

En mettant en place de rigoureux processus de vérification, en investissant dans la formation du personnel et en respectant les normes juridiques et éthiques, vous pourrez exploiter pleinement la puissance de l’IA tout en minimisant ses écueils potentiels. À mesure que cette technologie continue d’évoluer, il sera essentiel de se tenir constamment au fait des développements et de faire preuve d’initiative afin d’en tirer profit de façon responsable.

Pour plus d’information à ce sujet, veuillez communiquer avec les auteures ou un membre du groupe Travail, emploi et droits de la personne.

[1] Pour les employeurs du secteur privé sous réglementation provinciale, des lois en matière de protection de la vie privée s’appliquent à la collecte, à l’utilisation et à la communication des renseignements personnels des employé·es en Alberta, en Colombie-Britannique et au Québec. 

[2] Voir le considérant 57 du règlement sur l’intelligence artificielle de l’UE ainsi que l’annexe III dudit règlement, laquelle énumère certaines catégories de systèmes d’IA à haut risque, notamment ceux liés au recrutement et à la sélection de personnes physiques, à la prise de décisions concernant les promotions, la résiliation des relations professionnelles contractuelles, l’attribution de tâches et l’évaluation du comportement et du rendement.

[3] Lacey et al v State Farm General Insurance Co. décision en date du 6 mai 2025 au  paragraphe 1.

[4] Ibid., aux paragraphes 17 et 19. Voir également le paragraphe 26 : « Pour le dire simplement, le recours de la partie demanderesse à l’IA m’a résolument induit en erreur. J’ai lu leur mémoire, j’ai été convaincu (ou du moins intrigué) par les autorités qu’ils citaient, et j’ai consulté les décisions pour en savoir plus, pour ensuite découvrir qu’elles n’existaient pas. C’est inquiétant. Cela a failli entraîner une conséquence encore plus grave (à mes yeux), à savoir l’inclusion de ces éléments fallacieux dans une ordonnance judiciaire ».

[5] Ko v Li, 2025 ONSC 2766 (en date du 6 mai 2025).

[6] Ibid., au paragraphe 8.