Using AI for your notes and reports: how to document your privacy impact assessment (PIA / EFVP)?

Un guide pratique pour les psychologues et psychothérapeutes du Québec en pratique autonome ou responsables d'une clinique.

Vous utilisez déjà, ou souhaitez utiliser, l'intelligence artificielle (IA) pour faciliter la rédaction de vos notes d'évolution ou de vos rapports, et votre contexte de pratique vous amène à réaliser une évaluation des facteurs relatifs à la vie privée (EFVP)? Ce guide est pour vous.

Il propose une façon pratique de documenter l'évaluation d'un outil d'aide à la rédaction comme Akompa Notes dans un rapport d'EFVP court, utile et proportionné au contexte. Il ne vise pas à expliquer toute la Loi 25 ni à déterminer, dans chaque situation, si une EFVP est obligatoire. Il vise plutôt à aider les psychologues et psychothérapeutes en pratique autonome, ainsi que les responsables de cliniques, à savoir quoi documenter concrètement.

Cet article ne constitue pas un avis juridique. Il s'appuie notamment sur le guide de la Commission d'accès à l'information du Québec (CAI), qui précise que son guide est un « outil d'accompagnement » et que les notions qu'il contient « sont informatives et ont pour objectif d'aider à la compréhension » (CAI, 2024, p. 2). Les exemples de formulations partagés ci-dessous le sont aussi dans cet esprit. Vous pouvez vous en inspirer pour documenter votre EFVP, mais ils doivent naturellement être adaptés à la manière dont vous prévoyez utiliser l'outil évalué et à votre contexte de pratique. Si vous avez un compte Akompa Notes, vous trouverez aussi un exemple complet de rapport sur notre page de Ressources.

En bref : quoi documenter?

Comme l'indique la CAI (2024, p. 4), « la loi ne précise pas comment réaliser une EFVP » et elle ne prescrit pas non plus un contenu ou une forme spécifiques pour la documentation qui en rend compte. Les personnes et les organisations devant réaliser une EFVP sont donc libres de la documenter de la manière qu'elles jugent la plus appropriée.

Cela dit, pour faciliter cette démarche, la CAI (2024, p. 45) identifie plusieurs éléments pouvant apparaître dans un rapport d'EFVP. Pour l'évaluation d'un outil d'aide à la tenue de dossier comme Akompa Notes, ces éléments pourraient être abordés dans un court rapport structuré, par exemple, autour de quatre sections principales :

Une brève présentation du projet
Les renseignements personnels impliqués et la conformité aux obligations et principes applicables
Les risques identifiés et les mesures prévues pour les atténuer
La conclusion de l'évaluation et le suivi prévu

Sections potentielles	Éléments identifiés par la CAI
1. Présentation du projet	Situation légale qui motive l'EFVP; description du projet, de son contexte et de ses objectifs; parties prenantes et s'il y a lieu, consultations réalisées.
2. Renseignements personnels impliqués et conformité	Inventaire et parcours des renseignements personnels impliqués; évaluation de leur degré de sensibilité; justification de l'ampleur de l'EFVP; moyens prévus pour respecter les obligations et principes applicables (incluant, s'il y a lieu, le respect des critères liés au transit hors Québec).
3. Risques et mesures d'atténuation	Liste et catégorisation des risques identifiés; stratégies, mécanismes et mesures pour éliminer ou réduire ces risques; qui les met en œuvre, qui gérera les risques résiduels et plan d'action.
4. Décision et suivi	Plan pour la réévaluation périodique des mesures mises en place et approbation du rapport.

1. Présenter le projet évalué

Un rapport d'EFVP devrait d'abord indiquer ce qui a été évalué et pourquoi. La CAI (2024, p. 12) identifie cinq situations dans lesquelles une des lois du Québec requiert la réalisation d'une EFVP. Parmi celles-ci, si vous êtes en pratique autonome ou responsable d'une clinique privée, les deux situations qui risquent de motiver votre EFVP sont probablement parce que vous « projetez d'acquérir [...] un système d'information [...] impliquant des renseignements personnels » et/ou parce qu'un outil que vous souhaitez adopter « communiqu[e] des renseignements personnels à l'extérieur du Québec », par exemple pour utiliser un modèle d'IA générative non disponible au Québec. Ces motifs peuvent être indiqués comme raisons de l'EFVP.

Outre la description du projet, la CAI (2024, p. 14) suggère aussi d'inclure, dans un rapport d'EFVP, une description des rôles et responsabilités des personnes engagées dans l'évaluation. Naturellement, si vous êtes en pratique autonome au privé, vous êtes probablement la ou le seul responsable de votre EFVP. Pour une clinique privée, si vous n'êtes pas la personne responsable de la protection des renseignements personnels de votre organisation, celle-ci devra forcément être impliquée dans le processus. Dans les deux cas, si vous consultez d'autres parties prenantes, par exemple l'entreprise fournissant votre outil d'aide à la rédaction, vous pouvez aussi en faire état dans cette section.

Au final, cette section peut être très courte. Pour un·e psychologue ou psychothérapeute voulant utiliser Akompa Notes, elle pourrait ressembler à ce qui suit.

2. Documenter les renseignements personnels impliqués et la conformité

Cette deuxième section vise à documenter la plus grande portion de l'EFVP. Elle peut notamment indiquer : quels renseignements personnels sont traités, pourquoi ils le sont, où ils circulent, qui peut y accéder, combien de temps ils sont conservés et quels moyens sont prévus pour respecter les obligations applicables. Cela dit, il pourrait être pertinent d'y justifier d'abord l'ampleur de l'évaluation.

2.1 Ampleur de l'évaluation, sensibilité, quantité et support

Dans son guide, la CAI (2024, p. 26) explique que l'ampleur de l'EFVP « doit être proportionnée à :

La sensibilité des renseignements concernés;
La finalité de leur utilisation;
Leur quantité;
Leur répartition;
Leur support. »

L'enregistrement audio d'une séance de psychothérapie et sa transcription contiennent des renseignements très sensibles. Leur utilisation pour générer une note ne pose cependant pas les mêmes risques que leur utilisation pour entrainer un modèle d'IA. Selon que vous êtes en pratique autonome ou responsable d'une grande clinique, la quantité de renseignements que vous devrez protéger ne sera pas non plus la même. Le nombre de personnes ayant accès à ces renseignements et la répartition des territoires où ils sont traités pourraient aussi varier. Le support sera probablement numérique, mais si c'est le cas à tous les points d'accès, vous pouvez aussi préciser qu'il est sécurisé.

Dans l'exemple qui suit, les finalités pour lesquelles les renseignements sont utilisés et leur répartition ne sont pas abordés, parce qu'elles varient selon le type de renseignements. Elles sont plutôt précisées dans les tableaux des sections 2.2 et 2.3.

2.2 Inventaire, finalités et nécessité

La CAI (2024, p. 20) indique que la préparation d'une EFVP implique notamment de faire un inventaire des renseignements personnels que le projet implique, de clarifier leurs finalités et de « démontrer que les renseignements [...] sont nécessaires pour réaliser [le] projet ». Pour l'utilisation d'Akompa Notes, cela pourrait, par exemple, ressembler au tableau suivant.

Exemple de formulation

Types de renseignements personnels	Conservation dans Akompa Notes	Finalité	Nécessaire pour...
Enregistrements audios de séances	Maximum 24 h	Produire une transcription.	Bénéficier du gain de temps que peut permettre la génération de notes à partir de l'audio d'une séance.
Transcriptions	[Durée de conservation prévue ou choisie dans les paramètres de votre compte]	Servir de base à la génération de notes d'évolution.
Notes générées	[Durée de conservation prévue ou choisie dans les paramètres de votre compte]	Produire une première version de note d'évolution à réviser.
Notes révisées	[Durée de conservation prévue ou choisie dans les paramètres de votre compte]	Conserver temporairement une copie de la note finale jusqu'à ce qu'elle soit ajoutée au dossier du client.	Ne pas perdre les modifications faites dans Akompa Notes.
Identifiants de clients ([nom, code ou alias])	Jusqu'à la suppression de l'identifiant ou la fermeture du compte	Associer les notes et transcriptions au bon client et retrouver leurs séances passées dans Akompa Notes.	Organiser les séances par client et éviter de confondre les renseignements associés à différentes personnes.

Comme vous pouvez le voir, l'inventaire devrait inclure non seulement les renseignements que vous transmettez à l'outil (ici les audios de séance et les identifiants de clients), mais aussi ceux qui sont créés à partir de ces renseignements (CAI, 2024, p. 21). Par ailleurs, selon comment vous l'utilisez, une même fonctionnalité peut impliquer des renseignements personnels ou non. Dans Akompa Notes, par exemple, si vous générez un format de note personnalisé à partir d'exemples de notes de vraies séances, ces exemples seraient aussi un type de renseignements personnels à inclure dans votre inventaire. En revanche, si les exemples de notes que vous utilisez pour générer le format ne peuvent, d'aucune manière, être associés à un vrai client (p. ex. parce qu'ils portent sur une séance fictive), alors il ne s'agit pas de renseignements personnels et vous n'avez pas besoin de les considérer dans votre EFVP.

2.3 Parcours, fournisseurs et territoires

La CAI (2024, p. 23) définit le parcours des renseignements comme « une représentation ou une description structurée des étapes de traitement des renseignements de leur collecte à leur destruction, qui précise les organisations, les personnes, les systèmes et les supports concernés ». Elle indique que ce parcours permet aussi de préciser où les renseignements sont répartis.

Comme pour l'ampleur de votre évaluation, la manière dont vous documentez ce parcours peut être proportionnée à votre contexte. Si vous êtes en pratique autonome, vous jugerez peut-être qu'un bref paragraphe suivi d'un tableau comme ci-dessous sont suffisants.

Exemple de formulation

Dans le parcours ci-dessous, Akompa est l'organisation qui me fournit le service et intervient à chaque étape par le biais de son application. J'interviens lorsque je soumets, consulte, révise, conserve ou supprime des renseignements dans Akompa Notes. Mes clients n'ont pas accès à Akompa Notes; ils ne sont directement impliqués que lorsque l'audio de leur séance est enregistré.

Étape du parcours	Renseignements concernés	Fournisseurs d'Akompa impliqués et territoires où les renseignements sont traités
Enregistrement ou téléversement d'un audio	Audio de séance	(Le contenu de cette colonne serait à rédiger en fonction des informations les plus récentes publiées par Akompa, notamment sur notre page de Transparence.)
Transcription de l'audio	Audio de séance; transcription produite à partir de l'audio
Génération d'une note d'évolution	Transcription; note générée
Révision de la note	Note générée et versions de la note révisée
Suppression manuelle de renseignements, fin de période de conservation ou fermeture du compte	Audios, transcriptions, notes générées et révisées et identifiants de clients

2.4 Conformité aux obligations et principes de protection des renseignements personnels

Selon la CAI (2024, p. 4), le premier facteur relatif à la vie privée qui doit être évalué, dans une EFVP, est la « conformité du projet à la législation applicable en matière de protection des renseignements personnels et le respect des principes l'appuyant ». Si le projet implique de traiter des renseignements personnels à l'extérieur du Québec, l'EFVP doit également démontrer « que le renseignement bénéficierait d'une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus » (CAI, 2024, p. 49).

Ces principes ne sont pas définis précisément dans les lois qui prescrivent l'EFVP, mais dans son guide, la CAI (2024, p. 49) fournit une liste non exhaustive de « principes intégrés dans de nombreuses lois sur la protection des renseignements personnels et dans d'autres documents significatifs en cette matière » qui peuvent être considérés. Cette liste inclut notamment la responsabilité, la limitation de la collecte, la sécurité, la transparence, le consentement et l'exactitude.

Pour l'utilisation d'Akompa Notes, vous trouverez une manière de documenter la conformité à ces obligations et principes dans notre exemple complet de rapport. L'exemple ci-dessous en donne un aperçu.

Exemple de formulation

Éléments évalués	Constats et moyens prévus pour respecter les obligations et principes applicables
Responsabilité	Comme [profession] en pratique autonome, je suis responsable de décider si l'utilisation d'Akompa Notes est appropriée dans mon contexte et de protéger les renseignements personnels de mes clients dans le cadre de cette utilisation.
Limitation de la collecte et de l'utilisation	Je limite les renseignements que je recueille et que j'utilise, pour ce projet, à ce qui est nécessaire pour les finalités décrites à la section 2.2. Ces renseignements sont communiqués aux fournisseurs technologiques indiqués à la section 2.3 seulement pour fournir les fonctions nécessaires au service, ce qui exclut leur utilisation pour entraîner ou améliorer un système d'IA.
Sécurité et encadrement contractuel	Les renseignements traités dans Akompa Notes sont protégés notamment par le chiffrement des données transmises (TLS) et stockées (AES-256), par les certifications de sécurité (ISO 27001) et les rapports d'audit de sécurité (SOC 2) des fournisseurs technologiques d'Akompa, ainsi que par les contrats de traitement des données conclus entre Akompa et ces fournisseurs. L'accès à mon compte Akompa Notes et à l'appareil que j'utilise pour y accéder est protégé par mot de passe.
Transparence et consentement pour l'audio	Avant d'enregistrer ou d'utiliser l'audio d'une séance dans Akompa Notes, j'obtiens un consentement libre et éclairé des personnes concernées.
Exactitude des renseignements conservés	Je révise toute note générée avant de l'utiliser au dossier officiel du client, afin de m'assurer que les renseignements conservés sont exacts et appropriés à ma tenue de dossier.
Traitement hors Québec et protection adéquate	Les traitements hors Québec indiqués à la section 2.3 sont limités à des fonctions nécessaires au service. En tenant compte de la sensibilité des renseignements, des finalités limitées, des territoires concernés, du régime juridique applicable aux États-Unis, de la limitation des usages décrite ci-dessus, ainsi que des mesures techniques et contractuelles prévues, je considère que ces traitements offrent une protection adéquate pour mon utilisation prévue d'Akompa Notes.

3. Identifier les risques et les mesures d'atténuation

Les deux autres facteurs relatifs à la vie privée à évaluer dans une EFVP, selon la CAI (2024, p. 4), sont les « risques d'atteinte à la vie privée engendrés par le projet » et les stratégies à mettre en place pour éviter ou réduire ces risques. Elle rappelle que dès qu'un projet implique des renseignements personnels, il présente nécessairement des risques d'atteinte à la vie privée. Elle donne notamment comme exemples le manque d'information fournie aux personnes concernées, la divulgation non autorisée, le vol de renseignements et la conservation de renseignements dont l'utilité n'est plus démontrée (CAI, 2024, p. 32-33).

La CAI (2024, p. 34-41) recommande aussi d'évaluer les conséquences possibles de chaque risque identifié, le niveau de risque avant la mise en oeuvre de stratégies ou mesures additionnelles, puis le niveau de risque résiduel après leur mise en oeuvre. Pour l'évaluation d'un outil d'IA qui facilite la rédaction de notes et de rapports, ces éléments pourraient tous être documentés dans un même tableau. Notre exemple complet de rapport d'EFVP offrent une idée de à quoi cela pourrait ressembler, pour un·e psychologue ou psychothérapeute souhaitant utiliser Akompa Notes. L'exemple ci-dessous en présente un aperçu pour quelques risques, sans les deux colonnes évaluant le niveau de risque avant et après le plan d'action.

Exemple de formulation

Risque identifié	Conséquences possibles	Mesures documentées qui réduisent ce risque	Mon plan d'action
Accès non autorisé aux renseignements	Atteinte à la confidentialité de renseignements très sensibles; perte de confiance; détresse ou autres préjudices semblables.	Mesures techniques, contractuelles et organisationnelles décrites à la section 2.4 et dans la documentation publique d'Akompa.	Protéger mon compte et l'adresse courriel qui y est liée avec des mots de passe forts et uniques; ne donner accès à ces comptes à personne d'autre; n'identifier les clients que par un [code ou alias] qu'un tiers ne pourrait aisément rattacher à la personne concernée.
Conservation plus longue que nécessaire	Maintien inutile de renseignements sensibles dans Akompa Notes, augmentant l'exposition en cas d'incident.	Suppression automatique des audios dès qu'ils ne sont plus utiles, et des autres renseignements selon mes paramètres de conservation; possibilité de suppression manuelle en tout temps.	Choisir les paramètres de conservation les plus courts compatibles avec mon utilisation; réviser périodiquement mes paramètres.
Traitement de renseignements sans consentement valide	Atteinte à l'autonomie du client, au secret professionnel et à son attente raisonnable de confidentialité.	L'obtention d'un consentement valide est une des conditions d'utilisation du service.	Obtenir un consentement libre et éclairé avant d'enregistrer ou d'utiliser l'audio d'une séance dans Akompa Notes; m'assurer que mes paramètres demeurent configurés pour supprimer les renseignements à l'intérieur du délai de traitement consenti; les supprimer manuellement si un client retire son consentement.

4. Conclure l'évaluation et prévoir le suivi

La dernière section du rapport sert notamment à documenter la décision à laquelle vous arrivez à la suite de votre EFVP : utiliser l'outil, ne pas l'utiliser, l'utiliser seulement dans certaines conditions, ou reporter la décision en attendant certaines clarifications.

Pour guider cette décision, la CAI (2024, p. 41) nous invite à réfléchir aux questions suivantes :

« À la lumière de l'ensemble de votre EFVP, est-ce que la solution que vous proposez pour atteindre vos objectifs paraît toujours proportionnelle, compte tenu des risques résiduels ? »
« Est-ce que tous les renseignements personnels impliqués sont nécessaires ? »
« En cas de plainte par une personne concernée ou de vérification par un organisme de contrôle, serez-vous prêt à répondre aux questions sur le fait que votre solution est proportionnelle ? »

La CAI (2024, p. 41) souligne aussi l'importance de maintenir l'EFVP à jour en la révisant, au besoin. L'exemple ci-dessous présente quelques conditions dans lesquelles une révision pourrait être considérée, y compris un mécanisme de révision périodique.

Enfin, si vous documentez une EFVP pour une clinique (ou une organisation autre) et n'avez pas l'autorité d'approuver seul·e l'adoption de l'outil d'IA évalué, cette section peut aussi servir à documenter l'approbation de la ou des autres personnes ayant cette autorité. Par contre, si vous êtes en pratique autonome et que vous avez déjà indiqué votre nom dans la première section du rapport, vous jugerez peut-être suffisant de n'indiquer ici que la date de votre décision.

Questions pratiques à poser à votre fournisseur

Les questions suivantes peuvent vous aider à évaluer la transparence d'un fournisseur et à réunir les informations nécessaires pour documenter votre EFVP.

Inventaire et parcours des données

À partir des données relatives à mes clients que je vous fournis (p. ex. audios de séance et identifiants de clients), quels sont les types de données ou renseignements que vous produisez (incluant ceux que je ne peux pas voir dans votre outil)?
Pourquoi chaque type de données est-il nécessaire?
Combien de temps conservez-vous chaque type de données?
Quel est le parcours de chaque type de données, de son ajout dans votre système jusqu'à sa destruction ou son anonymisation?
Comment les données sont-elles détruites ou anonymisées?

Fournisseurs et sous-traitants

Parmi vos fournisseurs, lesquels participent au traitement des données relatives à mes clients (que je fournis et que vous produisez)?
Pour chaque fournisseur impliqué, sur quels territoires les données sont-elles traitées, pour quelles finalités, et pendant combien de temps?
Vous ou vos fournisseurs pouvez-vous utiliser les données à d'autres fins, par exemple pour entraîner ou améliorer des modèles d'IA? Si non, quelles garanties encadrent cette interdiction?
Si des renseignements personnels relatifs à mes clients quittent le Québec, même temporairement, comment vos fournisseurs et vous assurez-vous qu'ils bénéficient d'une protection adéquate?

Accès, sécurité et contrats

Quels accès aux données sont humains, techniques, automatisés ou exceptionnels?
Dans quelles circonstances une personne de votre équipe ou de celle d'un de vos fournisseurs pourrait-elle accéder aux données relatives à mes clients?
Quelles mesures de sécurité protègent les données?
Quelles mesures contractuelles encadrent vos fournisseurs?

Changements, incidents et documentation

Comment serai-je informé si vos fournisseurs, vos territoires de traitement, vos durées de conservation, vos usages de l'IA ou vos mesures de protection changent de manière importante?
Est-ce que vos fournisseurs vous informeront en cas d'incident de confidentialité impliquant les données relatives à mes clients? Comment et dans quels délais serai-je informé si un tel incident survient?
Avez-vous une page web ou d'autres ressources où vous diffusez et mettez à jour les informations qui répondent aux questions ci-dessus?

Conclusion

La prudence des psychologues et psychothérapeutes face à l'utilisation de l'IA pour leur tenue de dossier est légitime. Elle peut aussi être très utile si elle mène à de meilleures questions, à une meilleure documentation et à des exigences plus claires envers les fournisseurs.

Un outil d'IA pour les notes et rapports ne devrait pas être une boîte noire. Un professionnel devrait pouvoir comprendre quelles données sont traitées, pourquoi, où, par quels fournisseurs, pendant combien de temps et avec quelles mesures de protection. Pour Akompa Notes, vous trouverez ces informations sur notre page de Transparence et dans l'exemple d'EFVP disponible aux utilisateurs inscrits sur notre page de Ressources.

Référence

Commission d'accès à l'information du Québec (CAI). (2024). Réaliser une évaluation des facteurs relatifs à la vie privée : Guide d'accompagnement à la démarche et à sa documentation (version 3.1). Repéré au https://www.cai.gouv.qc.ca/uploads/pdfs/CAI_GU_EFVP.pdf.