Vincent Gautrais

Rayene Rezkallah est étudiante dans le cadre du cours DRT6929E (Vie privée + numérique)

Le 13 mars 2025, le chef gouvernemental de la sécurité de l’information a interdit l’utilisation des assistants virtuels fournis par la société Hangzhou DeepSeek Artificial Intelligence Basic Technology Research Co., Ltd ou par toute autre entité connexe. Cette interdiction s’applique à tous les organismes publics visés à l’article 2 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement.

 

I. Mise en contexte

DeepSeek est une plateforme d’intelligence artificielle générative (« IAG ») fondée par un important fonds spéculatif chinois et ayant gagné en popularité après le lancement de son tout dernier modèle Open Source, rivalisant ainsi avec les principales plateformes américaines déjà sur le marché telle que OpenAI.

Comme avec d’autres modèles d’IAG, il est possible de lui poser des questions et d’obtenir des réponses, de réaliser des recherches sur le web, ou encore d’exploiter son modèle de raisonnement pour élaborer davantage ses réponses.

DeepSeek semble collecter un volume de données sur l’utilisateur pour ensuite les transférer au gouvernement chinois, ce qui donne lieu à de sérieux risques de brèche de sécurité. Ce contexte de surveillance, propre au fonctionnement de DeepSeek, représente une menace pour la confidentialité des utilisateurs et la protection de leurs renseignements personnels, d’autant qu’ils ne peuvent saisir pleinement les implications liées à l‘utilisation d’un outil d’IAG étroitement contrôlé par les autorités.

Par ailleurs, la plateforme est régie par la législation chinoise, la soumettant à des règles strictes en matière de censure et de régulation des données.  Selon ses Conditions d’Utilisation, tout différend est régi par les lois de la République populaire de Chine et doit être porté devant un tribunal de Hangzhou.

 

II. La Politique de Confidentialité

Selon la Politique de Confidentialité (la « Politique ») de DeepSeek, les renseignements suivants sont automatiquement collectés dès lors que l’utilisateur use des services de la plateforme :

• Renseignements relatifs au compte: Tous les renseignements fournis lors de la création d’un compte, tels que la date de naissance, le nom d’utilisation, l’adresse courriel et/ou le numéro de téléphone, ainsi que le mot de passe.
• Données saisies par l’utilisateur : Tous les éléments collectés lors de l’interaction avec l’IAG, notamment les saisies de texte, les requêtes, les fichiers importés, les retours (« feedback »), l’historique de discussion ou tout autre contenu transmis.
• Données de communication lors de la prise de contact avec le support : Tous les renseignements envoyés, comme toute preuve d’identité ou d’âge, les coordonnées, les commentaires ou les questions au sujet de l’utilisation des services, ou toute information sur des violations allégués des Conditions d’utilisation.
• Détails relatifs à l’appareil et au réseau : Ces renseignements comprennent le modèle de l’appareil, son système d’exploitation, l’adresse IP, les identifiants de l’appareil et la langue utilisée.
• Informations de journal : Certains renseignements concernant l’utilisation des services, tels que les fonctionnalités utilisées et les actions entreprises.
• Données de localisation: Les renseignements concernant la location approximative de l’utilisateur en fonction de son adresse IP, à des fins de sécurité.
• Renseignements de paiement : Lors de l’utilisation de services payants nécessitant un prépaiement, les renseignements de commande et de transaction sont collectés.
• Témoins de connexion (« cookies »).

La Politique autorise DeepSeek à utiliser l’ensemble de ces renseignements pour opérer, fournir et développer leur service, notamment pour le perfectionner :

« To improve and develop the Services and to train and improve our technology, such as our machine learning models and algorithms. Including by monitoring interactions and usage across your devices, analyzing how people are using it, and training and improving our technology. »

Elle autorise également la plateforme à partager tous les renseignements personnels collectés avec les organes chargées de l’application de la loi, les autorités publiques et toutes autres tierces parties si cela s’avérait nécessaire afin de se conformer aux lois applicables. En vertu des lois chinoises sur la cybersécurité, les entreprises doivent coopérer avec les efforts de renseignement de l’État.

Ces renseignements sont conservés aussi longtemps qu’il est nécessaire pour fournir les services et pour les autres finalités décrites dans la Politique. La durée de conservation varie alors en fonction de la quantité, du type et de la sensibilité des renseignements, des finalités pour lesquelles ils sont utilisées et de toute obligation légale ou réglementaire.

Par ailleurs, DeepSeek se réserve le droit de communiquer ces renseignements avec des tiers tels que des fournisseurs de services, des partenaires commerciaux, ou d’autres parties dans le cadre d’une fusion, d’une vente d’actifs ou d’actions, d’une réorganisation, d’un financement, ou de l’acquisition de tout ou partie de l’entreprise.

Aucune exception n’est prévue pour limiter la collecte et l’utilisation de ces renseignements personnels, bien que la Politique indique que, selon la région, l’utilisateur pourrait « bénéficier de certains droits » au regard de ces renseignements, tel que le droit de savoir comment ils sont collectés et utilisés. Toutefois, il est clairement mentionné que l’exercice de ce droit peut affecter l’accès aux services.

Enfin, DeepSeek entrepose tous les renseignements collectés dans des serveurs sécurisés situés en République populaire de Chine.

Ce traitement de renseignements personnels par DeepSeek présente des failles importantes au regard des exigences québécoises et canadiennes :

• Absence de consentement:   La Politique empêche un consentement véritablement libre, éclairé et manifeste, en ce qu’elle est rédigée uniquement en anglais et ne fournit pas d’informations suffisantes sur les modalités de traitement des renseignements;
• Portée excessive de la collecte: L’ampleur des renseignements recueillis dépasse ce qui est strictement nécessaire pour le fonctionnement de la plateforme.
• Utilisation secondaire des données: Le fait d’utiliser les interactions des utilisateurs pour entrainer l’IAG est en soi une exploitation non consentie des renseignements.
• Entreposage des renseignements personnels en Chine: Aucune mesure de sécurité n’est mise en place afin d’assurer la protection des renseignements personnels collectés, utilisés et conservés.

Les modalités de collecte et d’utilisation des renseignements personnels par Deepseek sont incompatibles avec les exigences en matière de protection des renseignements personnels applicables aux organismes publics et aux entreprises œuvrant au Québec. Cette absence de garanties adéquates justifie alors son interdiction dans l’administration publique.

 

III. Interdiction dans l’Administration publique et mesures gouvernementales

L’interdiction s’appuie sur l’Arrêté ministériel 2024-01, qui définit les orientations en matière de ressources informationnelles quant à l’utilisation de l’intelligence artificielle. Elle vise expressément à prévenir les atteintes à la confidentialité, à l’intégrité et à la disponibilité de l’information détenue par les organismes publics, ce qui constitue un principe fondamental de la sécurité de l’information, tel que défini à l’article 12.2 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement. Le devoir de veiller à son application incombe aux chefs délégués à la sécurité de l’information de chaque organisme public.

Les organismes publics étant visé par l’interdiction sont les organismes formant l’Administration publique et comportent, notamment, les ministères du gouvernement, certains organismes budgétaires, les centres de services scolaires et les commissions scolaires, les collèges d’enseignement général et professionnel et certains établissements d’enseignement de niveau universitaire, ainsi que les établissements publics visés par la Loi sur les services de santé et les services sociaux.

Ces organismes doivent interdire à leur personnel, dans le cadre de leurs fonctions, toute utilisation de DeepSeek, qu’il s’agisse d’une application, d’un site Web ou de toute autre forme d’accès. Ils doivent également leur en interdire le téléchargement et l’usage du code source. L’obligation s’étend également aux prestataires de services concernés par une telle plateforme.   En outre, ils se doivent de les informer des risques associés à l’utilisation de la plateforme, notamment les enjeux de surveillance et de non-conformité aux lois québécoises sur la protection des renseignements personnels.

Il est important de souligner que cette interdiction s’inscrit dans la démarche gouvernementale, initiée par le ministère de la Cybersécurité et du Numérique, qui vise à  limiter l’utilisation des outils d’IAG.  On y relève plusieurs enjeux liés à l’utilisation de ces technologies, notamment :

• « des risques liés à la sécurité de l’information, comme la communication de données à l’extérieur de l’organisme public;
• des risques liés à la protection des renseignements personnels, comme la conservation de ces informations confidentielles par ce type d’assistant virtuel;
• des enjeux éthiques liés à son utilisation, comme la présence de biais dans les résultats, de même que des protocoles de transparence et de responsabilité encore embryonnaires. »

Toutefois, contrairement à DeepSeek, dont l’interdiction est totale, l’utilisation et l’intégration des assistants virtuels s’appuyant sur l’IAG ne sont pour l’instant que suspendus au sein de l’Administration publique.

 

IV. Réactions Internationales

L’utilisation de DeepSeek soulève d’importantes préoccupations géopolitiques, notamment quant aux transferts de renseignements personnels, aux risques de surveillance et à la gouvernance même de l’IAG. Ces risques pour la sécurité de l’information avaient déjà alerté plusieurs juridictions, qui ont, à leur tour, émis des réserves, voire instauré des interdictions.

L’Italie a interdit l’accès à la plateforme après que celle-ci ait échoué à répondre aux inquiétudes formulées par l’Autorité italienne de protection des données concernant sa Politique. De même, aux États-Unis, un projet de loi bipartite au Sénat vise à interdirel’utilisation de DeepSeek sur les appareils et réseaux du gouvernement fédéral. Le gouvernement australien a également interdit l’accès à DeepSeek pour tous ses organes gouvernementaux. Enfin, des enquêtes sont en cours dans plusieurs pays, notamment en France, en Irlande et en Belgique,  sur les pratiques de DeepSeek relatives à la collecte des renseignements personnels.

Le contexte mondial actuel, caractérisé par cette concurrence accrue dans le domaine de l’intelligence artificielle, rend indispensable la mise en place de régulations afin d’harmoniser les pratiques et se prémunir contre les risques pesant sur la souveraineté numérique et la sécurité de l’information.  L’avenir de l’IAG sera inévitablement façonné par cet équilibre délicat entre l’innovation technologique et la protection des renseignements personnels, tant au niveau national, qu’international.

Ce contenu a été mis à jour le 27 mars 2025 à 12 h 35 min.