Le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (le « CIPVP ») a reçu une plainte concernant l’utilisation par l’Université McMaster (« McMaster » ou l’« université ») du logiciel de surveillance d’examens Respondus, en vertu de la Loi sur l’accès à l’information et la protection de la vie privée (la « LAIPVP » ou la « Loi »). Ce logiciel se compose de deux applications. L’application Respondus LockDown Browser limite l’accès des utilisateurs au contenu de leur ordinateur, et l’application Respondus Monitor analyse des données audio et vidéo des étudiants au cours des examens pour déterminer s’il y a tricherie. Le plaignant ne souhaitait pas que le CIPVP communique son nom et sa plainte à l’université; la commissaire a donc ouvert un dossier de plainte concernant l’utilisation par l’université de ce logiciel de surveillance d’examens.
Ce rapport conclut que la tenue d’examens et la nomination d’examinateurs constituent des activités de l’université qui sont autorisées par la loi. La surveillance des examens en ligne pour assurer leur intégrité représente un élément approprié de la tenue de certains types d’examens, et constitue également une activité autorisée par la loi. Quant à savoir s’il est nécessaire de recueillir des renseignements personnels au moyen du logiciel de surveillance d’examens Respondus pour surveiller les examens, j’estime que l’application Respondus LockDown Browser recueille peu de renseignements personnels, et qu’elle recueille et utilise uniquement ceux qui sont nécessaires à son fonctionnement. L’application Respondus Monitor recueille des données plus délicates, dont des données biométriques, et utilise la technologie de l’intelligence artificielle (IA), ce qui est plus préoccupant. Comme les renseignements personnels recueillis par Respondus Monitor au nom de l’université sont nécessaires aux fins du fonctionnement de cet outil aux fins de la surveillance d’examens, cette collecte est autorisée en vertu du paragraphe 38 (2) de la Loi. Cependant, l’université n’a pas donné un avis suffisant de la collecte de renseignements personnels, comme l’exige le paragraphe 39 (2) de la Loi, et l’utilisation des renseignements personnels des élèves au moyen de l’application Respondus Monitor n’est pas conforme au paragraphe 41 (1). En outre, le contrat actuel entre l’université et Respondus est contraire au paragraphe 41 (1) de la Loi car il ne protège pas adéquatement tous les renseignements personnels recueillis et il permet à Respondus d’utiliser ces renseignements sans le consentement des étudiants à des fins d’amélioration du système.
Dans ce rapport, je formule à l’intention de l’université un certain nombre de recommandations pour qu’elle se conforme à la Loi. Étant donné les risques accrus qui sont associés aux technologies de l’IA, je recommande également à l’université de poser des balises supplémentaires pour encadrer son utilisation de l’application Respondus Monitor et d’assujettir en permanence l’usage de ce logiciel et tout contrat futur avec Respondus à ces mesures de protection plus strictes.
Nota : En date du 1er novembre 2024, McMaster avait donné suite aux recommandations formulées dans ce rapport à la satisfaction du CIPVP, et le dossier a été clos.