ISDE publie un document complémentaire au projet de loi sur l’IA : échéancier, lignes directrices et application

ISDE publie un document complémentaire au projet de loi sur l’IA : échéancier, lignes directrices et application

Le nombre d’entreprises ayant adopté l’intelligence artificielle (l’« IA ») a plus que doublé depuis 2017[1]. La vitesse à laquelle cette technologie se développe et se démocratise fait craindre une surveillance déficiente dans ce domaine. De grands noms de l’IA ont récemment signé une lettre ouverte invitant les entreprises à en interrompre le développement pendant six mois, le temps d’établir et de mettre en application une série de protocoles de sécurité communs pour la conception d’IA avancées[2].

Les gouvernements commencent à se mobiliser pour réglementer le secteur. L’Union européenne, le Royaume-Uni, les États-Unis et – plus récemment – la Chine ont commencé à proposer ou à mettre en œuvre des règlements sur l’IA pour atténuer et contrôler les effets négatifs de cette technologie.

Le Canada ne fait pas exception : déposée l’été dernier, la Loi sur l’intelligence artificielle et les données (la « LIAD »), un volet du projet de loi C-27, est à l’étude au Parlement[3]. Des participants aux débats parlementaires ont critiqué son manque de substance, au motif que des termes et des exigences clés seront définis dans des règlements qui restent à rédiger. Possiblement en réponse à cette critique, Innovation, Sciences et Développement économique Canada (« ISDE ») a publié, le mois dernier, un document de politique complémentaire à la LIAD (le « document complémentaire »), qui donne des précisions sur son fonctionnement.

Le présent bulletin résume les principaux points du document complémentaire et donne une idée de ce que doivent retenir les entreprises qui participent actuellement au développement ou à l’utilisation de systèmes d’IA.

Un échéancier sur deux ans

Dans le document complémentaire, le gouvernement souligne qu’il adopte une approche agile quant à la réglementation de l’IA et qu’il élabore et évalue les mesures réglementaires en consultant les parties prenantes et en collaborant étroitement avec elles. Voici à quoi devrait ressembler l’échéancier de mise en œuvre des premiers règlements de la LIAD :

• Consultation sur la réglementation (6 mois)
• Élaboration de projets de réglementation (12 mois)
• Consultation sur le projet de règlement (3 mois)
• Entrée en vigueur du premier ensemble de règlements (3 mois)

Selon cet échéancier, les dispositions de la LIAD entreront en vigueur au moins deux ans après que le projet de loi C-27 aura reçu la sanction royale (au plus tôt en 2025).

Des précisions sur les systèmes à incidence élevée

La LIAD viserait principalement à encadrer les « systèmes d’IA à incidence élevée ». L’un des principaux reproches concernant son libellé tient au fait que ce terme n’est pas défini. Sans toutefois fournir de définition précise, le document complémentaire nomme des facteurs importants pour aider les entreprises à savoir quels systèmes seront considérés comme ayant une incidence élevée :

• Des preuves de l’existence de risques de préjudices physiques ou psychologiques, ou d’un risque d’impact négatif sur les droits de la personne, en fonction à la fois de l’objectif et des conséquences potentielles non intentionnelles;
• La gravité des préjudices potentiels;
• L’ampleur de l’utilisation;
• La nature des préjudices ou des impacts négatifs qui ont déjà eu lieu;
• La mesure dans laquelle, pour des raisons pratiques ou juridiques, il n’est pas raisonnablement possible de se retirer de ce système;
• Les déséquilibres en matière de pouvoir, de connaissances, de situation économique ou sociale, ou d’âge des personnes touchées;
• La mesure dans laquelle les risques sont réglementés de façon adéquate en vertu d’une autre loi.

En plus de ces facteurs, le document complémentaire nomme quelques types précis de systèmes d’IA qui, vu leur incidence potentielle, intéressent particulièrement le gouvernement. On parle, entre autres, des systèmes de présélection qui ont une incidence sur l’accès aux services ou à l’emploi, des systèmes biométriques utilisés pour l’identification et l’inférence, des systèmes capables d’influencer le comportement humain à grande échelle (p. ex., systèmes de recommandation de contenu en ligne) et des systèmes critiques pour la santé et la sécurité.

Une attention particulière aux préjudices et aux résultats biaisés

La LIAD obligerait les responsables d’un système à incidence élevée à établir des mesures visant à cerner, évaluer et atténuer les risques de préjudice ou de résultats biaisés que pourrait entraîner l’utilisation du système.

• Préjudice s’entend d’un préjudice physique ou psychologique subi par un individu, d’un dommage à ses biens ou d’une perte économique subie par un individu. Le document complémentaire ajoute que les groupes plus vulnérables, tels que les enfants, peuvent être exposés à un plus grand risque de préjudice d’un système d’IA à incidence élevée et nécessiter des efforts spécifiques d’atténuation des risques.
• Résultat biaisé désigne du contenu généré, une prédiction ou une recommandation faite ou une décision prise par un système d’IA qui défavorise, directement ou indirectement, sans justification, un individu sur le fondement d’un ou de plusieurs motifs de distinction illicite prévus par la Loi canadienne sur les droits de la personne. La LIAD ne considère pas comme biaisés les résultats d’un système d’IA qui opère une distinction dans le but de réduire les désavantages que fait subir la discrimination à un groupe de personnes.

Il sera intéressant de voir comment la LIAD traitera le problème des résultats biaisés de systèmes d’IA conçus par apprentissage automatique (souvent dits « opaques », vu les difficultés d’interprétation). Or, il est souvent difficile de déceler les biais d’un système sans avoir une idée précise des processus décisionnels. À cette fin, le Commissariat à la protection de la vie privée du Canada a récemment lancé une série de billets sur les forces et les faiblesses des différents modèles d’équité algorithmique et sur les moyens pratiques de mesurer et d’accroître l’équité en fonction des résultats des systèmes en question[4].

Les principes directeurs sont là, mais les mesures précises se font attendre

Ni la LIAD ni le document complémentaire ne précisent les mesures que les entreprises devront prendre pour relever, évaluer et atténuer les risques de préjudice ou de résultat biaisé avant qu’un système à incidence élevée ne soit accessible aux utilisateurs. Le document complémentaire dresse cependant une liste de six principes directeurs pour la définition des obligations applicables aux systèmes d’IA à incidence élevée. Inspirés des normes internationales sur la gouvernance des systèmes d’IA, ces principes sont les suivants :

1. Supervision humaine et surveillance : Les responsables des opérations du système doivent pouvoir exercer une supervision importante, laquelle implique un niveau d’interprétabilité de base. Une surveillance appropriée passe aussi par la mesure et l’évaluation des systèmes et de leurs résultats.
2. Transparence : Il faut fournir au public des informations appropriées sur la manière dont les systèmes sont utilisés, de sorte qu’il en comprenne les capacités, les limites et les impacts.
3. Justice et équité : Les entreprises doivent avoir conscience du potentiel de résultats discriminatoires des systèmes qu’ils construisent et prendre des mesures appropriées afin d’atténuer les risques de ces résultats pour les individus et les groupes.
4. Sécurité : Les systèmes doivent faire l’objet d’une évaluation proactive pour des préjudices qui pourraient résulter de leur utilisation, y compris un mésusage raisonnablement prévisible.
5. Responsabilité : Les organisations doivent mettre en place les mécanismes de gouvernance nécessaires pour assurer le respect de toutes les obligations légales applicables aux systèmes, compte tenu de leur contexte d’utilisation.
6. Validité et robustesse : Les systèmes doivent fonctionner conformément aux objectifs prévus et demeurer stables et résilients dans diverses circonstances.

D’après le document complémentaire, les mesures seront conçues en fonction du contexte et des risques associés aux activités exercées par une entreprise dans le cycle de vie d’un système d’IA à incidence élevée. Par exemple, les mesures imposées ne seront pas les mêmes selon que l’entreprise conçoit un système d’IA à incidence élevée ou qu’elle en met un à disposition. Les mesures ou les obligations imposées à chaque entreprise seront proportionnelles aux risques que comportent leurs activités réglementées aux termes de la LIAD.

Un processus de surveillance et d’application en deux phases

Le sujet de l’application fait couler beaucoup d’encre, étant donné que le libellé actuel prévoit des amendes pouvant atteindre 25 000 000 $ ou 5 % des recettes globales brutes de l’organisation, si ce montant est plus élevé.

Le document complémentaire décrit en détail la stratégie de surveillance et d’application de la LIAD. Le travail d’application se déroulera vraisemblablement en deux phases. Une fois la LIAD en vigueur, le travail d’application visera principalement à favoriser la conformité en informant les entreprises et en établissant des lignes directrices. L’intention du gouvernement consiste à donner aux entreprises assez de temps pour s’ajuster au nouveau cadre.

Par la suite, les pouvoirs publics prendront des mesures plus strictes pour assurer la conformité, notamment des sanctions administratives pécuniaires et des poursuites en cas de manquement à un règlement ou d’infraction criminelle proprement dite. Les sanctions relèveront respectivement du ministre de l’Innovation, des Sciences et de l’Industrie, et les poursuites en vertu de la LIAD ou de ses règlements, du Service des poursuites pénales du Canada. Il importe de noter que si la LIAD prévoit déjà certaines infractions criminelles, la version actuelle du projet ne permet que la création d’un régime de sanctions administratives pécuniaires. La forme exacte des sanctions sera déterminée par règlement, au terme d’un processus de consultation.

Ce que les entreprises doivent retenir

• Le gouvernement entend réglementer l’IA avec agilité et flexibilité et collaborer étroitement avec les parties prenantes.
• Si la LIAD est adoptée, il faudra au moins deux ans pour que des mesures et des règles précises entrent en vigueur. Durant cette période, le gouvernement entend mener des consultations auprès des parties prenantes et publier des projets de règlement.
• Il est proposé de déployer la LIAD en deux phases : 1) une approche axée sur la collaboration et la sensibilisation; 2) un resserrement des mesures (p. ex., sanctions pécuniaires, poursuites).
• La notion de systèmes d’IA à incidence élevée n’a pas encore été définie avec précision, mais elle comprendra vraisemblablement des facteurs importants – vus précédemment – comme les risques de préjudices, l’ampleur de l’utilisation et la vulnérabilité des personnes touchées.
• Bien qu’aucune règle ou mesure précise n’ait encore été proposée, le document complémentaire énonce six principes directeurs pour l’élaboration des règlements : 1) supervision humaine et surveillance; 2) transparence; 3) justice et équité; 4) sécurité; 5) responsabilité; 6) validité et robustesse.
• Les règles s’appliqueraient différemment aux divers acteurs du domaine de l’IA, dont ceux qui prennent part au développement, à la commercialisation ou à l’exploitation de systèmes d’IA.

[1] The state of AI in 2022—and a half decade in review | McKinsey.
[2] Pause Giant AI Experiments: An Open Letter | Future of Life Institute.
[3] La LIAD a été présentée dans le cadre du projet de loi C-27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois, connu sous le titre abrégé Loi de 2022 sur la mise en œuvre de la Charte du numérique. Voir l’état dans LegisInfo en cliquant ici.
[4] Blogue Savoir Techno: Le choc des mondes – les possibilités et les limites de l’équité algorithmique, 1^re partie et 2^e partie | Commissariat à la protection de la vie privée du Canada.

par Robbie Grant et Sam Kelley (stagiaire en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2023