Le 15 juin 2022, le ministre de l’Innovation, des Sciences et de l’Industrie, François-Philippe Champagne, a introduit le projet de loi C-27, introduisant trois nouvelles lois.
Le nouveau projet de loi reprend en grande partie son prédécesseur, le projet de loi C-11, déposé en 2020, réintroduisant une version modifiée de la Loi sur la protection de la vie privée des consommateurs (« LPVPC ») et la Loi sur le Tribunal de la protection des renseignements personnels et des données (« LTPRPD »).
Le projet de loi introduit aussi une nouvelle loi, expliquée plus en détail au sein de ce bulletin, soit la Loi sur l’intelligence artificielle et les données (« LIAD »). La LIAD vise principalement à réglementer le développement et l’utilisation de système d’intelligence artificielle (« IA » ou « système d’IA ») dans le secteur privé.
Cette loi serait une première au Canada si adoptée: aucun territoire ou aucune province n’a déposé de loi visant à réglementer le développement et l’utilisation d’IA dans le secteur privé. Le Canada serait d’ailleurs la seconde juridiction parmi les juridictions avec des marchés importants (après l’Union européenne) à introduire un projet de loi visant ce domaine.
Les éléments clés
Cet article donne un aperçu des principaux aspects de la LIAD et de son impact sur les entreprises canadiennes. Comme il est expliqué plus en détail dans le présent bulletin, ce nouveau régime régissant les systèmes d'IA comprendrait les éléments suivants:
- Un régime fondé sur des principes, par opposition à un régime fondé sur des droits:
- La LIAD vise à garantir une gouvernance et un contrôle appropriés des systèmes d'IA et ne crée pas de nouveaux droits individuels.
- La LIAD vise à prévenir (i) les dommages physiques ou psychologiques à un individu, les dommages à la propriété d'un individu et les pertes économiques à un individu, et (ii) les résultats biaisés (résultats des systèmes d'IA qui établissent une distinction négative sans justification sur un ou plusieurs des motifs de discrimination interdits par la Loi canadienne sur les droits de la personne).
- Un champ d’application large:
- La définition du système d'IA fournie dans la LIAD est large, vraisemblablement pour répondre au large éventail de risques pour les droits individuels que présente l'utilisation des systèmes d'IA.
- L'éventail des personnes tenues de se conformer aux exigences de l'AIDA est très large et comprend les concepteurs, les développeurs, les fournisseurs et les gestionnaires de systèmes d'IA.
- Bien qu'il ne soit pas expressément applicable au développement et à l'utilisation intraprovinciaux des systèmes d'IA, étant donné la nature du développement et de l'utilisation, il semble probable que le gouvernement fédéral ait l'intention que la LIAD régisse la quasi-totalité du développement et de l'utilisation de l'IA au Canada.
- Obligations d'évaluation, d'atténuation et de surveillance:
- Les développeurs, concepteurs, fournisseurs et gestionnaires de systèmes d'IA devront procéder à des évaluations pour déterminer s'ils ont une « incidence élevée ».
- Les systèmes à incidence élevée nécessiteront des mesures d'atténuation et un contrôle permanent de la conformité, qui devront être entrepris par les concepteurs, les développeurs, les fournisseurs et les gestionnaires de systèmes d'IA.
- Transparence:
- La LIAD crée un régime de transparence nuancé pour les systèmes à incidence élevée.
- Les personnes qui rendent disponible des systèmes d'IA devront publier une explication en langage clair de l'utilisation prévue du système d'IA, ainsi que des décisions, recommandations ou prédictions qu'il est prévu de faire.
- Les personnes qui gèrent les opérations d'un système d'IA (par exemple, les organisations qui l'utilisent) seront tenues de publier une explication en langage clair de l'utilisation réelle du système d'IA, ainsi que des décisions, recommandations ou prédictions qu'il formule.
- Obligations relatives aux données anonymisées:
- Les concepteurs, développeurs, fournisseurs et gestionnaires de systèmes d'IA qui utilisent des données anonymisées et les personnes qui mettent à disposition des données anonymisées dans le but de concevoir, de développer ou d'utiliser un système d'IA doivent établir des mesures concernant (a) la manière dont les données sont anonymisées et (b) l'utilisation ou la gestion des données anonymisées.
- Notez que ces obligations sont générales et ne se limitent pas aux systèmes à incidence élevée.
- Obligations de faire rapport au ministre:
- La personne responsable d'un système à incidence élevée doit aviser le ministre si l'utilisation du système entraîne ou risque d'entraîner: a) un préjudice physique ou psychologique important pour un particulier; b) des dommages aux biens d'un particulier; c) une perte économique pour un particulier.
- Des protections pour les renseignements commerciaux confidentiels:
- Malgré les exigences strictes en matière de transparence pour les concepteurs et les opérateurs et les pouvoirs du ministre pour publier des informations sur les systèmes d'IA, la LIAD contient de nombreuses dispositions destinées à protéger les intérêts commerciaux en matière de secrets commerciaux.
- Pouvoirs ministériels et outils d'application:
- Le ministre peut déléguer ses pouvoirs, à l'exception du pouvoir d’adopter des règlements, et peut désigner un haut fonctionnaire du ministère pour être le Commissaire à l'intelligence artificielle et aux données.
- Le ministre ou son délégué aura le pouvoir de prendre des ordonnances qui pourront être exécutées comme des ordonnances de la Cour fédérale.
- La LIAD propose d'introduire par voie réglementaire un régime de sanctions administratives pécuniaires, avec la possibilité que le pouvoir d'appliquer ces sanctions soit accordé directement au commissaire à l'intelligence artificielle et aux données nouvellement créées.
- Pour la plupart des infractions à la LIAD, les amendes peuvent atteindre un maximum de 10 millions de dollars canadiens ou, s'il est plus élevé, le montant correspondant à 3 % des revenus bruts mondiaux de l'organisation au cours de son exercice financier précédent. Les amendes pour certaines infractions peuvent atteindre un maximum de 25 millions de dollars canadiens ou, s'il est plus élevé, le montant correspondant à 5 % des recettes brutes mondiales de l'organisation au cours de son exercice financier précédent.
- Des dispositions permettant au ministre de publier des informations sur les systèmes d'IA qui, selon lui, pourraient entraîner un risque sérieux de dommage imminent.
Introduction
Le gouvernement fédéral a indiqué que LIAD vise à créer un environnement de confiance dans le développement et déploiement de systèmes d’IA, en mettant l’accent sur la gouvernance de système de grand impact, en établissant un nouveau commissaire à l’intelligence artificielle et aux données et en créant des sanctions criminelles lorsque les données sont obtenues illégalement pour le développement d’IA ou lorsque le déploiement imprudent d’IA pose un risque sérieux.
Bien que la LIAD ait été inspirée du projet de loi de l’Union européenne présentée en 2021 Proposition de législation sur l’intelligence artificielle (la « Proposition de législation de l’UE sur l'IA »)1, notamment quant à l’approche basée sur le risque, elle demeure différente de la Proposition de législation de l’UE sur l’IA sur divers aspects.
Par exemple, la Proposition de législation de l’UE sur l'IA s’applique au secteur public ainsi qu’au secteur privé, et crée certaines exceptions pour l’utilisation d’IA pour le secteur public (spécialement pour les autorités policières). La LIAD quant à elle exclut le gouvernement canadien et pourrait aussi exclure des départements ou agences fédéraux ou provinciaux par règlement (art. 3 LIAD).
De plus, la Proposition de législation de l’UE sur l'IA présente plusieurs pratiques interdites et établies aussi des critères pour déterminer si un système d’IA présente un risque élevé, limité ou minime. Par contraste, la LIAD n’établit aucune pratique interdite et semble uniquement établir une distinction entre les systèmes à risque élevés et tous les autres systèmes.
La LIAD est aussi considérablement moins élaborée que la Proposition de législation de l’UE sur le IA, bien que la simplicité de la LIAD ne soit qu’en surface : de nombreux sujets seront réglementés via des règlements, ce qui, considérant le sujet du projet de loi, pourrait être complexe.
De manière générale, nous sommes d’avis que la LIAD offre un cadre flexible, considérant que de nombreux détails seront déterminés par règlement, mais crée aussi des responsabilités importantes pour les développeurs d’algorithmes et de modèles d’IA et pour les fournisseurs de données, qui pourraient avoir un effet dissuasif involontaire sur le développement et l’innovation. Nous attendons avec impatience les débats, discussions parlementaires et les consultations, qui devrait débuter lorsque les activités parlementaires recommenceront cet automne.
Définition de système décisionnel automatisé, la LPVPC et la directive fédérale sur la prise de décision automatisée
La LIAD définit un « système d’intelligence artificielle » comme un « système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions » (art. 2 LIAD).
Cette définition est large, probablement pour couvrir la panoplie de risque aux individus que l’utilisation de système d’IA présente. Il y a un risque que cette définition ne soit pas assez restreinte, de manière à couvrir via « autres techniques » et « générer du contenu » une grande variété de systèmes décisionnels qui, intuitivement, ne respecterait pas une définition libérale de ce qu’est l’IA.
Comme déjà préalablement mentionnées dans d’autres publications, les définitions proposées pour l’intelligence artificielle sont souvent non satisfaisantes pour diverses raisons. Que l’intelligence artificielle est un terme ambitieux qui, fondamentalement, a une différente signification pour des personnes différentes, qui complexifie la tâche de créer une définition légale pratique. Nous entrevoyons donc qu’il y aura diverses discussions sur la définition d’IA durant la révision par le comité et les débats parlementaires.
Bien que la LIAD et la LPVPC s’entrecroisent considérant que la LPVPC traite du concept de « système décisionnel automatisé », ces définitions n’ont pas la même portée. La LPVPC définit « système décisionnel automatisé » comme une « technologie utilisant des systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond, des réseaux neuronaux ou d’autres techniques afin d’appuyer ou de remplacer le jugement de décideurs humains » (art. 2 LPVPC).
Ces différences d’application ne sont pas surprenantes, considérant que la LPVPC vise l’exactitude des décisions rendue par le biais de systèmes décisionnels automatisés qui utilisent des renseignements personnels, alors que la LIAD vise les risques plus généraux que l’utilisation de système d’IA présente. Nous avons abordé les interactions principales entre les deux projets de loi dans notre publication sur la LPVPC et la LIAD.
À cet effet, il demeure important de mentionner que la définition de système décisionnel automatisé de la LPVPC est similaire à celle donnée dans la Directive fédérale sur la prise de décisions automatisée qui s’applique aux entités du secteur public (« Directive fédérale »). Similairement à la LPVPC, la Directive fédérale vise plus spécifiquement les technologies qui appuient ou remplacent le jugement de décideurs humains, mais, comme la LIAD, vise des risques plus généraux que la LPVPC. Considérant que ces deux concepts se recroisent, nous sommes d’avis qu’il est probable que certains aspects de la LIAD soient élaborés via des règlements ou interprétés de manière à être alignés avec la Directive fédérale, tel que mentionné plus bas.
Application
La LIAD s’applique aux « activité réglementée » exercées dans le cadre des échanges ou du commerce internationaux ou interprovinciaux (art. 5(1) LIAD). Le langage utilisé indique que la loi est créée en vertu de l’autorité législative du parlement fédéral concernant la réglementation du trafic et du commerce selon l'article 91(2) de la Loi constitutionnelle de 1867, suggérant que le gouvernement fédéral à l’intention de laisser la réglementation sur l’utilisation intraprovincial aux provinces : contrairement à la LPVPC (et son prédécesseur la LPRPDE), la LIAD ne s’applique pas nécessairement de manière intraprovinciale en l’absence de loi provinciale qui est déclarée comme essentiellement similaire par règlement (art. 122(3) CC). Par contre, considérant les circonstances très limitées où les systèmes d’IA seraient développés et déployés pour être utilisés uniquement au sein d’une province, le gouvernement fédéral pourrait avoir l’intention d’appliquer la LIAD de manière substantielle à tous les développements et utilisations d’IA au Canada.
Concernant l’effet extraterritorial, considérant que la LIAD s’applique dans le cadre des échanges ou du commerce internationaux, les organisations étrangères qui ont des activités au Canada ou qui offrent des services comprenant des systèmes d’IA au Canadiens, tel que défini par la LIAD, devraient se considérées comme assujetties à la loi.
La définition d’« activités réglementées » est plus large et semble inclure la majorité si ce n’est pas tous les développements et utilisation d’IA : tout traitement ou le fait de rendre disponibles des données liées à l’activité humaine afin de concevoir, de développer ou d’utiliser un système d’intelligence artificielle et toute conception, développement ou le fait de rendre disponible un système d’intelligence artificielle ou la gestion de son exploitation (art. 5(1) LIAD).
Finalement, la LIAD émet qu’une personne est responsable d’un système d’IA si, dans le cadre des échanges ou du commerce internationaux ou interprovinciaux, elle le conçoit, le développe ou le rend disponible ou en gère l’exploitation (art. 5(2) LIAD). De manière importante, cela signifie que les développeurs et les fournisseurs de systèmes d’IA seront assujettis aux règles de la LIAD, qui inclue une panoplie d’exigences administratives et opérationnelles.
Système à incidence élevée, préjudice et résultat biaisé
La LIAD ne définit pas ce qu’est un « système à incidence élevée », qui sera plutôt défini par règlements (art. 5(1) LIAD). Cette stratégie laisse une grande flexibilité pour s’adapter aux nouvelles utilisations de technologies d’IA à mesure qu’elles se développent, mais il est peu probable que le critère développé par règlement inclura ou invoquera le préjudice ou le résultat biaisé potentiels, qui sont définis au sein de la LIAD.
La LIAD définit préjudice comme un « préjudice physique ou psychologique subi par un individu, dommage à ses biens ou perte économique subie par un individu » (art. 5(1) LIAD).
La LIAD définit résultat biaisé comme du « contenu généré, prédiction ou recommandation faite ou décision prise par un système d’intelligence artificielle qui défavorisent, directement ou indirectement et sans justification, un individu sur le fondement d’un ou plusieurs motifs de distinction illicite prévus à l’article 3 de la Loi canadienne sur les droits de la personne, ou de leur effet combiné » (art. 5(1) LIAD). Cette définition exclut le contenu, la prédiction, la recommandation et la décision qui sont destinés à supprimer, diminuer ou prévenir les désavantages que subit ou subira vraisemblablement un groupe d’individus pour des motifs fondés.
Les premiers règlements sur ce sujet risquent de reprendre, en tout ou en partie, les critères utilisés pour les niveaux de l’évaluation de l’incidence dans la Directive fédérale qui s’applique aux entités du secteur public : les droits des personnes ou des collectivités, la santé ou le bien-être des individus ou des collectivités, les intérêts économiques des individus, des entités ou des collectivités et la durabilité continue d’un écosystème.
Évaluations et contrôle de la conformité
La LIAD prévoit qu'un responsable d'un système d'IA doit évaluer si ce système peut être considéré comme un système à incidence élevée en vertu des règlements (art. 7 LIAD) et tenir des registres des raisons justifiant son évaluation (art. 10(1) LIAD). S'il s'agit d'un système à incidence élevée, le responsable doit établir des mesures pour identifier, évaluer et atténuer les risques de préjudice ou de résultat biaisé qui pourraient résulter de l'utilisation du système (art. 8 LIAD), et établir des mesures pour contrôler le respect de ces mesures d'atténuation et leur efficacité (art. 9 LIAD). Le responsable doit aussi tenir des registres de ces mesures (art. 10(1) LIAD). Le contenu de l'évaluation, les mesures d'atténuation et les mesures de conformité peuvent tous être fixés par la réglementation (art. 36 LIAD). Considérant le fait que la nature des évaluations et des mesures d'atténuation à entreprendre par les concepteurs et les développeurs peuvent être très différentes des évaluations des personnes qui rendent disponible les systèmes d'IA et/ou de ceux qui en gèrent l’exploitation, des directives claires à venir dans les règlements seront d'une grande importance.
En guise de directives préliminaires sur ce à quoi ces évaluations et mesures d'atténuation pourraient ressembler, les organisations pourraient envisager avec prudence les exigences de la Directive fédérale. La Directive prévoit des « évaluations de l'incidence algorithmique » et inclut des mesures d'atténuation telles que l'intervention humaine dans les processus décisionnels, l'examen du système par un tiers, la publication des examens ou des audits et la description des données de formation.
Compte tenu de la définition large de « responsable », ce régime exigera probablement que les concepteurs et développeurs de systèmes d'IA à incidence élevée soient impliqués de manière permanente pour les systèmes qu’ils créent et concèdent sous licence pour utilisation par d'autres, et il pourrait y avoir une attente que ces développeurs surveillent ou performent des audits sur le déploiement et l'utilisation de leurs clients de ces systèmes. De même, ceux qui mettent à disposition pour utilisation ou gèrent les opérations de ces systèmes (par exemple, les clients licenciés des développeurs de systèmes d'IA) doivent également mener leurs propres évaluations et mettre en œuvre leurs propres mesures, ce qui peut simplifier le processus d'audit pour les concepteurs de systèmes à incidence élevée.
Il reste à voir comment ces obligations d'évaluation, d'atténuation et de surveillance de la conformité affecteront les développeurs d'IA à code source libre (c'est-à-dire ceux qui souhaitent mettre gratuitement à disposition des algorithmes ou des modèles). En général, les développeurs de codes à source libre se contentent de créer et de mettre à disposition leurs logiciels, sans assumer aucune responsabilité quant à l'utilisation de ces logiciels par d'autres. La formulation des critères permettant de déterminer ce qui est considéré comme un système à incidence élevée sera donc d'une grande importance pour cette communauté de développeurs.
Transparence
La LIAD crée un régime de transparence nuancé pour les systèmes à incidence élevée qui prévoit à la fois l'utilisation prévue et l'utilisation réelle.
Une personne qui rend un système disponible doit publier sur un site web accessible au public une description en langage clair du système qui comprend une explication (a) de la façon dont le système est destiné à être utilisé; (b) des types de contenu qu'il est destiné à générer et des décisions, recommandations ou prédictions qu'il est destiné à faire; (c) des mesures d'atténuation établies à son égard; et tout autre renseignement prescrit par règlement (art. 11(1) LIAD). En l'absence d'indications sur la façon d'interpréter l'expression « rendre disponible », il serait prudent que les développeurs d'IA en code source libre qui mettent à la disposition du grand public pour téléchargement des algorithmes et des modèles pour des systèmes à incidence élevée se considèrent obligés de publier également ces informations.
La personne qui gère l'exploitation d'un système à incidence élevée doit publier sur un site Web accessible au public une description en langage clair du système qui comprend une explication a) de la façon dont le système est utilisé; b) des types de contenu qu'il génère et des décisions, recommandations ou prédictions qu'il formule; c) des mesures d'atténuation établies en vertu de l'article 8 à son égard; d) de tout autre renseignement prescrit par règlement (art. 11(2) LIAD).
Il sera intéressant de voir comment ce cadre de transparence sera mis en pratique. La mise à disposition de systèmes à incidence élevée, que ce soit pour le téléchargement ou sur un modèle de logiciel en tant que service, déclencherait l'obligation de publier des explications relatives aux utilisations prévues et aux résultats. Une organisation qui utilise ensuite ce système à ses propres fins et qui, par conséquent, « gère l’exploitation » d'un tel système, devrait également publier des explications relatives aux utilisations et aux résultats réels. Un tel régime pourrait décourager les méfaits de la part des organisations qui utilisent des systèmes d'IA à incidence élevée sous licence, car toute différence entre l'utilisation/les résultats prévus et l'utilisation/les résultats réels sera disponible pour être examinés.
Utilisation ou mise à disposition pour utilisation d'informations anonymisées
La LIAD prévoit qu'une personne exerçant une activité réglementée et qui (i) traite ou (ii) met à disposition pour utilisation des données anonymisées dans le cadre de cette activité doit établir des mesures concernant (a) la manière dont les données sont rendues anonymisées et (b) l'utilisation ou la gestion des données anonymes (art. 6 LIAD). Il est à noter que ces obligations sont générales et ne se limitent pas aux systèmes à incidence élevée.
Étant donné que la définition d’« activité réglementée » inclut la mise à disposition pour utilisation de « données liées à l’activité humaine afin de concevoir, de développer ou d’utiliser un système d’intelligence artificielle », cela peut avoir des conséquences importantes pour ceux qui fournissent des ensembles de données anonymes à l'usage des développeurs d'IA.
Nous notons que la LPVPC ne contient aucune définition de « renseignements anonymes ». Étant donné que la LPVPC a été introduite en même temps que la LIAD, il est raisonnable de déduire que le gouvernement fédéral a l'intention d'aligner l'interprétation de cette expression sur la définition du terme « anonymiser » en vertu de la LPVPC (art. 2(1) LPVPC).
Cependant, dans la mesure où cela est exact, nous notons que la LIAD impose des obligations autour des renseignements anonymes que la LPVPC n'impose pas. En vertu de la LPVPC, un renseignement personnel qui a été anonymisé n’est plus assujetti à la loi (art. 6(5) de la LPVPC). En revanche, en vertu de la LIAD, les personnes qui traitent des données anonymes dans le cadre d'une activité réglementée doivent établir des mesures concernant l'utilisation et la gestion de ces données.
Il se pourrait bien que les rédacteurs de la LIAD considèrent que le risque résiduel de réidentification, malgré l'anonymisation « conformément aux meilleures pratiques généralement », comme indiqué dans la définition de la LPVPC, est trop élevé dans le contexte des systèmes d'IA pour permettre une utilisation non réglementée de ces données.
À au moins un égard, ils peuvent avoir raison, car il est possible de considérer les modèles d'IA qui ont été formés sur des renseignements personnels comme des collections structurées de données partiellement ou totalement anonymisées. Les modèles d'IA formés à partir de renseignements personnels ne sont généralement pas considérés en eux-mêmes comme présentant un risque de réidentification, car ils contiennent (en termes simples) un « résidu statistique » des données de formation. Pour cette raison, les données contenues dans de nombreux modèles formés peuvent être considérées comme des données agrégées, c'est-à-dire qu'elles sont effectivement anonymisées. Malgré cela, il a été démontré que certains modèles formés, en particulier ceux qui comportent de nombreux paramètres, sont vulnérables aux « attaques par inversion de modèle » et aux « attaques par inférence d'appartenance », qui peuvent toutes permettre de récupérer des renseignements personnels.
Par conséquent, les dispositions de la LIAD qui énoncent des obligations à l'égard des données anonymisées pourraient être interprétées comme exigeant des mesures pour atténuer ou prévenir les attaques par inversion de modèle et inférence d'appartenance. Dans la mesure où ce raisonnement est valide, il faut que certains modèles formés, c'est-à-dire certains systèmes d'IA, peuvent eux-mêmes être considérés comme des données anonymisées. Il convient de répéter que ces obligations seraient générales et non limitées aux systèmes à incidence élevée. Toutefois, il est possible qu'en vertu des règlements à venir, une évaluation qui identifie un risque significatif d'inversion de modèle ou d'attaque par inférence d'appartenance puisse, sur cette seule base, qualifier un système d'IA de système à incidence élevée.
Signaler un préjudice matériel au ministre
Le responsable d'un système à incidence élevée doit, conformément aux règlements et dans les meilleurs délais, aviser le ministre si l'utilisation du système entraîne ou risque d'entraîner un préjudice important (art. 12 LIAD). Comme il a été mentionné plus haut, le terme « préjudice » est défini comme : a) un préjudice physique ou psychologique subi par un individu; b) des dommages causés aux biens d'un individu; c) une perte économique subie par un individu (art. 5(1) LIAD).
Alors que l'obligation de déclaration s'appliquerait à ceux qui ont l'intention de créer et de déployer des systèmes nuisibles, l'autodéclaration par ces acteurs est plutôt improbable. La cible principale de l'obligation de déclaration est probablement les personnes qui découvrent que le système d'IA a un effet nocif réel ou potentiel involontaire.
L'inclusion d'une telle disposition peut avoir été inspirée par les exigences en matière de notification énoncées dans la Proposition de législation de l'UE sur l'IA, mais ces exigences ne s'appliquent qu'aux « fournisseurs » de « systèmes à haut risque » (tels que définis dans la Proposition de législation de l’UE sur l'IA) et exigent la notification aux « autorités de surveillance du marché ». Dans le contexte de l'UE, cela fait de l'exigence de déclaration une extension du cadre de la sécurité des produits et de la responsabilité du fait des produits; en vertu de la Proposition de législation de l’UE sur le IA, seuls ceux qui mettent des systèmes sur le marché ou en service dans l'UE sont des « fournisseurs ». Bien que la disposition de déclaration de la LIAD puisse avoir un objectif similaire d'étendre ou de compléter le cadre canadien de la responsabilité du fait des produits, en vertu de la définition élargie de la personne responsable d'un système d'IA de la LIAD les concepteurs et les développeurs auraient les mêmes responsabilités que ceux qui rendent les systèmes disponibles.
Pouvoirs ministériels
La LIAD crée une série de pouvoirs pour le ministre, y compris le pouvoir de désigner un haut fonctionnaire de son ministère pour être le Commissaire à l'intelligence artificielle et aux données (art. 33(1) LIAD), et le pouvoir de déléguer tout pouvoir, toute obligation ou toute fonction conférés au ministre, à l'exception du pouvoir de prendre des règlements (art. 33(2) LIAD).
Les pouvoirs généraux du ministre comprennent le pouvoir de (a) sensibiliser le public et de fournir de l'éducation en ce qui concerne la LIAD; (b) faire des recommandations et préparer des rapports sur l'établissement de mesures visant à faciliter la conformité à la LIAD; et (c) établir des directives en ce qui concerne la conformité (art. 32 LIAD).
Le ministre est également habilité à exiger par ordonnance que :
- les personnes responsables des systèmes à incidence élevée fournissent au ministre des documents relatifs à l'anonymisation, à l'évaluation des systèmes à incidence élevée, aux mesures d'atténuation et de conformité (art. 10(1), 13 LIAD),
- les personnes responsables des systèmes à incidence élevée fournissent les documents supplémentaires précisés par règlement si le ministre a des motifs raisonnables de croire que l'utilisation d'un système à impact élevé pourrait entraîner des dommages ou une production biaisée (art. 10(2), 14 LIAD),
- les personnes responsables des systèmes d'IA entreprennent des audits ou à autoriser des audits par des tiers et à rendre compte des résultats au ministre (art. 15 LIAD),
- les personnes auditées mettent en œuvre des mesures pour remédier à tout ce qui est mentionné dans le rapport d'audit (art. 16 LIAD) et
- les personnes responsables des systèmes à incidence élevée cessent d'utiliser ou de mettre à disposition le système, si le ministre a des motifs raisonnables de croire que l'utilisation du système entraîne un risque sérieux de dommage imminent (art. 17(1) LIAD).
Le ministre peut également ordonner aux responsables des systèmes d'IA ou des systèmes à incidence élevée, selon le cas, de publier toute information relative aux obligations concernant les données anonymisées, l'évaluation, les mesures liées aux risques, la surveillance, la tenue de registres, la publication de descriptions, la notification de préjudices importants, ou les audits et la mise en œuvre de mesures découlant des rapports d'audit (art. 18 et art. 6-12, 15-16 LIAD).
Les ordonnances ministérielles peuvent être exécutées comme des ordonnances de la Cour fédérale une fois qu'une copie certifiée de l'ordonnance a été déposée (art. 20 LIAD).
Le ministre peut également publier les contraventions à la LIAD sur un site Web accessible au public (art. 27 LIAD) et publier des renseignements qui se rapportent à un système d'IA, sans le consentement de la personne à laquelle ils se rapportent et sans préavis à cette personne, si le ministre a des motifs raisonnables de croire que l'utilisation du système donne lieu à un risque sérieux de préjudice imminent et que la publication est essentielle pour prévenir le préjudice (art. 28 de la LIAD).
Renseignements commerciaux confidentiels
La LIAD veille à ce que la confidentialité des secrets commerciaux soit préservée malgré ses exigences de transparence relativement strictes et la latitude accordée au ministre pour publier des informations sur les contraventions et les risques de préjudice.
Le ministre est tenu de préserver la confidentialité des renseignements commerciaux qui ont une valeur économique réelle ou potentielle pour l'entreprise ou ses concurrents parce qu'ils ne sont pas accessibles au public et que leur divulgation entraînerait une perte financière importante pour l'entreprise ou un gain financier important pour ses concurrents (art. 5(1), 22-23 LIAD), et ne peut les divulguer que dans des circonstances limitées, comme les assignations à comparaître, ou à certains organismes ou personnes, comme les analystes auxquels le ministre a recours pour administrer la LIAD (art. 25, 34 LIAD) ou certaines commissions fédérales (art. 26(1) LIAD).
De plus, en exigeant par ordonnance que les personnes responsables des systèmes d'IA publient des informations relatives à leurs obligations en vertu de la LIAD, la loi note expressément que le ministre n'est pas autorisé à exiger que les personnes divulguent des renseignements commerciaux confidentiels (art. 18(1) LIAD).
Il ne fait guère de doute que l'attention portée à la préservation de la confidentialité des secrets commerciaux dans le cadre de la LIAD découle du risque important que les explications sur le fonctionnement des systèmes d'IA risquent de divulguer ces secrets commerciaux.
Un avantage corollaire de ce cadre de confidentialité est que les fraudeurs, les pirates informatiques et les autres acteurs menaçants auront moins d'occasions manipuler le système d'IA ou d'exploiter les faiblesses.
Application
La LIAD établit un régime d'application en plusieurs parties qui fait en partie écho au régime d'application proposé dans la LPVPC, dans la mesure où il établit un régime qui comprend à la fois des sanctions administratives pécuniaires (« SAP ») et des amendes pour des infractions pénales.
Les SAP seront établies par règlement, ainsi que : les montants, la désignation des dispositions de la LIAD dont la violation déclenchera une SAP, ce qui constitue une violation mineure, grave ou très grave, et comment les procédures relatives aux SAP seront entreprises et les accords de conformité (art. 29 LIAD). D’ailleurs, rien n’empêche aussi le commissaire établi par la LIAD d’imposer directement ces pénalités.
Toute organisation qui contrevient à l'un des articles 6 à 12 de la LIAD (qui contiennent toutes les obligations clés imposées aux responsables en ce qui concerne les activités réglementées) ou qui fait obstruction ou fournit des renseignements faux ou trompeurs au ministre (ou à toute personne agissant au nom du ministre ou d'un vérificateur indépendant) commet une infraction passible, sur déclaration de culpabilité, d'une amende maximale de 10 000 000 $CAN ou de 3 pour cent des revenus bruts globaux de l'organisation, selon le montant le plus élevé (art. 30 LIAD). Les contraventions commises par des employés, des agents ou des mandataires sont considérées comme une preuve suffisante de l'infraction commise par l'organisation, à moins que celle-ci ne puisse établir que l'infraction a été commise à son insu ou sans son consentement (article 30(5) LIAD). Une défense de diligence raisonnable est également prévue si l'organisation établit qu'elle a fait preuve de diligence raisonnable pour empêcher la perpétration de l'infraction (art. 30(4) LIAD).
En outre, la LIAD prévoit deux autres infractions distinctes concernant les informations personnelles et la mise à disposition de systèmes d'IA:
- En vertu de la LIAD, une personne commet une infraction si, dans le but de concevoir, de mettre au point, d'utiliser ou de mettre à la disposition des utilisateurs un système d'intelligence artificielle, elle possède - au sens du paragraphe 4(3) du Code criminel - ou utilise des renseignements personnels, sachant ou croyant que ces renseignements sont obtenus ou dérivés, directement ou indirectement, par suite de la perpétration d'une infraction à une loi fédérale ou provinciale, ou d'un acte ou d'une omission en quelque lieu que ce soit qui, s'il s'était produit au Canada, aurait constitué une telle infraction (article 38 de la Loi sur l'accès à l'information).
- En vertu de la LIAD, commet également une infraction toute personne qui, sans excuse légitime et sachant ou ne sachant pas que l'utilisation d'un système d'intelligence artificielle est susceptible de causer des dommages physiques ou psychologiques graves à une personne ou des dommages importants à ses biens, met le système d'intelligence artificielle à disposition pour être utilisé et que l'utilisation du système cause de tels dommages ou, avec l'intention de frauder le public et de causer des pertes économiques importantes à une personne, met un système d'intelligence artificielle à disposition pour être utilisé et que son utilisation cause ces pertes (art. 39 LIAD).
La perpétration de l'une ou l'autre des infractions susmentionnées est passible, sur déclaration de culpabilité, d'une amende maximale de 25 000 000 $CAN ou de 5 % des revenus bruts mondiaux de l'organisation, selon le montant le plus élevé (art. 40 LIAD).
L'infraction concernant l'utilisation illégale de renseignements personnels peut avoir été introduite pour s'aligner sur les dispositions relatives aux infractions de la LPCP, mais elle peut aussi avoir été mise en place pour décourager les activités d'organisations telles que Clearview IA, qui a récolté des images faciales dans les médias sociaux aux fins de son service de reconnaissance faciale, une pratique qui a suscité une conclusion fortement négative de la part des organismes canadiens de réglementation de la protection de la vie privée en 2021 (voir Conclusions LPRPDE #2021-001).
L'infraction concernant la mise à disposition de certains systèmes d'IA par imprudence peut être, en partie, un clin d'œil aux pratiques interdites énoncées dans la Proposition de législation de l'UE sur l'IA, qui invoque également le fait de causer des dommages physiques ou psychologiques aux personnes, et peut-être aussi à la notion d'« incident grave » dans l'instrument de l'UE, qui inclut les dommages matériels.
Prochaines étapes
Les représentants d'Innovation, Sciences et Développement économique Canada ont indiqué, lors d'une séance d'information technique suivant le dépôt du projet de loi C-27, que les entreprises doivent s'attendre à une période de transition importante entre l'adoption du projet de loi et son entrée en vigueur. Étant donné le caractère novateur de la LIAD, il est également probable que le gouvernement tienne des consultations et des audiences afin d'obtenir l'avis des parties intéressées.
Bien qu'il n'y ait aucune garantie que le projet de loi C-27 et la LIAD soient adoptés dans leur forme actuelle, les entreprises canadiennes qui utilisent des systèmes d'IA dans leurs produits et services doivent se préparer soigneusement aux coûts de conformité et à la responsabilité potentielle qui seront imposés par les législateurs et les régulateurs canadiens. Pendant que le projet de loi C-27 fait son chemin au Parlement, il sera probablement influencé par la motivation croissante vers une harmonisation mondiale des règles pour guider le développement, la mise en œuvre et l'utilisation des systèmes d'IA, et l'observation de l'évolution de la Proposition de législation de l'UE sur l'IA sera instructive.
Nous avons noté ci-dessus que l'exigence de déclaration de la LIAD peut avoir pour but d'étendre le cadre canadien existant en matière de responsabilité du fait des produits, mais il est important de noter que, dans tous les cas, les diverses exigences de ce cadre existant s'appliqueront également. Par exemple, la Loi canadienne sur la sécurité des produits de consommation peut également être une source d'exposition pour les fabricants de produits de consommation intégrant des technologies d'IA, car elle vise à traiter et à prévenir les dangers pour la santé ou la sécurité humaine que présentent les produits de consommation au Canada. En outre, les provinces et le gouvernement fédéral ont compétence sur divers domaines dans lesquels les systèmes d'IA font leur chemin vers le marché, comme les véhicules à moteur (y compris les véhicules autonomes) et les appareils médicaux. Avec l'avènement de l'IA, la superposition des obligations juridiques réglementaires s'épaissit.
En bref, assurez-vous de surveiller ces enjeux. Bien que la LIAD puisse être modifiée dans une certaine mesure en commission, il est inclus dans le même projet de loi qu'une réforme majeure de la législation sur la protection de la vie privée dans le secteur privé, qui est largement considérée comme attendu depuis longtemps. En outre, il y a un élan mondial pour réglementer le développement et l'utilisation de l'IA à court terme, étant donné sa pénétration rapide dans une variété de secteurs. En conséquence, les chances que la LIAD devienne une loi sont bonnes. Même si le projet de loi n’est pas adopté, les organisations devraient s’en inspirer pour les bonnes pratiques à suivre dans le cadre d’utilisation d’IA. Une organisation qui développe un nouveau système basé sur ces nouvelles exigences prendra de l’avance sur les exigences légales à être adoptée, que ce soit via la LIAD ou une autre loi. Bien qu'une période de transition puisse être prévue, il est temps de préparer vos opérations pour que votre entreprise soit prête pour la prochaine vague de réglementation de l'IA au Canada.
1 Proposition de règlement du parlement européen et du conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, COM/2021/206 finale, 21 avril 2021.