une main qui tient une guitare

Perspectives

Le document complémentaire relatif à la LIAD : une feuille de route pour la loi canadienne sur l’intelligence artificielle

Introduction

La Loi sur l’intelligence artificielle et les données (« LIAD »), introduite par le gouvernement canadien en même temps que la Loi sur la protection de la vie privée des consommateurs (« LPVPC ») dans le projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique, est la première tentative de réglementation de l’intelligence artificielle (« IA ») au Canada. Le 14 mars 2023, Innovation, Sciences et Développement économique Canada (ISDE) a publié le document complémentaire relatif à la LIAD (le document complémentaire), un outil particulièrement utile étant donné que le projet de la LIAD actuellement examiné par le gouvernement laisse de nombreux concepts fondamentaux à définir par règlement (p. ex., ce qui constitue un système à incidence élevée et déclenche la mise en œuvre de mesures d’atténuation des risques).

Dans cet article, nous résumons le document complémentaire et analysons en quoi il alimente notre compréhension de la LIAD.

La LIAD : But, portée et applicabilité

Les deux objectifs indiqués dans la LIAD sont les suivants :

  1. Réglementer les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d’IA par l’établissement d’exigences communes à l’échelle du Canada pour la conception, le développement et l’utilisation de ces systèmes.
  2. Interdire certaines conduites relativement aux systèmes d’IA qui peuvent causer un préjudice sérieux aux individus ou un préjudice à leurs intérêts.

Ces objectifs sont assez vastes en soi, d’autant plus que la LIAD donne une définition large de ce qui constitue un « système d’IA ». Plus précisément, elle définit un système d’IA comme « un système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions » (art. 2).

Malgré cette définition large, le document complémentaire apporte des précisions importantes sur les limites du champ d’application de la LIAD. Premièrement, comme nous en discuterons plus loin, le document complémentaire précise que la LIAD ne s’appliquerait qu’aux systèmes d’IA pleinement fonctionnels, et non aux modèles ou aux autres outils « open source » pouvant servir à développer un système d’IA.

En outre, le document complémentaire précise que la LIAD est conçue pour s’harmoniser avec la législation existante applicable aux systèmes d’IA, et non pour s’y substituer. Par exemple, les fabricants de produits de consommation ayant recours aux technologies d’IA pourraient aussi voir leur responsabilité engagée en vertu de la Loi canadienne sur la sécurité des produits de consommation, qui vise à prévenir les dangers pour la santé et la sécurité humaines posés par les produits de consommation au Canada. Santé Canada a également émis une ligne directrice concernant les produits de santé numériques et les instruments médicaux, sous la rubrique Logiciels à titre d’instruments médicaux, un domaine dans lequel la technologie de l’IA aura un grand impact.

On peut s’attendre à ce que l’approche générale de réglementation de l’IA sous le régime de la LIAD laisse éventuellement place à certaines exclusions pour des domaines d’application précis, comme l’automobile et les appareils médicaux. Le document complémentaire précise également que l’approche proactive et fondée sur le risque de la LIAD en matière de réglementation de l’IA se veut compatible avec les lois étrangères, comme le projet de législation sur l’intelligence artificielle de l’Union européenne. Elle s’inspire des normes de l’industrie de l’IA, comme les lignes directrices du cadre de gestion du risque en matière d’intelligence artificielle publié par le National Institute of Standards and Technology des États-Unis.

Systèmes à incidence élevée, préjudices potentiels et résultats biaisés

Même si elles s’appliquent à pratiquement tous les systèmes évolués, les exigences plus strictes de la LIAD ciblent les « systèmes à incidence élevée ». Toute personne responsable d’un système d’IA – à savoir quiconque conçoit, développe ou rend disponible un tel système ou en gère l’exploitation – doit évaluer s’il s’agit d’un système à incidence élevée selon des règles qui restent à établir. Le document complémentaire souligne qu’ISDE considère que les facteurs clés servant à faire cette détermination sont les suivants :

  • Des preuves de l’existence de risques de préjudices physiques ou psychologiques, ou d’un risque d’impact négatif sur les droits de la personne, en fonction à la fois de l’objectif et des conséquences potentielles non intentionnelles.
  • La gravité des préjudices potentiels.
  • L’ampleur de l’utilisation.
  • La nature des préjudices ou des impacts négatifs qui ont déjà eu lieu.
  • La mesure dans laquelle, pour des raisons pratiques ou juridiques, il n’est pas raisonnablement possible de se retirer de ce système.
  • Les déséquilibres en matière de pouvoir, de connaissances, de situation économique ou sociale, ou d’âge des personnes touchées.
  • La mesure dans laquelle les risques sont réglementés de façon adéquate en vertu d’une autre loi.

ISDE souligne également qu’il s’intéresse particulièrement aux systèmes suivants en raison de leurs impacts potentiels :

  • Les systèmes de présélection qui ont une incidence sur l’accès aux services ou à l’emploi : ISDE note que ces systèmes servent à prendre des décisions et à formuler des recommandations ou des prédictions aux fins d’accès à des services, tels que le crédit ou l’emploi. Par conséquent, ils ont le potentiel de produire des résultats discriminatoires et d’entraîner un préjudice économique. Des actions collectives ont déjà été intentées aux États-Unis contre des systèmes de recrutement alimentés par l’IA, et la ville de New York a proposé une loi pour encadrer les outils de décision automatisée en matière d’emploi.
  • Les systèmes biométriques utilisés pour l’identification et l’inférence : Ces systèmes utilisent les données biométriques pour faire certaines prédictions sur les personnes, comme identifier une personne à distance ou faire des prédictions sur les caractéristiques, la psychologie ou les comportements d’individus. ISDE note qu’ils ont le potentiel d’avoir un impact important sur la santé mentale et l’autonomie, et semble faire référence à des organisations comme Clearview IA Inc., qui a fait l’objet d’une enquête menée par quatre commissariats à la protection de la vie privée en 2021.
  • Les systèmes capables d’influencer le comportement humain à grande échelle : ISDE note qu’il a été démontré que des applications comme les systèmes de recommandation de contenu en ligne alimentés par l’IA ont la capacité d’influencer à grande échelle le comportement, l’expression et les émotions des êtres humains, ce qui pose un risque d’atteintes à la santé psychologique et physique. Cette catégorie se rapporte peut-être aux systèmes de modération employés par les principales plateformes de médias sociaux.
  • Les systèmes critiques pour la santé et la sécurité : Cette catégorie désigne les applications d’IA qui sont intégrées dans des fonctions de santé et de sécurité, notamment les systèmes de conduite autonome et les systèmes prenant des décisions de triage dans le secteur de la santé, ce qui peut causer des préjudices physiques directs.

Les facteurs qu’ISDE énumère dans le cadre de son évaluation des systèmes d’IA montrent que l’organisme concilie ses obligations réglementaires et les préjudices qui pourraient découler des systèmes d’IA de grande envergure ou particulièrement risqués avec sa volonté de favoriser l’innovation et le développement économique. Cela dit, les exemples de systèmes qu’ISDE souhaite encadrer montrent qu’il considère que certains systèmes sont intrinsèquement plus risqués que d’autres, quelle que soit leur ampleur. Cela reflète aussi les préoccupations qui ont été prises en compte dans d’autres lois récemment adoptées, comme le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels au Québec, qui encadre certains systèmes biométriques et outils de prise de décision automatisée décrits dans la section Prise de décision automatisée ci-dessous.

Bien qu’ISDE se préoccupe de façon générale des préjudices individuels et collectifs que sont susceptibles de causer les systèmes d’IA à incidence élevée, il s’inquiète particulièrement des systèmes qui produisent des résultats biaisés. En outre, bien que l’organisme reconnaisse que certaines différenciations défavorables sont inévitables, il insiste également sur la nécessité de se prémunir contre les systèmes qui utilisent des variables de substitution sur la base de motifs de distinction interdits ou qui amplifient des corrélations sous-jacentes existantes.

Activités réglementées

La portée de l’application des exigences réglementaires de la LIAD est généralement déterminée par la définition du terme « activités réglementées ». Notamment, cette définition délimite la portée de l’exigence d’anonymisation, abordée à la section Anonymisation ci-dessous. La définition est passablement large, car elle englobe tout le cycle de vie d’un système d’IA, depuis le traitement ou le fait de rendre disponibles des données liées à l’activité humaine afin de concevoir, de développer ou d’utiliser un système d’IA, jusqu’à la conception, au développement ou au fait de rendre disponible un système d’IA ou la gestion de son exploitation (par. 5(1)).

Le document complémentaire donne des exemples pour chaque catégorie d’activités réglementées et reconnaît que, selon le contexte, de multiples entreprises pourraient prendre part aux mêmes ou à différentes activités réglementées liées à un système d’IA donné, ce qui démontre, au final, la nécessité de disséquer et de distinguer les mesures que chacune des entreprises impliquées doit prendre pour se conformer aux exigences réglementaires de la LIAD. Consultez la section Obligations d’évaluation, d’atténuation et de surveillance ci-dessous pour en savoir plus sur la manière dont les obligations de chaque personne impliquée dans l’ensemble du cycle de vie d’un système à incidence élevée seront ajustées aux activités réglementées exercées.

Il est important de souligner que les activités énumérées dans la LIAD sont classées comme des « activités réglementées » uniquement lorsqu’elles sont menées dans le contexte des échanges ou du commerce internationaux et interprovinciaux, de sorte que toutes les activités touchant le développement ou l’utilisation d’un système d’IA exécutées hors de ce contexte sont exclues. Cela est particulièrement pertinent pour les chercheurs qui pourraient ne pas être assujettis aux obligations de conformité de la LIAD lorsqu’ils font de la recherche ou du développement de méthodologies, comme le confirme ISDE. Toutefois, étant donné les liens étroits qui existent entre l’industrie et la recherche en IA, les chercheurs ne doivent pas perdre de vue qu’ils peuvent être assujettis à la loi lorsqu’ils publient les résultats de leurs travaux dans un contexte commercial.

Logiciels open source : le document complémentaire fournit d’importantes spécifications concernant la publication de systèmes d’IA en mode open source, une pratique populaire et appréciée dans le milieu de l’IA. Il mentionne notamment que la personne qui publie un système d’IA open source (ce qui est possible en vertu de différentes licences) n’est pas automatiquement tenue de se conformer aux obligations qui s’appliqueraient à une personne qui rend ce même système d’IA disponible. ISDE fait ainsi une distinction entre les personnes qui publient des modèles ou d’autres outils, par exemple, en tant que logiciels open source, et celles qui publient un système d’IA à incidence élevée pleinement fonctionnel. Les premières publient leurs modèles afin que d’autres puissent développer des systèmes d’IA en se basant sur leurs propres données et objectifs, tandis que les secondes devront se conformer aux obligations applicables aux personnes qui rendent le système d’IA disponible. Avec ces commentaires, ISDE semble chercher à apaiser les craintes des chercheurs en IA.

Cette distinction reste cependant imprécise et des éclaircissements pourraient être nécessaires pour déterminer ce qui constitue un système d’IA à incidence élevée pleinement fonctionnel. À titre d’exemple, un système comme Stable Diffusion de Stability AI semble être un « système d’IA à incidence élevée pleinement fonctionnel » qui peut être utilisé seul, mais le fait qu’il est publié en vertu d’une licence Open Rail signifie que les utilisateurs peuvent le peaufiner à partir de leurs propres données et objectifs. Par conséquent, pour déterminer si cela équivaut à rendre un système d’IA disponible, une évaluation au cas par cas des tâches en aval du système pourrait être nécessaire.

Responsable

La LIAD emploie une définition large des personnes pouvant être considérées comme ayant la responsabilité de s’assurer de la conformité d’un système d’IA, qui comprend les personnes qui contribuent à le concevoir, à le développer, à le rendre disponible et à en gérer l’exploitation (par. 5(2)). À noter que cette définition s’applique uniquement aux personnes qui accomplissent ces tâches dans le cadre des échanges ou du commerce internationaux, ce qui peut encore une fois constituer une mise en garde pour les personnes travaillant dans le domaine de la recherche.

Le document complémentaire clarifie indirectement l’application du concept de « responsable » en segmentant les responsabilités d’une telle personne en fonction de l’activité réglementée à laquelle elle prend part. Voir la section Obligations d’évaluation, d’atténuation et de surveillance pour en savoir plus sur cette approche.

Exigences réglementaires

La LIAD comprend un ensemble d’exigences réglementaires dont l’application diffère selon le rôle de la personne concernée et l’activité réglementée qu’elle exécute. Cette section présente un survol de ces exigences et se termine par un tableau qui résume les précisions apportées dans le document complémentaire.

Anonymisation

Aux termes de la LIAD, toute personne qui exerce une activité réglementée et qui, dans le cadre de cette activité, traite ou rend disponibles des données anonymisées est tenue d’établir, conformément aux règlements, des mesures concernant la manière d’anonymiser des données et la gestion et l’utilisation de telles données, ainsi que de tenir des documents sur ces mesures (art. 6 et 10). Cette obligation s’applique de façon générale et n’est pas limitée aux systèmes à incidence élevée. Bien que le document complémentaire n’aborde pas explicitement l’exigence d’anonymisation de la LIAD, celle-ci est manifestement liée au principe directeur de « Responsabilité » qui, comme le décrit ISDE, favorise la documentation proactive des politiques, des processus et des mesures mises en œuvre. 

Obligations d’évaluation, d’atténuation et de surveillance

Évaluation de tout système d’IA : Aux termes de la LIAD, une personne responsable d’un système d’IA doit évaluer si ce dernier est un système à incidence élevée et tenir des documents énonçant les motifs qui justifient cette évaluation (art. 7 et 10). Cela signifie que toute personne répondant à la définition de « responsable » d’un système d’IA est tenue de procéder à une évaluation indépendante pour déterminer si ce système a une incidence élevée. Plusieurs personnes peuvent répondre à cette définition, y compris le développeur qui a rendu le système d’IA disponible en tant que service et la personne qui utilise le service et gère l’exploitation de ce même système d’IA. Le moment précis de l’évaluation et les conséquences d’éventuelles conclusions divergentes restent incertains. Toutefois, les futurs règlements incluront des lignes directrices précises pour la réalisation de cette évaluation. Dans l’intervalle, les responsables d’un système d’IA voudront peut-être effectuer une évaluation préliminaire afin de déterminer si ce dernier relève de l’un des domaines à incidence élevée ou fait intervenir certaines des considérations correspondantes définies par ISDE, comme il en est question à la section Systèmes à incidence élevée.

Atténuation des risques et surveillance des systèmes à incidence élevée : La LIAD formule un ensemble d’exigences qui visent à limiter le risque que l’utilisation d’un système à incidence élevée cause des préjudices ou produise des résultats biaisés (art. 8, 9, et 10). Le document complémentaire suggère que pour se conformer à ces exigences, des mécanismes de responsabilisation appropriés et adaptés aux risques associés aux activités réglementées, comme des processus et politiques de gouvernance interne en matière de conformité réglementaire, devront être mis en place.

En outre, le document complémentaire donne des exemples de mesures d’atténuation qui doivent être mises en place à chaque étape du cycle de vie d’un système d’IA, et illustre parallèlement de quelle manière l’application de l’exigence d’atténuation du risque variera selon l’activité réglementée qu’exerce la personne. Par exemple, ISDE prévoit, à l’intention des personnes qui développent un système à incidence élevée, une série de mesures d’atténuation résolument axées sur le principe « Validité et robustesse » énoncé dans le document complémentaire. Plus précisément, les personnes qui développent des systèmes à incidence élevée devront documenter les jeux de données utilisés, intégrer des mécanismes de surveillance et de suivi humains, documenter les utilisations appropriées et les limites, et effectuer l’évaluation et la validation. Consultez le tableau à la fin de la présente section pour un résumé de la manière dont l’obligation relative à l’atténuation des risques s’appliquera à différentes personnes.

Transparence

La LIAD impose des exigences de transparence quant à l’utilisation visée et réelle des systèmes à incidence élevée. Le document complémentaire fournit des orientations supplémentaires sur les attentes en matière de transparence, à savoir l’obligation de fournir au public des informations appropriées sur la manière dont les systèmes d’IA à incidence élevée sont utilisés, de telle sorte que le public puisse comprendre les capacités, les limites et les impacts potentiels de ces systèmes. Le principe de « Transparence » concorde avec le principe « Supervision humaine et surveillance » présenté dans le document complémentaire, qui affirme que l’exercice d’une surveillance importante implique un niveau d’interprétabilité approprié au contexte.

Publication de l’utilisation visée : Les personnes qui rendent disponible un système à incidence élevée sont tenues de se conformer à des obligations de transparence axées sur l’utilisation visée du système (par. 11(1). Cela garantit que leurs responsabilités en matière de transparence s’appliquent uniquement aux fins pour lesquelles le système était destiné, et non, par exemple, aux utilisations non autorisées en ligne ou ailleurs.

Publication de l’utilisation réelle : Une obligation de transparence similaire s’applique aux personnes responsables de l’exploitation d’un système à incidence élevée. Toutefois, l’obligation varie légèrement en fonction de la position de ces personnes dans le cycle de vie d’un système d’IA (par. 11(2). C’est pourquoi, si la plupart des exigences de publication peuvent sembler similaires, les personnes chargées de gérer l’exploitation d’un système à incidence élevée doivent donner leur propre description du contenu ou des résultats véritablement générés, tout comme elles doivent établir leur propre ensemble de mesures d’atténuation pour se conformer à l’obligation de gestion des risques décrite à l’article 8 de la LIAD.

Prise de décision automatisée. Il sera intéressant de voir si le gouvernement réglementera la manière dont ces exigences en matière de transparence et de responsabilité interagissent avec les exigences connexes des lois sur la protection de la vie privée. En effet, les lois sur la protection de la vie privée commencent à répondre à ces préoccupations en obligeant les organisations à donner des renseignements sur la manière dont les décisions automatisées sont prises et sur les renseignements personnels qui ont servi à prendre ces décisions.

Par exemple, à compter du 22 septembre 2023, la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) du Québec, récemment modifiée, obligera les entreprises à informer les personnes des renseignements personnels utilisés pour prendre une décision fondée exclusivement sur le traitement automatisé de ces renseignements, de même que des raisons, des principaux facteurs et des paramètres qui ont mené à la décision (art. 12.1 LPRPSP). De la même façon, la LPVPC exige des entreprises qu’elles donnent, dans leur politique de confidentialité, une explication générale de l’usage qu’elles font des systèmes décisionnels automatisés, ainsi que des prédictions, recommandations ou décisions de ces systèmes qui pourraient avoir une incidence importante sur les individus concernés, comme il est indiqué à l’alinéa 62(2)c) et au paragraphe 63(3) de la LPVPC. Les obligations de publication dans la LIAD peuvent compléter les lois sur la protection de la vie privée en fournissant aux personnes un plus large éventail de renseignements sur la manière dont on utilise ou compte utiliser le système d’IA servant à prendre une décision automatisée et sur les mesures prises pour atténuer les risques de résultats biaisés ou de préjudices correspondants.

 

Conformité et sanctions administratives pécuniaires

En vertu de la LIAD, le ministre aura le pouvoir de nommer un Commissaire à l’intelligence artificielle et aux données pour aider à surveiller la conformité. Le Commissaire étudiera les effets systémiques des systèmes d’IA pour orienter les décisions administratives et de politique, de même que pour faciliter la conformité volontaire des entreprises.

Une fois la LIAD en vigueur, le ministre sera également habilité à ordonner la production de documents pour prouver la conformité et à commander des vérifications indépendantes qui, souligne ISDE, seront réalisées par des vérificateurs indépendants qualifiés. Dans les cas où il existe un risque de préjudice imminent, le ministre pourrait également ordonner la cessation de l’utilisation d’un système ou publier des informations concernant des infractions à la LIAD ou visant à prévenir des préjudices. Le ministre peut demander au tribunal fédéral d’exécuter ses ordonnances.

En plus de créer des crimes et des infractions réglementaires liés aux systèmes d’IA, la LIAD donne également au ministre le pouvoir d’imposer des sanctions administratives pécuniaires (SAP) pour toute infraction. Le régime de SAP sera précisé dans des règlements qui n’ont pas encore été publiés, mais le document complémentaire donne un aperçu du fonctionnement d’un tel régime. Il souligne notamment que le régime de SAP n’entrera probablement pas en vigueur en même temps que le reste de la LIAD. ISDE indique plutôt qu’il créera ce régime une fois que « l’écosystème et le cadre réglementaire auront suffisamment mûri ».

ISDE précise que les SAP se veulent un outil flexible conçu pour encourager la conformité. À part mentionner que le régime tiendra compte de la taille des entreprises et de l’échec éventuel d’autres tentatives visant à encourager la conformité, le document complémentaire ne précise pas les critères qu’utilisera le ministre pour calculer le montant ou déterminer l’opportunité d’imposer une SAP. Enfin, ISDE semble reconnaître que l’efficacité et la pertinence de ses mesures d’application devront être réexaminées. Il prévoit recruter des experts externes pour analyser son administration et son application de la LIAD et mettre sur pied un comité qui conseillera le ministre.

Points à retenir et à quoi s’attendre

Le gouvernement canadien s’attend à ce que le projet de loi C-27 soit adopté dans les mois à venir, mais la LIAD n’entrera pas en vigueur avant 2025. Cette période de deux ans permettra d’élaborer des règlements avant son entrée en vigueur. Bien qu’il faille s’attendre à d’autres changements, le document complémentaire relatif à la LIAD laisse entrevoir quels types de systèmes à incidence élevée seront ciblés par le gouvernement actuel.

De toute évidence, le gouvernement canadien compte procéder par règlement pour s’assurer de développer une loi flexible qui demeurera actuelle et efficace dans un environnement en pleine mutation. Le gouvernement a également chargé le ministre d’ISDE, avec le Commissaire à l’intelligence artificielle et aux données, de superviser l’adéquation de la politique et de l’application de la loi à mesure que la technologie évolue.

Après l’adoption du projet de loi C-27, le gouvernement canadien a l’intention de lancer un processus de consultation sur divers sujets afin d’orienter la mise en œuvre et la préparation des projets de règlement. La consultation portera sur les sujets suivants :

  1. Déterminer les types de systèmes qui devraient être considérés comme ayant une incidence élevée.
  2. Déterminer les types de normes et de certifications à prendre en considération pour garantir que les systèmes d’IA répondent aux attentes des Canadiens.
  3. Établir les priorités dans l’élaboration et l’application des règlements, y compris en ce qui concerne un régime de SAP.
  4. Préciser les responsabilités du Commissaire à l’intelligence artificielle et aux données.
  5. Mettre sur pied un comité consultatif.

Le paysage réglementaire de l’IA évolue très rapidement partout dans le monde et les personnes qui conçoivent, développent et rendent disponibles des systèmes d’IA au Canada doivent se préparer à mettre en œuvre des pratiques de surveillance et d’atténuation des risques et commencer à documenter leur processus d’évaluation des risques dans le cadre de leur préparation à la mise en œuvre d’un programme de gestion des risques liés à l’IA. Cela les aidera à se conformer aux futurs règlements et à faire une utilisation responsable de l’IA.

Principaux contacts