L’année 2024 est une année charnière pour l’encadrement de l’intelligence artificielle (IA) à travers le monde, avec l’adoption et l’entrée en vigueur du Règlement sur l’intelligence artificielle de l’Union européenne qui, à l’image du Règlement général sur la protection des données, se positionne déjà comme la norme de référence sur la scène internationale.
Le Canada avait fait preuve de leadership en 2022 avec le dépôt du projet de loi C-27 et sa proposition de Loi sur l'intelligence artificielle et les données (LIAD). Or, depuis son dépôt, le cheminement législatif de ce projet de loi à la Chambre des communes se révèle particulièrement lent, ce qui met en doute son avenir avec la perspective d’élections fédérales dans un peu plus d’un an.
Comment le Québec se positionne-t-il sur cet enjeu?
Le point sur l’encadrement de l’IA au Québec
Malgré l’absence de projet de loi spécifique en matière d’IA à son propre palier de gouvernement, le Québec n’est pas en reste. Rappelons que le Québec se veut un pionnier dans le domaine de la gouvernance et de l’éthique de l’IA, ayant adopté la Déclaration de Montréal pour un développement responsable de l'intelligence artificielle en 2018. Fruit d’un important processus de coconstruction citoyenne, la Déclaration de Montréal constitue un cadre éthique pour le développement et le déploiement de l’IA qui s’articule autour de 10 principes : bien-être, autonomie, intimité et vie privée, solidarité, démocratie, équité, inclusion, prudence, responsabilité et soutenabilité environnementale.
Plus récemment, au mois de février 2024, le Conseil de l’innovation du Québec a déposé son rapport dans lequel il formule 12 recommandations, incitant notamment le gouvernement à adopter une loi-cadre pour encadrer le développement et le déploiement de l’IA dans la société.
L’Énoncé de principes pour une utilisation responsable de l’intelligence artificielle par les organismes publics
La dernière nouveauté en matière d’encadrement de l’IA au Québec provient du ministère de la Cybersécurité et du Numérique (MCN) qui a adopté, en vertu de l’article 21 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, un Énoncé de principes pour une utilisation responsable de l’intelligence artificielle par les organismes publics.
Les 10 principes directeurs établis par le MCN pour orienter l’utilisation de l’IA par les organismes publics sont les suivants :
- Respect des personnes et de la règle de droit : L’utilisation responsable de systèmes d’IA doit se faire dans le respect de la primauté du droit, des droits et libertés de la personne, de la loi ainsi que des valeurs de l’administration publique québécoise1. Plus particulièrement, les organismes publics doivent veiller à ce que les données d’apprentissage et les autres données utilisées par les systèmes d’IA soient légalement collectées, utilisées et divulguées, en tenant compte des droits applicables en matière de protection de la vie privée. Par exemple, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels prévoit l’obligation de produire une évaluation des facteurs relatifs à la vie privée (EFVP) pour l’acquisition ou le développement d’une solution d’IA qui implique la collecte, l’utilisation et la communication de renseignements personnels.
- Inclusion et équité : L’utilisation responsable de systèmes d’IA doit viser à répondre aux besoins de la population québécoise à l’égard des services publics, tout en faisant la promotion de la diversité et de l’inclusion. Tout système d’IA doit ainsi minimiser les risques et les inconvénients pour la population et éviter de causer une fracture numérique. Les membres du personnel des organismes publics doivent pouvoir bénéficier de l’accompagnement nécessaire par la mise en place de mécanismes et d’outils, notamment lorsque des métiers sont appelés à être transformés grâce aux avancées technologiques.
- Fiabilité et robustesse : Des mesures doivent être prises pour vérifier la fiabilité et la robustesse des systèmes d’IA. Des mesures correctives et des moyens de contrôle doivent également être mis en place pour s’assurer que ces systèmes fonctionnent de manière stable et constante, même en présence de perturbations ou de scénarios inédits. La qualité des données est un élément clé pour viser la fiabilité et la robustesse d’un système d’IA; notamment, les données doivent être exactes et exemptes de biais pouvant comporter des risques, causer des préjudices ou renforcer diverses formes de discrimination.
- Sécurité: L’utilisation responsable de systèmes d’IA doit se faire dans le respect des obligations relatives à la sécurité de l’information. Des mesures de sécurité doivent être mises en place afin de limiter les risques encourus et de protéger adéquatement l’information concernée.
- Efficience, efficacité et pertinence: L’utilisation responsable de systèmes d’IA doit permettre d’offrir aux citoyens et aux entreprises des services publics simplifiés, intégrés et de qualité. L’utilisation de tels systèmes doit également viser une gestion optimale des ressources informationnelles et des services publics. Par exemple, un organisme peut démontrer son respect de ce principe à l’aide d’un dossier d’opportunité qui indique comment le recours à l’IA est essentiel à la résolution d’un problème ou à l’amélioration d’un processus.
- Durabilité: L’utilisation responsable de systèmes d’IA doit s’inscrire dans une démarche de développement durable. Par exemple, un organisme peut démontrer son respect de ce principe en effectuant une évaluation des impacts environnementaux de son projet d’IA.
- Transparence: Les organismes publics doivent informer clairement les citoyens et les entreprises de la nature et de la portée des systèmes d’IA ainsi que du moment de leur utilisation, de manière à promouvoir la confiance du public envers ces outils. Par exemple, un organisme peut démontrer son respect de ce principe en adoptant une signalétique indiquant aux usagers que le service qu’ils reçoivent est généré par un système d’IA.
- Explicabilité: L’utilisation responsable de systèmes d’IA implique de fournir aux citoyens et aux entreprises l’explication claire et sans ambiguïté des décisions, des prédictions ou des actions les concernant. L’explication doit permettre de comprendre les interactions et ses conséquences au regard d’une décision ou d’un résultat.
- Responsabilité: L’utilisation de systèmes d’IA entraîne une responsabilité, notamment quant à leur bon fonctionnement. Une telle responsabilité implique de mettre en place des mesures de contrôle et une gouvernance adéquate, incluant la supervision ou la validation humaine.
- Compétence: Les employés des organismes publics doivent être sensibilisés aux normes d’utilisation, aux pratiques optimales et aux enjeux pouvant survenir tout au long du cycle de vie des systèmes d’IA dans le cadre de l’exercice de leurs fonctions, en plus de favoriser le développement de leurs compétences numériques. Il est important que les équipes dédiées à la conception et au développement de solutions visant de tels systèmes disposent d’une expertise de pointe pour permettre à l’administration publique de viser à offrir des services publics simplifiés, intégrés et de qualité. Par exemple, un organisme peut démontrer son respect de ce principe en offrant aux membres de son personnel une formation sur les bonnes pratiques en matière d’utilisation de l’IA préalablement à son déploiement.
En outre, le MCN précise que ces principes s’appliquent même lorsqu’un organisme public a recours à des fournisseurs de service ou des partenaires pour assurer le développement ou le déploiement d’un système d’IA; chaque organisme est donc responsable de s’assurer que ses fournisseurs et ses partenaires respectent ces principes à toutes les étapes d’un projet impliquant l’intégration de l’IA.
Vers une harmonisation de l’encadrement de l’IA?
Il est intéressant de souligner que les principes exposés par le MCN sont très similaires à ceux identifiés par le gouvernement fédéral dans son document complémentaire à la Loi sur l’intelligence artificielle et les données (LIAD).
L’approche de la LIAD, basée sur les risques, est justement conçue pour s’aligner avec l’évolution des normes internationales dans le domaine de l’IA, notamment le Règlement sur l'IA de l'Union européenne, les Principes sur l’IA de l’Organisation de coopération et de développement économiques (OCDE), et le Risk Management Framework du National Institute of Standards and Technology (NIST) aux États-Unis. Le MCN utilise d’ailleurs la définition de « système d’intelligence artificielle » proposée par l’OCDE.
Considérant les obstacles auxquels fait face le projet de loi fédéral C-27, il est de bon augure de voir le gouvernement québécois s’inspirer de cette approche de réglementation en conformité avec les standards internationaux en matière d’IA. Alors que de plus en plus d’organismes publics explorent les possibilités offertes par l’IA pour améliorer leurs opérations et la prestation des services publics, l’Énoncé de principes du MCN fournit des orientations claires qui peuvent s’appliquer à tous les secteurs de l’Administration publique, quelle que soit la nature des activités ou des données concernées.
Enfin, pour opérationnaliser ces principes, les organismes publics peuvent considérer mettre en place un cadre de gouvernance de l’IA afin de renforcer leur résilience dans leur intégration de l’IA.
Communiquez avec nous
Le groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels de BLG suit de près les développements juridiques susceptibles d’éclairer les organisations sur les exigences en matière de protection des données au Canada. N’hésitez pas à communiquer avec les personnes-ressources ci-dessous ou d’autres membres de notre groupe si votre organisation s’interroge sur la mise en place d’un cadre de gouvernance de l’IA.
1 Le MCN réfère à la Déclaration de valeurs de l’administration publique québécoise.