Les lois régissant la technologie ont toujours porté principalement sur la réglementation de la protection des renseignements personnels et des communications numériques. Cependant, les gouvernements et les autorités de réglementation du monde entier tournent de plus en plus leur attention vers les systèmes d’intelligence artificielle (IA). Alors que l’IA joue un rôle de plus en plus influent dans diverses industries, certains signes portent à croire que les énoncés de droit non contraignants et les cadres éthiques existants sur l’IA pourraient bientôt être suivis de cadres juridiques contraignants.[1]
En effet, le 16 juin 2022, le gouvernement canadien a déposé le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique. Le projet de loi C-27 propose d’édicter, entre autres, la Loi sur l’intelligence artificielle et les données (la « LIAD »). Bien que des efforts aient déjà été déployés pour réglementer la prise de décisions automatisée dans le cadre de la réforme fédérale de la protection des renseignements personnels, les modifications apportées à la LIAD représentent le premier pas du Canada vers la réglementation des systèmes d’IA en dehors de la législation sur la protection des renseignements personnels.[2]
Si elle est adoptée, la LIAD réglementerait la conception, le développement et l’utilisation des systèmes d’IA dans le secteur privé relativement au commerce interprovincial et international, et viserait à atténuer les risques de préjudice et de partialité dans l’utilisation des systèmes d’IA à « incidence élevée ». La LIAD prévoit des exigences concrètes pour les systèmes d’IA, de même que des pénalités et de nouvelles infractions d’ordre pénal pour certains comportements illicites ou frauduleux en ce qui concerne ces systèmes.
Comparaison entre la LIAD et la législation sur l’IA de l’Union européenne
Avant l’arrivée de la LIAD, en avril 2021, la Commission européenne a présenté un projet de règlement sur l’intelligence artificielle établissant des règles harmonisées concernant l’intelligence artificielle (la « législation sur l’IA de l’UE », souvent désignée par son nom anglais AI Act). L’objectif? Établir une législation harmonisée pour la conception, la commercialisation et l’utilisation de l’IA et imposer des critères fondés sur les risques pour les systèmes d’IA et leurs opérateurs, en plus de prévoir des restrictions au sujet de certaines pratiques d’IA considérées néfastes.
Généralement, la LIAD et la législation sur l’IA de l’UE visent toutes deux à atténuer les risques de partialité et de dommages causés par l’IA, tout en maintenant un certain équilibre entre la législation et le besoin de voir évoluer l’innovation technologique. Dans un effort pour être « prêt pour l’avenir » et de suivre le rythme des progrès en matière d’IA, la LIAD et la législation sur l’IA de l’UE définissent l’« intelligence artificielle » d’une manière neutre sur le plan technologique. Cependant, la LIAD s’appuie sur une approche davantage fondée sur des principes, tandis que la législation sur l’IA de l’UE est plus contraignante dans sa classification des systèmes d’IA à haut risque et des pratiques d’IA néfastes, de même qu’à propos du contrôle de leur conception et de leur déploiement. En outre, une grande partie de la substance et des détails de la LIAD restent à définir dans de futurs règlements, notamment la définition clé des systèmes d’IA à « risque élevé », auxquels la plupart des obligations liées à la LIAD sont rattachées.
Le tableau ci-dessous présente certaines des principales similitudes et différences entre les versions actuelles de la LIAD et de la législation sur l’IA de l’UE.
| Définitions clés | |
| LIAD | Législation sur l’IA de l’UE |
|
« Système d’intelligence artificielle » désigne un système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage machine ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions. |
« Système de renseignements artificiels » désigne un logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées dans la loi (p. ex., approches d’apprentissage machine, approches logiques et fondées sur le savoir et approches statistiques) et qui peut, pour un ensemble donné d’objectifs, générer des résultats comme des contenus, des prédictions, des hypothèses, des recommandations ou des décisions influençant les environnements avec lesquels il interagit. |
|
« Système à incidence élevée » désigne un système d’intelligence artificielle qui satisfait aux critères d’un système à incidence élevée établis par la réglementation à venir. |
« Système à risque élevé » désigne :
|
| « Préjudice » désigne un (a) préjudice physique ou psychologique subi par un individu, (b) un dommage à ses biens ou (c) une perte économique subie par un individu. |
« Incident grave » désigne tout incident qui entraîne directement ou indirectement, ou est susceptible d’avoir entraîné, ou encore est susceptible d’entraîner :
|
| Application | |
| LIAD | Législation sur l’IA de l’UE |
|
La LIAD vise les « personnes » (notamment les fiducies, les sociétés de personnes, les coentreprises, les associations non dotées de la personnalité morale et toute autre entité juridique) qui exercent l’une des « activités réglementées » suivantes dans le cadre du commerce international ou interprovincial :
|
La législation sur l’IA de l’UE s’applique aux :
|
|
La LIAD ne s’applique pas :
|
La législation sur l’IA de l’UE ne s’applique pas :
|
| Interdictions | |
| LIAD | Législation sur l’IA de l’UE |
|
La LIAD ne prévoit pas d’interdiction pure et simple des systèmes d’IA présentant un niveau de risque inacceptable. Toutefois, elle prévoit comme une infraction le fait de :
|
La législation sur l’IA de l’UE interdit certaines pratiques en matière d’IA, de même que certains types de systèmes d’IA, notamment :
|
| Utilisation des données | |
| LIAD | Législation sur l’IA de l’UE |
|
Les personnes qui mettent à disposition des données anonymisées devant être utilisées dans des systèmes d’IA doivent établir des mesures (conformément à la réglementation future), concernant :
|
Les systèmes à risque élevé qui utilisent des jeux de données pour la formation, la validation et les essais doivent être soumis à des pratiques appropriées en matière de gouvernance et de gestion des données qui prennent en considération :
Les jeux de données doivent :
|
| Exigences relatives aux systèmes d’IA | |
| LIAD | Législation sur l’IA de l’UE |
| Évaluation. Les personnes responsables d’un système d’IA doivent évaluer s’il s’agit d’un système à incidence élevée (conformément à la réglementation future). |
Évaluation. La législation sur l’IA de l’UE préconise une approche graduelle :
|
Gestion des risques. Les personnes responsables des « systèmes à incidence élevée » doivent :
|
Gestion des risques. Les systèmes à risque élevé doivent :
|
|
Transparence. Les personnes responsables des « systèmes à incidence élevée » doivent publier sur un site Web public une description en langage clair du système d’IA qui explique :
|
Transparence. Les systèmes d’IA qui interagissent avec les individus et présentent des risques liés à la transparence, comme ceux qui intègrent des systèmes de reconnaissance des émotions ou qui présentent des risques d’usurpation d’identité ou de fraude, sont soumis à des obligations de transparence supplémentaires. Peu importe que le système soit considéré ou non comme un système à risque élevé, les utilisateurs doivent être avisés :
|
| Exigences en matière de tenue de dossiers et de rapports | |
| LIAD | Législation sur l’IA de l’UE |
|
Les personnes responsables d’un système d’IA doivent tenir des registres (conformément à la réglementation future), lesquels décrivent :
|
Les systèmes d’IA à haut risque doivent :
Les fournisseurs de systèmes d’IA à haut risque doivent : |
| Exigences en matière de déclaration | |
| LIAD | Législation sur l’IA de l’UE |
| Les personnes responsables d’un système d’IA à incidence élevée doivent informer le ministre de l’Industrie aussitôt que possible si l’utilisation du système entraîne ou est susceptible d’entraîner un préjudice important. | Les fournisseurs de systèmes d’IA à haut risque doivent signaler tout incident grave ou tout dysfonctionnement qui constitue une violation de la législation sur l’IA de l’UE ou des obligations prévues par la législation de l’UE pour la protection des droits fondamentaux des individus. |
| Autorité de contrôle et de surveillance | |
| LIAD | Législation sur l’IA de l’UE |
|
Le ministre de l’Industrie peut désigner un cadre du ministère comme Commissaire à l’intelligence artificielle et aux données, lequel est chargé de l’appuyer dans l’exécution et le contrôle d’application de la LIAD. Le ministre peut déléguer au commissaire les attributions qui lui sont conférées sous le régime de la LIAD. Le ministre de l’Industrie a les pouvoirs généraux suivants :
|
Le Conseil européen sur l’intelligence artificielle aidera la Commission européenne à formuler des orientations et à superviser l’application de la législation sur l’IA de l’UE. Chaque État membre désigne ou établit une autorité nationale de surveillance. La Commission a les pouvoirs généraux suivants :
|
| Sanctions et infractions | |
| LIAD | Législation sur l’IA de l’UE |
|
Les personnes qui commettent une « violation » de la LIAD ou de ses règlements peuvent être passibles de sanctions administratives pécuniaires, dont les détails seront établis en fonction de la réglementation future. Les sanctions administratives pécuniaires visent à promouvoir le respect de la LIAD. Les infractions aux exigences de gouvernance et de transparence de la LIAD peuvent entraîner des amendes :
Les personnes qui commettent des infractions criminelles plus graves (p. ex., en contrevenant aux interdictions susmentionnées ou en faisant obstruction, ou en fournissant des renseignements faux ou trompeurs pendant une vérification ou une enquête) peuvent être passibles :
|
Les sanctions prévues par la législation sur l’IA de l’UE comprennent :
|
Principales comparaisons entre la LIAD et la législation sur l’IA de l’UE
Définition de l’IA
Bien que les deux lois définissent les systèmes d’IA de façon relativement large, la définition donnée dans la LIAD est plus précise. La LIAD ne vise que les technologies qui traitent les données de manière autonome ou partiellement autonome, tandis que la législation sur l’IA de l’UE ne fait mention d’aucun degré d’autonomie. Cette distinction observée dans la LIAD est sans doute une divergence bienvenue par rapport à la législation sur l’IA de l’UE, qui, telle qu’elle est actuellement rédigée, semble inclure même les technologies relativement inoffensives, comme l’utilisation d’une formule statistique pour produire un résultat. Cela étant dit, il semble que la définition actuelle incluse dans la législation sur l’IA de l’UE pourrait être modifiée avant la publication de sa version finale, et qu’elle sera probablement accompagnée de directives sur l’application de la réglementation pour plus de clarté.[4]
Évaluation et gestion des risques
Les deux lois visent à éviter le préjudice, un concept qu’ils définissent de la même façon. La législation sur l’IA de l’UE en fait toutefois une définition un peu plus large, dans la mesure où elle considère que les perturbations graves des infrastructures essentielles constituent un « préjudice », alors que la LIAD ne s’intéresse qu’aux dommages subis par les individus.
En vertu de la LIAD, les « systèmes à incidence élevée » seront définis dans la réglementation future, de sorte qu’il n’est pas encore possible de comparer la définition de « systèmes à incidence élevée » de la LIAD par rapport à la définition de « systèmes à haut risque » donnée dans la législation sur l’IA de l’UE. La législation sur l’IA de l’UE identifie deux catégories de « systèmes à haut risque ». La première catégorie comprend les systèmes d’IA destinés à être utilisés comme composants de sécurité de produits, ou comme produits eux-mêmes. La deuxième catégorie comprend certains systèmes d’IA, énumérés dans une annexe de la loi, qui présentent un risque pour la santé, la sécurité ou les droits fondamentaux des individus. Il reste à voir comment le Canada définirait les « systèmes à incidence élevée », mais la législation sur l’IA de l’UE donne une indication sur l’orientation que le gouvernement fédéral pourrait prendre.
De la même façon, la LIAD s’en remet aux futures réglementations quant à l’évaluation des risques, tandis que la législation sur l’IA de l’UE prévoit d’ores et déjà une approche graduelle du risque dans le corpus de la loi. En vertu de la législation sur l’IA de l’UE, les systèmes présentant un niveau de risque inacceptable sont carrément interdits. En particulier, la législation sur l’IA de l’UE interdit de manière explicite : (i) les systèmes manipulateurs ou exploiteurs des individus et qui sont susceptibles de causer des préjudices, (ii) les systèmes d’identification biométriques « en temps réel » utilisés dans les espaces publics par les forces de l’État chargées de l’application de la loi, et (iii) toutes les formes de notation sociale. Les systèmes d’IA présentant un risque faible ou minimal sont largement exemptés de la réglementation, à l’exception des exigences de transparence.
En comparaison, la LIAD impose uniquement des exigences de transparence aux systèmes d’IA à incidence élevée et ne prévoit pas d’interdiction pure et simple des systèmes d’IA présentant un niveau de risque inacceptable. Elle donne toutefois au ministre de l’Industrie le pouvoir d’ordonner qu’un système à incidence élevée présentant un risque sérieux de préjudice imminent cesse d’être utilisé.
Application et portée
L’application de la LIAD est limitée par les contraintes émanant de la compétence fédérale. La LIAD s’applique en général aux acteurs de toute la chaîne d’approvisionnement de l’IA, de la conception à la livraison, mais seulement dans la mesure où leurs activités se rapportent au commerce international ou interprovincial. La LIAD ne s’applique pas expressément au développement et à l’utilisation des systèmes d’IA à l’intérieur des provinces. Les institutions fédérales (au sens de la Loi sur la protection des renseignements personnels fédérale) sont exclues de la portée de la LIAD, tout comme les produits, les services et les activités qui sont sous la direction ou le contrôle d’organismes fédéraux de sécurité déterminés.
En revanche, la législation sur l’IA de l’UE s’applique spécifiquement aux prestataires (bien que cela puisse être interprété de manière large) et aux utilisateurs de systèmes d’IA, incluant les institutions gouvernementales, mais excluant des systèmes d’IA exclusivement développés à des fins militaires. La législation sur l’IA de l’UE s’applique aussi expressément aux fournisseurs et aux utilisateurs de systèmes d’IA, dans la mesure où les résultats produits par ces systèmes sont utilisés dans l’Union européenne.
Gouvernance des données
La LIAD est largement dépourvue d’exigences en matière de gouvernance des données. Dans sa forme actuelle, elle impose uniquement des exigences relatives à l’utilisation de données anonymes dans les systèmes d’IA, dont la plupart seront élaborées dans la réglementation future. Les exigences relatives à la gouvernance des données de la LIAD s’appliqueront aux données anonymisées utilisées pour la conception, le développement ou l’utilisation de tout système d’IA, alors que les exigences de gouvernance des données de la législation sur l’IA de l’UE ne s’appliqueront qu’aux systèmes à incidence élevée.
La législation sur l’IA de l’UE impose quant à elle des exigences très strictes en matière de gouvernance des données. Elle exige que les jeux de données concernant la formation, la validation et de contrôle soient exempts d’erreurs et complets. En réponse aux critiques selon lesquelles cette disposition serait trop stricte, le Parlement européen a introduit un amendement à la loi qui propose de faire des jeux de données « exempts d’erreurs » et « complets » un objectif global, dans la mesure du possible, plutôt qu’une exigence précise.
Autres obligations
Alors que la LIAD et la législation sur l’IA de l’UE énoncent toutes deux certaines exigences en matière d’évaluation, de surveillance, de transparence et de gouvernance des données, la législation sur l’IA de l’UE impose un fardeau beaucoup plus lourd aux responsables des systèmes d’IA à haut risque. Par exemple, en vertu de la LIAD, les personnes responsables de ces systèmes devront mettre en place des mesures d’atténuation, de surveillance et de transparence, alors que la législation sur l’IA de l’UE va plus loin en soumettant les systèmes d’IA à haut risque à un système de certification, qui exige que l’entité responsable procède à une évaluation de la conformité et élabore une « déclaration de conformité » avant que le système ne soit mis en service.
Les deux lois imposent aussi des exigences en matière de tenue de dossiers. Encore une fois, la législation sur l’IA de l’UE est plus contraignante, mais contrairement à la LIAD, ses exigences ne s’appliqueront qu’aux systèmes à haut risque, alors que les exigences en matière de tenue de dossiers de la LIAD s’appliqueraient à tous les systèmes d’IA.
Enfin, les deux lois prévoient des exigences en matière de déclaration qui se limitent aux systèmes à incidence élevée (LIAD) et à haut risque (législation sur l’IA de l’UE). La LIAD impose un fardeau un peu plus lourd aux entités responsables, lequel exige la déclaration de toutes les utilisations susceptibles d’entraîner des dommages matériels, alors que la législation sur l’IA de l’UE n’exige une déclaration que si un incident grave ou un dysfonctionnement s’est produit.
Exécution et sanctions
La LIAD et la législation sur l’IA de l’UE prévoient la création d’une nouvelle autorité de surveillance pour aider à l’administration et à l’application de la réglementation. Les pouvoirs qui lui seront conférés en vertu de ces deux lois sont similaires.
Les deux lois prévoient des sanctions importantes advenant une violation de leurs dispositions. Les sanctions prévues par la LIAD pour les infractions les plus graves – jusqu’à concurrence de 25 millions de dollars canadiens, ou 5 % des recettes globales brutes de l’organisation au cours de son exercice précédent – sont nettement plus élevées que celles prévues dans la nouvelle loi sur la protection des renseignements personnels du Québec ou dans le Règlement général sur la protection des données (le « RGPD ») de l’UE. La sanction la plus sévère prévue par la législation sur l’IA de l’UE est supérieure à la peine la plus sévère du RGPD et de la LIAD : elle impose une amende allant jusqu’à 30 millions d’euros, ou 6 % des recettes globales brutes de l’exercice précédent, pour le non-respect des dispositions relatives aux pratiques interdites d’IA ou des exigences de qualité établies pour les systèmes d’IA à haut risque.
Contrairement à la législation sur l’IA de l’UE, la LIAD introduit également de nouvelles infractions pénales pour les infractions les plus graves commises en vertu de la loi.
Enfin, la législation sur l’IA de l’UE accorderait également aux États membres le pouvoir discrétionnaire de fixer des sanctions supplémentaires en cas d’infraction à la loi.
Points à retenir et étapes suivantes
Bien que la LIAD et la législation sur l’IA de l’UE présentent de grandes similitudes, il est impossible de prédire avec certitude à quel point elles pourraient éventuellement être similaires, étant donné que la LIAD serait en grande partie élaborée dans le cadre d’une réglementation future. De plus, au moment de la rédaction de ce bulletin, le projet de loi C-27 n’avait franchi que l’étape de la première lecture, et il est probable qu’il fera l’objet d’amendements au fur et à mesure qu’il franchira les étapes du processus parlementaire.
Par ailleurs, on ne sait toujours pas quelle influence la législation sur l’IA de l’UE aura sur la réglementation de l’IA à l’échelle mondiale, y compris au Canada. Les organismes de réglementation du Canada et de l’Union européenne pourraient aspirer à un certain degré de cohérence. En effet, beaucoup ont comparé la législation sur l’IA de l’UE au RGPD, dans la mesure où elle pourrait instituer l’établissement de normes internationales pour la réglementation de l’IA, comme l’a fait le RGPD pour la législation sur la protection des renseignements personnels.
Quel que soit le sort réservé à la LIAD et à la législation sur l’IA de l’UE, les organisations sont appelées à réfléchir à la manière dont elles prévoient de répondre à une future vague de réglementation concernant l’IA.
Pour en savoir plus sur les répercussions possibles du nouveau projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique, consultez notre bulletin (Deuxième tentative du gouvernement du Canada en vue de réformer en profondeur la législation fédérale en matière de protection des renseignements personnels) à ce sujet.
[1] Il y a eu un certain nombre de changements récents dans la réglementation sur l’IA, notamment la norme Algorithmic Transparency Standard du Royaume-Uni, le projet de règlement chinois sur les systèmes de recommandation algorithmique dans les services en ligne, l’Algorithmic Accountability Act of 2022 des États-Unis sur la responsabilité algorithmique, et le projet collaboratif entre Santé Canada, la FDA et l’United Kingdom’s Medicines and Healthcare Products Regulatory Agency pour publier des Principes directeurs sur les bonnes pratiques d’apprentissage machine pour le développement des instruments médicaux.
[2] Dans la sphère publique, la Directive sur la prise de décisions automatisée réglemente l’utilisation par le gouvernement fédéral des systèmes de décision automatisés.
[3] Cette interdiction fait l’objet de trois exceptions soigneusement énumérées et précisément définies, lorsque l’utilisation de tels systèmes d’IA est strictement nécessaire à la réalisation d’un intérêt public substantiel, dont l’importance l’emporte sur les risques : (1) la recherche de victimes potentielles de la criminalité, y compris d’enfants disparus; (2) certaines menaces à la vie ou à la sécurité physique d’individus, ou une attaque de nature terroriste; (3) la détection, la localisation, l’identification ou la poursuite des auteurs ou suspects de certaines infractions criminelles particulièrement répréhensibles.
[4] En prévision de changements potentiels, la présidence slovène du Conseil de l’Union européenne a déposé en novembre 2021 une proposition d’amendement à apporter à la loi, qui limiterait effectivement la portée de la réglementation à l’apprentissage machine.
