Bulletin

Projet de loi C-27 : Le gouvernement fédéral annonce des modifications au projet de loi canadien sur l’IA

Temps de lecture 23 minutes
S'inscrire
Partager

Aperçu

Bulletin protection des renseignements personnels et cybersécurité

Le 28 novembre 2023, le ministre de l’Innovation, des Sciences et de l’Industrie, François-Philippe Champagne, a présenté au Comité permanent de l’industrie et de la technologie (le « comité »), lequel étudie actuellement le projet de loi C-27, le texte des modifications que le gouvernement propose d’apporter à la Loi sur l’intelligence artificielle et les données (la « LIAD »). Le projet de loi C-27 a franchi l’étape de la deuxième lecture et a été renvoyé au comité en avril. Le mois dernier, le ministre Champagne a fourni au comité une description des modifications proposées par le gouvernement que nous avons abordées dans un précédent bulletin. Conformément à la description du ministre, les modifications proposées visent à :

La lettre d’accompagnement du ministre présente la LIAD comme une mesure législative essentielle nécessitant un examen urgent. De l’avis du gouvernement, « les conséquences pour les Canadiens de toute inaction seraient considérables » et feront en sorte que les systèmes d’IA « resteront non réglementés au Canada pendant de nombreuses années encore ». Cela aurait pour conséquence directe que les Canadiens « auraient du mal à croire que les systèmes d’IA développés ou utilisés au Canada ont été gérés de manière appropriée pour garantir la reddition de comptes et l’équité ». Il en résulte que les lois canadiennes d’application générale en vigueur (lois sur les droits de la personne, lois sur la protection de la vie privée, etc.) ne pourraient pas, répondre de manière adéquate à des risques tels que les préjugés à l’ère de l’IA.

Si vous avez des questions à propos de l’évolution de la LIAD, ou si vous voulez savoir comment votre organisation peut se préparer à son entrée en vigueur, veuillez communiquer avec les auteurs du présent bulletin ou avec votre avocat(e) de Fasken.

Propositions de modifications à apporter à la LIAD

Les propositions de modifications à apporter à la LIAD sont substantielles et portent sur les sujets que le gouvernement a présentés en octobre (voir le document de comparaison montrant les nouveaux changements ici). La lettre du ministre comprend également des explications sur les objectifs des modifications, que nous résumons ci-après avec le libellé des modifications.

Nouvelles définitions

Les modifications proposées comprennent une nouvelle définition du terme « système d’intelligence artificielle », tirée de la définition de ces systèmes par l’Organisation de coopération et de développement économiques (OCDE). Cette définition est l’un des fondements de la LIAD, car elle définit les paramètres des systèmes auxquels la LIAD s’appliquera :

Un système d’intelligence artificielle s’entend d’un système technologique qui, au moyen de modèles, procède par inférence pour générer des résultats, notamment des prédictions, des recommandations ou des décisions.

Par rapport à la définition initiale, la définition de l’OCDE correspond davantage à la compréhension et au discours actuels sur les systèmes d’IA. Le gouvernement note que la définition de l’OCDE inclut le concept d’« inférence » comme trait distinctif des systèmes d’IA, les distinguant des autres systèmes informatiques. Cet accent mis sur l’inférence élimine également la nécessité de référer à des techniques particulières de traitement de données, comme l’apprentissage automatique.

En effet, la définition initiale de l’expression « systèmes d’intelligence artificielle » dans la LIAD avait une portée assez large, en partie à cause de la nécessité de référer de façon globale aux techniques de traitement de l’information. Cette définition englobait tout système technologique qui « de manière autonome ou partiellement autonome », traite des données « par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage machine ou d’autres techniques ». Cette définition générale aurait pu inclure par inadvertance des systèmes qui ne sont habituellement pas reconnus comme étant des systèmes d’IA.

Les modifications proposées incluraient également une définition de « modèle d’apprentissage automatique ».

Un modèle d’apprentissage automatique s’entend d’une représentation numérique des régularités décelées dans des données au moyen du traitement automatique de celles-ci par un algorithme conçu pour en permettre la reconnaissance ou la reproduction.

Cette définition étend le champ d’application de la LIAD de manière à inclure les obligations liées aux modèles d’apprentissage automatique, en plus de celles qui sont applicables aux systèmes d’IA. Notamment, bien que la nouvelle définition des systèmes d’IA mentionne l’utilisation de « modèles » en termes généraux, elle ne fait pas référence au terme défini « modèle d’apprentissage automatique ». On ne sait pas si la mention d’un modèle dans la définition des systèmes d’IA se veut plus large que le terme défini « modèle d’apprentissage automatique » ni si certains modèles utilisés dans les systèmes d’IA pourraient demeurer non réglementés par opposition à des modèles d’apprentissage automatiques qui sont assujettis à des obligations en vertu de la LIAD.

Liste initiale des systèmes d’IA à incidence élevée

De nombreuses exigences de la LIAD s’appliquent exclusivement aux systèmes à incidence élevée. Dans le texte initial de la LIAD, la définition des « systèmes à incidence élevée » était entièrement laissée aux règlements, ce qui a amené plusieurs intervenants et parlementaires à demander au gouvernement de clarifier sa définition de ces systèmes.

Tout comme la législation sur l’IA de l’UE, les modifications proposées établissent sept classes initiales de systèmes d’IA qui sont considérés comme des systèmes à incidence élevée, de même qu’un ensemble de facteurs dont le gouvernement tiendra compte pour établir de nouvelles classes de systèmes à incidence élevée. Les classes initiales sont :

  1. Décisions concernant l’emploi : Cette classe de systèmes à incidence élevée met l’accent sur les systèmes d’IA utilisés pour prendre des décisions dans un contexte d’emploi, notamment le recrutement, l’embauche, la promotion et le licenciement. Le gouvernement craint que l’IA ne perpétue les préjugés existants, ce qui aurait une incidence sur des décisions telles que « à qui diffuser les offres d’emploi, comment classer les candidats et qui a accès aux opportunités au sein d’une organisation ».
  2. Prestation de services : Cette classe comprend les systèmes d’IA utilisés pour décider de fournir ou non des services à une personne physique, les types de services à fournir ou les coûts de ces services, ou la priorisation des services à fournir. Le gouvernement soutient que les systèmes d’IA utilisés dans ces cas pourraient exacerber les préjugés fondés sur des données historiques.
  3. Traitement des données biométriques : Cette classe inclut les systèmes d’IA qui traitent des données biométriques permettant d’identifier des personnes ou d’évaluer leur comportement ou leur état mental. Le gouvernement est d’avis que ces systèmes d’IA permettent le traitement à l’échelle de l’information biométrique, ce qui permet de prévoir et de déduire des comportements individuels ou collectifs. Le gouvernement soutient que cela comporte un risque important de partialité involontaire et de préjudice psychologique.
  4. Modération et priorisation de contenus sur les plateformes de communication (p. ex., médias sociaux et moteurs de recherche) : Cette classe vise les systèmes d’IA utilisés par les plateformes de communications en ligne, comme les services de réseautage social, pour la modération et la priorisation des contenus. La préoccupation du gouvernement pour cette classe est l’incidence de ces systèmes d’IA sur la liberté d’expression, par exemple en raison de la possibilité que ces systèmes discriminent en fonction des variations linguistiques ou qu’ils ne comprennent pas le contexte d’un contenu.
  5. Soins de santé et services d’urgence : Cette classe vise les applications de l’IA dans les services de santé et d’urgence, à l’exclusion de certains appareils médicaux réglementés par la Loi sur les aliments et drogues. L’objectif est de s’assurer que ces systèmes ne sont pas discriminatoires et qu’ils satisfont aux exigences en matière de santé et de sécurité.
  6. Prise de décisions par un tribunal ou un organisme administratif : Cette classe concerne les systèmes d’IA utilisés par les tribunaux ou les organismes administratifs en vue de prendre une décision concernant une personne physique qui est partie à des procédures judiciaires ou administratives. L’objectif est de prévenir la perpétuation des préjugés dans ces systèmes, lesquels pourraient avoir de graves conséquences sur les libertés et les droits des personnes et sur l’accès à la justice.
  7. Application de la loi : Cette classe vise les systèmes d’IA utilisés pour assister les agents de la paix dans l’exercice de l’application de la loi. Étant donné l’impact profond que le maintien de l’ordre peut avoir sur la vie des personnes et des communautés, le gouvernement souligne qu’il est important de veiller à ce que ces systèmes soient sécuritaires, efficaces et exempts de discrimination.

Le gouvernement souligne que, bien que les activités de ces classes « soient couvertes dans une certaine mesure par d’autres cadres réglementaires, tels que la Loi sur la protection des renseignements personnels et les documents électroniques et la [Loi canadienne sur les droits de la personne], nous avons veillé à ce que l’application de la LIAD ne fasse pas double emploi ».

Lorsqu’il ajoute de nouvelles classes de systèmes à incidence élevée, le gouvernement (gouverneur en conseil) doit prendre en compte la gravité et l’étendue des incidences négatives potentielles, y compris celles sur les droits de la personne et sur les préjudices sociaux. Le gouvernement doit également déterminer si une proposition de classe de systèmes à incidence élevée est déjà suffisamment réglementée par d’autres lois existantes. Puisque le gouvernement a reconnu qu’il y a chevauchement entre ces classes initiales et des régimes réglementaires existants, il reste à voir dans quels cas le dernier facteur aura pour effet de limiter les nouvelles classes potentielles de systèmes à incidence élevée.

Obligations plus claires tout au long de la chaîne de valeur de l’IA

En réponse aux préoccupations selon lesquelles certaines parties réglementées pourraient être tenues responsables d’activités se déroulant en dehors de leur champ d’activité ou de leurs capacités, les modifications proposées établissent des responsabilités claires tout au long de la chaîne de valeur de l’IA. Les modifications établissent une distinction entre les développeurs de modèles d’apprentissage automatique destinés à une utilisation à incidence élevée, les développeurs de systèmes à incidence élevée, les personnes qui mettent des systèmes à incidence élevée à la disposition des utilisateurs, et ceux qui gèrent l’exploitation de tels systèmes. L’objectif de ces modifications est de mettre en place des dispositions spécifiques adaptées aux difficultés particulières de chacune de ces parties prenantes. Ces exigences comprennent notamment l’identification, l’évaluation et l’atténuation des risques de préjudice et de la production de contenu biaisé (y compris certaines obligations relatives aux tests d’efficacité à intervalles réguliers), ainsi que des obligations spécifiques adaptées aux différentes étapes du développement et de la mise en œuvre des systèmes d’IA. Par exemple, les opérateurs de système devront créer un moyen par lequel les utilisateurs peuvent fournir des commentaires sur les performances du système, ainsi que des exigences en matière de réponse aux incidents graves et d’avis.

Systèmes d’IA à usage général

Les modifications proposées introduisent la définition d’un « système à usage général », qui se distingue des systèmes à incidence élevée dont il est question ci-dessus (bien que les modifications précisent qu’un système d’IA peut être à la fois un système à usage général et un système à incidence élevée). Il s’agit d’un système d’IA conçu pour être utilisé – ou pour être adapté en vue d’être utilisé – dans divers domaines et pour des activités diverses, notamment des domaines, des fins et des activités n’ayant pas été envisagées pendant son développement. Il s’agit d’une définition large, destinée à englober les systèmes ayant une vaste gamme d’usages prospectifs, dont certains ne sont pas encore parfaitement compris. Les modifications proposées introduisent également plusieurs nouvelles exigences auxquelles les développeurs devront se conformer avant qu’un système à usage général puisse être mis en marché, comme l’évaluation des impacts négatifs anticipés, la prise de mesures pour évaluer et atténuer les risques (et pour tester l’efficacité de ces mesures d’atténuation), la mise en œuvre d’une surveillance humaine, le signalement des incidents graves et les exigences en matière de tenue de dossiers.

Dans sa lettre d’accompagnement, le ministre explique que la préoccupation à l’égard des systèmes d’IA à usage général est leur capacité à produire des médias synthétiques indétectables, ce qui soulève de sérieuses préoccupations au sujet de la prolifération des hypertrucages. Par conséquent, les modifications proposées exigeront des organisations qu’elles fassent de leur mieux pour s’assurer que les utilisateurs puissent détecter les résultats de l’IA générative et qu’elles fournissent une description en langage simple du système à usage général, de manière à assurer la transparence.

Cadres de responsabilisation

Les modifications proposées exigeront explicitement des cadres de responsabilisation. Les cadres de responsabilisation visent à faire en sorte que les organisations qui participent à l’élaboration et au déploiement de systèmes d’IA à usage général et à incidence élevée soient responsables de leurs pratiques de gestion des risques. Ces cadres doivent comprendre, conformément aux règlements :

  • les rôles et responsabilités de chaque membre du personnel qui contribue à la mise en disponibilité ou la gestion de l’exploitation du système d’intelligence artificielle ainsi que la structure hiérarchique de ces membres;
  • les politiques et procédures concernant la gestion des risques liés au système;
  • les politiques et procédures concernant les données utilisées par le système;
  • les formations relatives au système que le personnel visé ci-dessus doit suivre ainsi que le matériel de ces formations;
  • si la personne qui établit et tient à jour le cadre gère l’exploitation du système, les politiques et procédures concernant la façon dont le personnel visé ci-dessus l’avise dans les cas où l’utilisation du système entraîne, directement ou indirectement, un préjudice sérieux ou que les mesures d’atténuation établies ne sont pas efficaces pour atténuer les risques de préjudice sérieux que pourrait entraîner l’utilisation du système;
  • tout élément prévu par règlement.

Nouveaux pouvoirs pour le Commissaire à l’intelligence artificielle et aux données

La version initiale de la LIAD conférait au ministre et à un haut fonctionnaire du ministère de l’Innovation, des Sciences et du Développement économique du Canada (l’« ISDE »), désigné comme Commissaire à l’intelligence artificielle et aux données (le « commissaire »), des pouvoirs importants en matière d’administration et de surveillance de la LIAD. Les parties prenantes ont exprimé des préoccupations quant au fait que cela créerait un conflit d’intérêts entre les activités de mise en œuvre et les priorités de développement économique du ministère de l’ISDE, d’autant plus que le rôle du commissaire n’était pas bien défini.

Les modifications proposées transfèrent au commissaire certains pouvoirs qui étaient auparavant attribués au ministre. Les fonctions et responsabilités du commissaire sont désormais inscrites dans la loi et comprendront différents pouvoirs, notamment :

  • d’exiger d’une organisation de produire son cadre de responsabilisation, donnant au commissaire la capacité d’examiner la façon dont les organisations se conforment à la LIAD, et de fournir des directives ou des recommandations sur les mesures correctives;
  • d’exiger d’une organisation de rendre accessibles les évaluations qu’elle a effectuées conformément à la LIAD, afin que le commissaire puisse confirmer s’il est d’accord ou non avec l’évaluation;
  • de mener ou d’ordonner une vérification, en présence de motifs raisonnables de croire qu’une entreprise a enfreint ou est susceptible d’enfreindre ses obligations relativement à la LIAD (ce pouvoir d’enquête permettrait au commissaire de pénétrer dans les locaux, d’accéder aux systèmes, de copier les données et de tester les systèmes d’IA);
  • de communiquer des renseignements à d’autres organismes de réglementation et de recevoir des renseignements d’autres organismes de réglementation, tels que le Commissariat à la protection de la vie privée, la Commission canadienne des droits de la personne, le Commissaire de la concurrence, le Bureau du surintendant des institutions financières, l’Agence de la consommation en matière financière du Canada, le Centre d’analyse des opérations et déclarations financières du Canada, le ministre de la Santé et le ministre des Transports.

Ensemble, ces modifications visent à permettre au commissaire d’exercer les principales fonctions prévues par la loi indépendamment du ministre et de permettre au commissaire de servir de « carrefour d’information » en matière de réglementation de l’IA. En fin de compte, seul le ministre conserverait le pouvoir d’émettre des ordonnances en vertu de la LIAD.

Harmonisation des définitions de la LIAD avec celles de la législation sur l’IA de l’UE

Depuis le dépôt du projet de la LIAD, le consensus international sur une compréhension commune du potentiel de l’IA et de ses défis s’est élargi. En réponse aux préoccupations soulevées par des parties prenantes du monde des affaires, les modifications proposées visent à atténuer les risques posés par le manque d’harmonisation des définitions et des normes clés entre les territoires.

Les modifications proposées englobent des notions sur lesquelles un accord plus large a été conclu dans d’autres territoires et dans certaines institutions multinationales :

  • Création d’une nouvelle définition du terme « système d’intelligence artificielle » pour l’harmoniser avec la définition de l’OCDE (voir ci-dessus).
  • Clarification du champ d’application de la LIAD pour que les obligations ne s’appliquent qu’une fois que les systèmes d’IA sont mis sur le marché ou utilisés dans le cadre d’un commerce international ou interprovincial. Conformément à la législation sur l’IA de l’UE, il ne serait pas nécessaire de démontrer la conformité au cours des phases de recherche et de développement.
  • Reconnaissance du fait que les systèmes d’IA peuvent être modifiés par des organisations qui n’ont pas créé le système original et que la partie qui les modifie devrait également être assujettie à des obligations de conformité, comme dans la législation sur l’IA de l’UE. Les modifications proposées étendront les obligations aux systèmes d’IA à usage général et à incidence élevée qui auront été modifiés de façon importante (dans des situations où le changement est si important qu’il altère la façon dont le système s’acquitte de ses obligations au titre de la LIAD).
  • Implémentation des cadres de responsabilisation plus rigoureux, comme mentionné ci-dessus. La clarification des rôles et des responsabilités au sein des organisations rend la LIAD plus semblable à la législation sur l’IA de l’UE, qui exige un système de gestion de la qualité comparable.

Ces modifications permettront une meilleure harmonisation de la LIAD avec la législation sur l’IA de l’UE et favoriseront l’interopérabilité entre ces cadres juridiques.

Pour plus d’informations ou pour discuter d’une question particulière, veuillez nous contacter.

Contactez les auteurs

Pour plus d'informations ou pour discuter d'un sujet, veuillez nous contacter.

Contactez les auteurs

Auteurs

  • Christopher Ferguson, Associé, Toronto, ON, +1 416 865 4425, cferguson@fasken.com
  • Heather Whiteside, Avocate, Toronto, ON, +1 416 865 5476, hwhiteside@fasken.com
  • Isabelle Savoie, Avocate, Toronto, ON, +1 416 943 8993, isavoie@fasken.com
Christopher Ferguson, Associé | Technologies, médias et télécommunications, Protection des renseignements confidentiels, vie privée et cybersécurité Christopher Ferguson Associé Toronto, ON +1 416 865 4425
Heather Whiteside Toronto Lawyer Heather Whiteside Avocate Toronto, ON +1 416 865 5476
Isabelle Savoie Toronto Lawyer Isabelle Savoie Avocate Toronto, ON +1 416 943 8993

Solutions connexes

Domaines de pratique

Marchés

    Vous pourriez être intéressé par...

    • Les actualités à noter selon Fasken : Protection des renseignements personnels et cybersécurité (novembre 2023), 23/11/2023
    • L’actualités en Protection des renseignements personnels et cybersécurité selon Fasken (octobre 2023), 30/10/2023
    Centre de données informatiques Bulletin Les actualités à noter selon Fasken : Protection des renseignements personnels et cybersécurité (novembre 2023) Publication de nouvelles lignes directrices, discussions sur l’intelligence artificielle et questions relatives aux processus d’anonymisation. En savoir plus
    Centre de données informatiques Bulletin L’actualités en Protection des renseignements personnels et cybersécurité selon Fasken (octobre 2023) Ne manquez pas les nouveautés du dernier mois : publication de documents d’orientation et développements en ce qui concerne le projet de loi fédéral sur la protection de la vie privée. En savoir plus

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire