Loi sur l’intelligence artificielle et les données du Canada : un document complémentaire apporte de précieuses clarifications

La Loi sur l’intelligence artificielle et les données (LIAD) comporte plusieurs zones d’ombres. Afin de les éclaircir, Innovation, Sciences et Développement économique Canada a récemment publié un document complémentaire apportant d’importantes précisions sur l’approche visée du gouvernement en matière de réglementation de l’intelligence artificielle (IA). Une grande partie du flou qui règne jusqu’à présent s’explique par le fait que c’est par voie de réglementation à une date ultérieure que seront définis les systèmes d’IA spécifiques assujettis à la LIAD, de même que les mesures imposées par la loi.

Au vu de ces inconnus, un document complémentaire publié le 13 mars 2023 a pour objectif de « rassurer l’écosystème innovateur essentiel de l’IA au Canada que le but de cette loi n’est pas de piéger les acteurs de bonne foi ou de ralentir l’innovation, mais de réglementer les utilisations les plus puissantes de cette technologie qui présentent un risque de préjudices. »

S’appuyant sur cette promesse, le document démontre clairement que « le gouvernement a l’intention d[’]adopter une approche agile qui n’étouffera pas l’innovation responsable ni ne ciblera inutilement les développeurs, les chercheurs, les investisseurs ou les entrepreneurs en IA. » À preuve les affirmations ci-dessous qui soutiennent ces objectifs :

• La tenue imminente de consultations pour élaborer l’approche en matière de réglementation
• L’alignement de la réglementation avec les principes directeurs fournis et l’harmonisation avec la réglementation des autres juridictions
• Initialement, l’accent sur l’application de la LIAD serait mis sur l’éducation, l’établissement de lignes directrices, et l’aide aux entreprises pour s’y conformer volontairement
• L’application de la loi se ferait à l’aide de l’expertise du secteur privé, du milieu universitaire et de la société civile, afin de garantir que les activités y afférentes suivent l’évolution rapide de l’environnement de l’IA

Le document complémentaire fournit également des indications additionnelles au sujet des systèmes principalement visés par la réglementation et les mesures qui pourraient être imposées à diverses entités participant au développement de systèmes d’IA.

Examen des points clés du document complémentaire

Voici notre examen détaillé des points clés de clarification du document complémentaire.

Objectif législatif

La LIAD a pour but de combler les lacunes réglementaires pour veiller à ce que les risques propres à l’IA ne passent pas à travers les mailles du filet des réglementations existantes de protection du consommateur et des droits de la personne. Protéger les Canadiens et les Canadiennes – en particulier, les groupes vulnérables comme les enfants, ou les groupes historiquement marginalisés – des préjudices collectifs en réduisant les biais systémiques des systèmes d’IA est l’un des objectifs principaux de la loi.

Consultations à venir auprès des acteurs du secteur pour élaborer l’approche réglementaire initiale

Le gouvernement décrit la LIAD comme la première étape de l’élaboration du cadre d’un nouveau système réglementaire et a exprimé son intention de s'appuyer sur ce cadre pour créer un processus de développement de la réglementation ouvert et transparent en consultation avec les parties prenantes. La mise en œuvre du premier ensemble de règlements de LIAD est prévue de suivre l’échéancier ci-dessous à partir du moment où le projet de loi C-27 obtiendra la sanction royale :

• Consultation sur la réglementation (6 mois)
• Élaboration de projets de réglementation (12 mois)
• Consultation sur le projet de règlement (3 mois)
• Entrée en vigueur du premier ensemble de règlements (3 mois)

Orientation quant aux « systèmes à incidence élevée »

Le gouvernement a fourni les exemples de systèmes ci-dessous qui sont à surveiller en raison de leur incidence potentielle :

• Les systèmes de présélection qui ont une incidence sur l’accès aux services ou à l’emploi
• Les systèmes biométriques utilisés pour l’identification et l’inférence
• Les systèmes capables d’influencer le comportement humain à grande échelle, tels que les systèmes de recommandation de contenu en ligne alimentés par l’IA
• Les systèmes critiques pour la santé et la sécurité, comme les systèmes de conduite autonome et les systèmes faisant des décisions de triage dans le secteur de la santé

De plus, le gouvernement a établi les critères clés ci-dessous dont les personnes responsables de systèmes d’AI doivent tenir compte pour savoir si ce dernier est à incidence élevée :

• Des preuves de l'existence de risques de préjudices physiques ou psychologiques , ou d’un risque d’impact négatif sur les droits de la personne, en fonction à la fois de l’objectif et des conséquences potentielles non intentionnelles
• La gravité des préjudices potentiels
• L’ampleur de l’utilisation
• La nature des préjudices ou des impacts négatifs qui ont déjà eu lieu
• La mesure dans laquelle, pour des raisons pratiques ou juridiques, il n’est pas raisonnablement possible de se retirer de ce système
• Les déséquilibres en matière de pouvoir, de connaissances, de situation économique ou sociale, ou d'âge des personnes touchées  
• La mesure dans laquelle les risques sont réglementés de façon adéquate en vertu d’une autre loi

Adaptation de mesures liées aux risques

Les activités réglementées établies dans la LIAD seraient chacune associées à des obligations distinctes adaptées au contexte et aux risques liés à des activités réglementées spécifiques dans le cycle de vie d’un système d’IA à incidence élevée.

Les mesures spécifiques requises selon la réglementation seraient élaborées au moyen d’un vaste processus de consultation et basées sur les pratiques exemplaires et les normes internationales. Voici les principes directeurs à utiliser dans l’élaboration de telles mesures :

• La supervision humaine signifiant que les systèmes d’IA à incidence élevée doivent être conçus et développés de façon à permettre aux personnes qui gèrent les opérations du système d’exercer une supervision importante, dont un niveau d’interprétabilité approprié au contexte
• La surveillance, par la mesure et l’évaluation des systèmes d’IA et de leurs résultats
• La transparence pour fournir au public des informations appropriées et lui permettre de comprendre les capacités, les limites et les impacts potentiels des systèmes
• La justice et l’équité, exigeant que des mesures appropriées soient prises pour atténuer les résultats discriminatoires pour les individus et les groupes
• La sécurité signifiant que les systèmes d’IA à incidence élevée doivent faire l’objet d’une évaluation proactive pour des préjudices qui pourraient résulter de l’utilisation du système, y compris par une utilisation impropre raisonnablement prévisible, et que des mesures pour atténuer le risque de préjudice doivent être prises
• La responsabilité signifiant que les organisations doivent mettre en place les mécanismes de gouvernance nécessaires pour assurer le respect de toutes les obligations légales des systèmes d’IA à incidence élevée dans le contexte dans lequel ils seront utilisés, comprenant la documentation proactive des politiques, des processus et des mesures mises en œuvre
• La validité signifiant qu’un système d’IA fonctionne conformément aux objectifs prévus
• La robustesse signifiant qu’un système d’IA est stable et résilient dans diverses circonstance

​​Élaboration d’obligations de surveillance

Les obligations de surveillance prévues par la loi seraient proportionnelles au niveau d’influence qu’un acteur a sur le risque associé au système. Par exemple, les utilisateurs finaux des systèmes à usage général ont une influence limitée sur le fonctionnement de ces systèmes, les développeurs de systèmes à usage général quant à eux devraient s’assurer que les risques liés aux biais ou au contenu préjudiciable sont documentés et traités.

De même, les entreprises impliquées uniquement dans la conception ou le développement d’un système d’IA à incidence élevée, mais sans capacité pratique de surveiller le système après le développement auraient des obligations différentes à cet égard de celles qui gèrent ses opérations. Les employés individuels ne seraient pas responsables des obligations associées à l’entreprise dans son ensemble.

Application retardée et conformité initiale volontaire

Au cours des premières années suivant son entrée en vigueur, la LIAD mettrait l’accent sur l’éducation des différentes parties prenantes, l’établissement de lignes directrices et l’aide aux entreprises pour qu’elles se conforment par des moyens volontaires. Le gouvernement a toutefois l’intention de laisser suffisamment de temps à l’écosystème pour s’adapter au nouveau cadre avant d’entreprendre des activités d’application de la loi.

De plus, on ne s’attendrait pas à ce que les petites entreprises aient des structures de gouvernance, politiques et procédures semblables à celles des grandes entreprises dotées d’un plus grand nombre d’employés et d’un plus large éventail d’activités. Les petites et moyennes entreprises bénéficieraient aussi d’une aide particulière pour adopter les pratiques nécessaires pour se conformer aux exigences.

Afin de garantir que les activités d’application de la loi suivent l’évolution rapide de l’environnement, le gouvernement prévoit aussi la mise en œuvre de dispositions visant à mobiliser l’expertise externe du secteur privé, du milieu universitaire et de la société civile.

Sanctions administratives pécuniaires (SAP)

Le régime des SAP serait conçu de manière à garantir que les sanctions soient calibrées de manière proportionnée à l’objectif d’encourager la conformité, y compris en ce qui concerne la taille relative des entreprises. Par exemple, les SAP pourraient être appliquées dans le cas d’infractions manifestes où d’autres tentatives visant à encourager la conformité ont échoué.

Souplesse et incertitude : comprendre l’approche actuelle du gouvernement

La LIAD est l’une des trois lois proposées dans le cadre du projet de loi C-27. Déposé par le gouvernement du Canada le 16 juin 2022, ce dernier introduirait également la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur le Tribunal de la protection des renseignements personnels et des données (LTPRPD). 

La LIAD serait la toute première loi à réglementer les systèmes d’IA dans le secteur privé au Canada. Si elle est adoptée, elle imposerait des exigences réglementaires applicables aux systèmes d’IA en général, de même qu’aux systèmes d’IA désignés comme étant des « systèmes à incidence élevée ».

En matière de politiques, le gouvernement du Canada a présenté la LIAD comme un outil de réglementation visant à protéger les Canadiens et les Canadiennes, à assurer le développement d’une IA responsable et à positionner avantageusement les entreprises et les valeurs canadiennes dans son développement de l’IA à l’échelle mondiale. Pour atteindre ces objectifs, le gouvernement a cherché à aligner la LIAD sur les cadres juridiques canadiens existants, ainsi que sur la législation et les normes d’autres juridictions.

Les systèmes d’IA spécifiques assujettis à la LIAD, de même que les mesures requises qui en découleront seront définis par l’entremise de règlements.

Par exemple, le terme clé « systèmes à incidence élevée » n’est pas défini dans la LIAD elle-même; il le sera plutôt par des critères énoncés dans des règlements. En outre, les mesures qui devront être mises en œuvre par les personnes responsables des systèmes à incidence élevée seront aussi définies dans les règlements. Un régime de sanctions administratives pécuniaires (SAP) peut également être défini par voie réglementaire.

Définir les exigences de la LIAD par voie réglementaire permettra au gouvernement de répondre aux évolutions du secteur et d’actualiser les systèmes spécifiques réglementés ainsi que les mesures à mettre en œuvre sans modification législative. Bien que cette méthode soit efficace et permette des ajustements rapides des politiques, elle signifie que le libellé de la LIAD lui-même contient peu d’indications pour aider le secteur à se préparer à se conformer au nouveau système réglementaire.

Voilà pourquoi les clarifications fournies dans le document complémentaire, telles que décrites ci-dessus, s’avèrent essentielles pour comprendre et anticiper la future réglementation de l’IA au Canada.

Pour en savoir plus

Le document complémentaire de la LIAD fournit des informations préliminaires pour aider les personnes qui conçoivent, développent, offrent ou gèrent des systèmes d’IA, afin qu’elles comprennent mieux les exigences de la loi. La LIAD et ses exigences continueront d’évoluer au fur et à mesure que le projet de loi C-27 avancera dans le processus législatif et que se dérouleront les consultations sectorielles auxquelles le gouvernement s’est engagé.

Pour plus d’information sur la LIAD, consultez notre examen détaillé des dispositions de la Loi, de même que notre résumé détaillé d’une page. En attendant, si vous souhaitez approfondir ce sujet, n’hésitez pas à communiquer avec les auteurs ou les membres du groupe Cybersécurité et protection des données de Gowling WLG.