La LIAD serait la toute première loi à réglementer l'élaboration et le déploiement de systèmes d'intelligence artificielle (IA) dans le secteur privé au Canada.
L'objectif de la LIAD est double :
- Réglementer les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d'IA par l'établissement d'exigences communes à l'échelle du Canada pour la conception, le développement et l'utilisation de ces systèmes;
- Interdire certaines conduites relativement aux systèmes d'IA qui peuvent causer un préjudice sérieux aux individus ou à leurs intérêts.
Qui est touché par cette loi?
En général, la LIAD s'appliquera aux personnes exerçant une « activité réglementée ». Une « personne » désigne notamment les fiducies, les coentreprises, les sociétés de personnes, les associations non dotées de la personnalité morale et toute autre entité juridique. Par « activité réglementée » exercée dans le cadre du commerce ou des échanges internationaux ou interprovinciaux, on entend :
- le traitement ou le fait de rendre disponibles des données liées à l'activité humaine afin de concevoir, de développer ou d'utiliser un système d'IA;
- la conception, le développement ou le fait de rendre disponible un système d'IA ou la gestion de son exploitation.
Les exigences de conformité spécifiques de la LIAD s'appliquent à cinq catégories de personnes suivantes (une personne peut avoir des responsabilités dans plus d'une catégorie) :
- Personne exerçant des activités réglementées;
- Personne responsable d'un système d'IA;
- Personne responsable d'un système d'IA à incidence élevée;
- Personne qui rend disponible un système à incidence élevée;
- Personne qui gère l'exploitation d'un système à incidence élevée.
La LIAD telle qu'elle est rédigée ne fournit aucune définition de « système à incidence élevée ». Bien que ce terme et beaucoup d'autres concepts clés devront être définis dans la réglementation à venir, le gouvernement du Canada a recensé, dans un document complémentaire, les exemples de systèmes suivants qui présentent un intérêt du point de vue de leur incidence potentielle :
- Les systèmes de présélection qui ont une incidence sur l'accès aux services ou à l'emploi;
- Les systèmes biométriques utilisés pour l'identification et l'inférence;
- Les systèmes capables d'influencer le comportement humain à grande échelle, tels que les systèmes de recommandation de contenu en ligne alimentés par l'IA;
- Les systèmes critiques pour la santé et la sécurité, comme les systèmes de conduite autonome et les systèmes prenant des décisions de triage dans le secteur de la santé.
Quelle est l'incidence de cette loi?
La LIAD établit diverses exigences applicables à une variété de personnes responsables de systèmes d'IA à différents stades de leur cycle de vie :
- Anonymisation des données
Parmi les activités réglementées aux termes de la LIAD figurent le traitement ou le fait de rendre disponibles des données liées à l'activité humaine; la conception et le développement d'un système d'IA ou le fait de le rendre disponible; ou encore la gestion de l'exploitation d'un tel système.
Les personnes qui exercent ces activités réglementées seraient tenues d'établir des mesures concernant la manière d'anonymiser les données ainsi que l'utilisation et la gestion des données anonymisées. Elles devraient aussi conserver des documents énonçant les mesures qu'elles ont adoptées.
- Préjudices ou résultats biaisés entraînés par un système d'IA à incidence élevée
Les personnes responsables de la conception, du développement ou du fait de rendre disponible un système d'IA seraient tenues de procéder à une évaluation de leur incidence afin de déterminer si le système en question présente une incidence élevée.
Lorsqu'un système est jugé à incidence élevée, les personnes qui en sont responsables seraient tenues d'établir des mesures visant à recenser, évaluer et atténuer les risques de préjudice ou de résultats biaisés, et de contrôler le respect de ces mesures.
- Publication de la description
Les personnes qui rendent disponible un système à incidence élevée seront tenues de publier une description du système en langage clair sur un site Web accessible au public. Cette description doit comprendre une explication de l'utilisation visée du système; le contenu qu'il est censé générer, les prédictions ou recommandations qu'il est censé faire ou les décisions qu'il est censé prendre; ainsi que les mesures établies visant à atténuer les risques de préjudice ou de résultats biaisés que pourrait entraîner son utilisation.
Les personnes qui gèrent l'exploitation de systèmes à incidence élevée ont des obligations semblables. Toutefois, la description qu'elles doivent fournir doit simplement inclure une explication de l'utilisation faite du système et du contenu qu'il génère, des prédictions ou recommandations qu'il fait ou des décisions qu'il prend.
Les infractions à la LIAD peuvent généralement donner lieu à des sanctions administratives pécuniaires (SAP) d'un maximum de trois pour cent des recettes globales brutes ou de 10 millions de dollars en cas de non-conformité.
La perpétration d'infractions prévue aux articles 38 ou 39 de la LIAD peut entraîner des SAP d'un maximum de cinq pour cent des recettes globales brutes ou de 25 millions de dollars, et même l'emprisonnement d'un individu.