L’intelligence artificielle — Un document d’accompagnement offre une nouvelle feuille de route pour la future réglementation de l’IA au Canada

Écrit par Stephen Burns, Sebastien Gittens, Matthew Flynn, Ahmed Elmallah

La réglementation de l’intelligence artificielle (IA) au Canada pourrait être imminente et pourrait avoir une incidence sur tous les types d’organisations qui participent aux systèmes d’IA dans des contextes commerciaux. Un nouvelle document d’accompagnement, pour la Loi sur l’intelligence artificielle et les données (LEAD), a récemment été publié par Innovation, Sciences et Développement économique Canada (le document d’accompagnement). Ce document est un développement important, car il décrit une feuille de route proposée pour toute future réglementation de l’IA.

Dans notre blog précédent, Les réformes de la confidentialité sont maintenant de retour Avec la nouvelle réglementation de l’IA, nous avons fourni un résumé complet de la nouvelle législation canadienne en attente en matière d’IA: la Loi sur l’intelligence artificielle et les données. L’ACDI a été présentée dans le cadre du projet de loi C-27, qui en est maintenant à l’article de la deuxième lecture à la Chambre des communes.

AIDA est présenté comme « la première étape vers un nouveau système de réglementation conçu pour guider l’innovation en IA dans une direction positive et pour encourager l’adoption responsable des technologies d’IA par les Canadiens et les entreprises canadiennes ». De façon générale, l’ACRA traite de la réglementation de deux types d’impacts négatifs, associés aux systèmes d’IA à impact élevé :

la sécurité (p. ex., les dommages physiques, les dommages psychologiques, les dommages à la propriété ou les pertes économiques pour une personne causées par les systèmes d’IA); et
les extrants non discriminatoires (p. ex., l’incidence différentielle biaisée, injustifiée et négative des systèmes d’IA, fondée sur l’un ou l’autre des motifs de distinction illicite prévus dans la Loi canadienne sur les droits de la personne).

Feuille de route pour le projet de réglementation de l’IA

Si le projet de loi C-27 reçoit la sanction royale, un processus de consultation pour la réglementation supplémentaire de l’IA sera lancé. Le présent document d’accompagnement vise donc à fournir un cadre pour toute consultation future.

Comme il est indiqué dans le document d’accompagnement, le gouvernement a l’intention d’adopter une approche souple à l’égard de la réglementation de l’IA en élaborant et en évaluant des règlements et des lignes directrices en étroite collaboration avec les intervenants sur un cycle régulier, et en adaptant l’application de la loi aux besoins de l’environnement changeant. La mise en œuvre de l’ensemble initial de règlements de l’ACRA devrait suivre la voie suivante :

consultation sur les règlements (6 mois);
élaboration d’un projet de règlement (12 mois);
consultation sur les projets de règlement (3 mois); et
l’entrée en vigueur de l’ensemble initial de règlements (3 mois).

Par conséquent, il est prévu qu’il y aura une période d’au moins deux ans après la sanction royale du projet de loi C-27, avant l’entrée en vigueur de la nouvelle loi. Cela signifie que les dispositions de l’ACRA entreraient en vigueur au plus tôt en 2025.

Que sont les « systèmes d’IA à fort impact »?

L’ACRA s’appliquera aux « systèmes d’IA à fort impact ». Mais ce que les « systèmes d’IA à fort impact » incluent exactement n’est pas clairement défini par l’AIDA. À son tour, ce terme nécessitera une définition plus approfondie par la réglementation de l’IA.

Le document d’accompagnement propose des exemples de facteurs clés qui peuvent être utilisés pour évaluer si un système est considéré comme « à fort impact » et, par conséquent, réglementé par l’ACRA. Il s’agit notamment d’examiner, pour un système d’IA donné:

le risque de nuire à la santé et à la sécurité, ou un risque d’impact négatif sur les droits de la personne, en fonction à la fois de l’objectif visé et des conséquences imprévues potentielles;
la gravité des préjudices potentiels;
l’échelle d’utilisation;
la nature des préjudices ou des effets négatifs qui ont déjà eu lieu;
la mesure dans laquelle, pour des raisons pratiques ou juridiques, il n’est pas raisonnablement possible de se retirer de ce système;
les déséquilibres de la situation économique ou sociale, ou l’âge des personnes touchées; et
la mesure dans laquelle les risques sont adéquatement réglementés en vertu d’une autre loi.

Par conséquent, les systèmes qui présentent des préoccupations pour ces facteurs peuvent être réglementés par l’ACRA, en tant que « systèmes à fort impact ».

Exemple de systèmes d’IA à fort impact

De plus, le document d’accompagnement fournit les exemples suivants de types de systèmes d’IA à fort impact qui présentent un intérêt pour la réglementation par l’ACRA (p. ex., en termes d’impact potentiellement nuisible et /ou biaisé) :

les systèmes de dépistage ayant une incidence sur l’accès aux services (p. ex., l’accès au crédit ou à l’emploi);
les systèmes biométriques utilisés pour l’identification et l’inférence;
les systèmes qui peuvent influer sur le comportement humain à grande échelle; et
les systèmes essentiels à la santé et à la sécurité.

Les documents d’accompagnement décrivent la possibilité que chacun de ces systèmes fournisse des extrants nuisibles et/ou discriminatoires.

Obligations des organisations impliquées dans les systèmes d’IA à fort impact

Dans le projet de règlement sur l’IA, le document d’accompagnement prévoit que les organisations qui s’occupent de systèmes d’IA à fort impact seront probablement guidées par les exemples de principes et d’obligations suivants. On s’attendra à ce que ces organisations instaurent des mécanismes de responsabilisation appropriés pour assurer le respect de leurs obligations.

Proposed Regulatory Requirements	Exemples d’obligations pour les organisations
Surveillance humaine et surveillance	Identifier et traiter les risques en ce qui concerne les préjudices et les préjugés, documenter l’utilisation et les limites appropriées, et ajuster les mesures au besoin.
Transparence	Fournir au public des informations appropriées sur la façon dont les systèmes d’IA à fort impact sont utilisés.
Justice et équité	Construire des systèmes d’IA à fort impact avec une conscience du potentiel de résultats discriminatoires.
Sécurité	Évaluer de façon proactive le système afin de déterminer les préjudices qui pourraient découler de l’utilisation du système, y compris par une mauvaise utilisation raisonnablement prévisible.
Responsabilisation	Mettre en place les mécanismes de gouvernance nécessaires pour assurer le respect de toutes les obligations légales des systèmes d’IA à fort impact dans le contexte dans lequel ils seront utilisés.
Validité et robustesse	Le système d’IA à fort impact fonctionne conformément aux objectifs prévus.

Différentes obligations pour différentes activités

Le document d’accompagnement prévoit que les obligations d’une organisation en vertu de la future réglementation de l’IA dépendront probablement proportionnellement de la façon dont elle est impliquée dans un système d’IA à fort impact. Pour plus de clarté, le document d’accompagnement fournit les exemples suivants d’obligations proposées pour les organisations impliquées dans différentes activités associées au système d’IA à fort impact. Les organisations peuvent participer à une ou plusieurs des activités réglementées énumérées.

Proposed Regulated Activity	Example Obligations	Exéchantillons des mesures d’évaluation et d’atténuation des risques
Conception du système (p. ex., il faut déterminer les objectifs du système d’IA et les besoins en données, les méthodologies ou les modèles en fonction de ces objectifs).)	Identifier et traiter les risques en ce qui concerne les préjudices et les préjugés, documenter l’utilisation et les limites appropriées, et ajuster les mesures au besoin.	Performer une évaluation initiale des risques potentiels associés à l’utilisation d’un système d’IA dans le contexte et décider si l’utilisation de l’IA est appropriée. Assessing and addressing potential biases introduced by the dataset selection. Évaluation du niveau d’interprétabilité nécessaire et prise de décisions de conception en conséquence.
Élaboration du système (p. ex., il faut traiter les ensembles de données, former les systèmes à l’aide des ensembles de données, modifier les paramètres du système, élaborer et modifier des méthodologies ou des modèles utilisés dans le système, ou mettre à l’essai le système).)	Identifier et traiter les risques en ce qui concerne les préjudices et les préjugés, documenter l’utilisation et les limites appropriées, et ajuster les mesures au besoin.	Documenting datasets and models used. Performer l’évaluation et la validation, y compris le recyclage au besoin. Building in mechanisms for human oversight and monitoring. Documenting appropriate use(s) and limitations.
La mise à disposition (p. ex., comprend le déploiement d’un système entièrement fonctionnel, que ce soit par la personne qui l’a développé, par le biais d’une transaction commerciale, d’une interface de programmation d’applications (API) ou en rendant le système fonctionnel accessible au public.)	Envisager des utilisations potentielles lors du déploiement et prendre des mesures pour s’assurer que les utilisateurs sont au courant de toute restriction sur la façon dont le système est censé être utilisé et comprennent ses limites.	Conserver la documentation concernant la façon dont les exigences de conception et de développement ont été satisfaites. Produrer la documentation appropriée aux utilisateurs concernant les jeux de données utilisés, les limitations et les utilisations appropriées. Performer une évaluation des risques concernant la façon dont le système a été mis à disposition.
Gestion des opérations du système d’IA (p. ex., comprend la supervision du système pendant son utilisation, y compris le début ou la cessation de son fonctionnement, la surveillance et le contrôle de l’accès à sa sortie pendant qu’il est en fonctionnement, la modification des paramètres relatifs à son fonctionnement dans son contexte).)	Utiliser les systèmes d’IA comme indiqué, évaluer et atténuer les risques et assurer une surveillance continue du système.	Logging and monitoring the output of the system as appropriate in the context. En assurer un suivi adéquat et une surveillance humaine. Intervening as needed based on operational parameters.

Surveillance et application de la loi

Enfin, le document de consultation suggère que, dans les premières années suivant l’entrée en vigueur de l’ACRA, l’accent sera mis sur l’éducation, l’établissement de lignes directrices et l’aide aux organisations à se conformer par des moyens volontaires.

Par la suite, on s’attend à ce que l’accent soit mis sur le recours à des mécanismes d’application de la loi pour traiter les cas de non-conformité. Celles-ci sont envisagées pour inclure deux types de peines pour les infractions réglementaires, ainsi que divers types d’infractions criminelles véritables :

Sanctions administratives pécuniaires réglementaires (SAP) : Outil de conformité souple qui pourrait être utilisé directement par l’organisme de réglementation en réponse à toute violation afin d’encourager la conformité aux obligations de l’ACRA.
Poursuite des infractions réglementaires : Les cas plus graves de non-conformité aux obligations réglementaires seront renvoyés au Service des poursuites pénales du Canada.
Infractions criminelles véritables : Distinctes des obligations réglementaires de l’ACRA et se rapportent à l’interdiction d’un comportement conscient ou intentionnel lorsqu’une personne cause un préjudice grave. Ceux-ci peuvent entraîner des peines plus sévères, y compris l’emprisonnement. Il peut s’agir d’utiliser sciemment des renseignements personnels obtenus à la suite d’une atteinte à la protection des données pour former un système d’IA.

La substance d’un certain nombre de ces mécanismes d’application devra être clarifiée davantage par les règlements supplémentaires sur l’IA. Toutefois, dans sa version actuelle, une contravention à l’ACRA peut avoir des conséquences importantes. Selon les circonstances, une organisation peut être passible d’une amende ne dépassant pas 25 000 000 $ et 5 % de ses revenus bruts mondiaux.

Prochaines étapes

Le document de consultation indique qu’à la suite de la sanction royale du projet de loi C-27, le gouvernement a l’intention de mener une vaste consultation inclusive auprès de l’industrie, du milieu universitaire, de la société civile et des collectivités canadiennes afin d’éclairer la mise en œuvre de l’ACRA et de ses règlements.

S’il est adopté tel qu’il est actuellement rédigé, nous prévoyons que l’ACRA aura une incidence importante sur l’étendue de l’examen réglementaire des organisations en ce qui a trait à leur utilisation de l’intelligence artificielle. Par conséquent, les organisations devraient entreprendre un examen exhaustif de la façon dont elles mènent leurs activités et gèrent les systèmes d’IA.

Le groupe Bennett Jones Privacy & Data Protection group est disponible pour discuter de la façon dont les changements peuvent affecter les obligations d’une organisation en matière de confidentialité.

Authors

Liens connexes

View Full Mobile Experience

Blogue