C-27: les points à retenir du premier projet de loi canadien sur l’IA
Alors que l’intelligence artificielle (IA) continue son avancée fulgurante, le Canada pourrait devenir le premier pays à adopter une loi encadrant cette technologie, et à répondre ainsi aux défis éthiques, juridiques et sociaux qu’elle pose. La Loi sur l’intelligence artificielle et les données contenue dans le projet de loi C-27, actuellement en discussion au Parlement, vise à établir un cadre global pour guider le développement et l’utilisation de l’IA dans le pays.
La Loi sur l’IA établit des règles pancanadiennes pour la conception, le développement, l’utilisation et la fourniture de systèmes d’IA, interdisant certaines conduites pouvant causer un préjudice grave ou produire des résultats biaisés. Elle vise principalement à encadrer les «systèmes d’IA à incidence élevée», sans toutefois fournir de définition précise.
Pour déterminer le niveau d’incidence de leurs modèles, les risques de préjudices physiques ou psychologiques, leur gravité potentielle et l’ampleur de leur utilisation seraient considérés.
Les responsables de systèmes d’IA à incidence élevée devraient élaborer un plan d’atténuation des risques, assurer un suivi des mesures d’atténuation et publier une description en langage clair sur un site Web. Si l’utilisation du système entraînait un «préjudice important», le ministre de l’Innovation, des Sciences et de l’Industrie devrait en être informé. Un Commissaire à l’IA et aux données pourrait être désigné pour assister et soutenir le ministre.
Étant donné que le projet de loi prévoit une période de consultation et d’élaboration des règlements d’environ 18 mois, la loi entrerait en vigueur seulement à partir de 2025.
Des amendes allant jusqu’à 25 M$
En cas d’adoption, la loi donnerait les outils au gouvernement pour forcer les entreprises à révéler leurs données et à modifier, voire arrêter l’utilisation de leur système d’IA en cas de risque grave de préjudice imminent ou de publication d’informations privées.
Le gouvernement envisage des sanctions en cas de possession ou d’utilisation de renseignements personnels obtenus illégalement, ou si un système d’IA disponible cause un préjudice physique ou psychologique sérieux, un dommage considérable à des biens ou une perte économique considérable à un individu. Des amendes s’appliqueraient aussi dans le cas où les contrevenants fourniraient de fausses informations aux enquêteurs.
En cas de contravention aux exigences de la Loi sur l’IA, les entreprises ou entités juridiques fautives pourraient encourir une amende de 10 M$ à 25 M$, ou de 3% à 5% de leurs recettes globales. Les individus sont également passibles d’amendes discrétionnaires ou de peines d’emprisonnement maximales de cinq ans moins un jour, ou les deux.
Ce que les entreprises en IA doivent retenir:
– Si la Loi sur l’IA est adoptée, il faudra au moins deux ans pour que des mesures et des règles précises entrent en vigueur. Durant cette période, le gouvernement entend mener des consultations auprès des parties prenantes et publier des projets de règlement.
– La loi serait déployée en deux phases : la première serait axée sur la collaboration et la sensibilisation, et la seconde sur un resserrement des mesures (sanctions pécuniaires, poursuites).
– La notion de systèmes d’IA à incidence élevée n’a pas encore été définie avec précision, mais elle comprendra vraisemblablement des facteurs importants comme les risques de préjudices, l’ampleur de l’utilisation et la vulnérabilité des personnes touchées.
– Bien qu’aucune règle ou mesure précise n’ait encore été proposée, le document complémentaire énonce six principes directeurs pour l’élaboration des règlements: supervision humaine et surveillance, transparence, justice et équité, sécurité, responsabilité, validité et robustesse.
Un avantage compétitif?
La communauté scientifique de l’intelligence artificielle appuie en grande partie ce projet de loi. Récemment, le directeur scientifique de l’Institut québécois pour l’intelligence artificielle (Mila), Yoshua Bengio, rappelait que face au développement effréné de l’IA, «la fenêtre se refermait rapidement» pour encadrer cette technologie qui comporte son lot de dangers.
«C’est dans les derniers mois seulement qu’il y a quelques compagnies, presque toutes américaines, qui se sont donné les capacités d’avoir […] ces nouveaux modèles très puissants, qui s’améliorent très rapidement, qui ont une portée mondiale avec à peu près personne qui les encadre, sauf les compagnies qui les commercialisent et qui les rendent accessibles au monde entier. Et là, comme il n’y a pas de cadre réglementaire, on s’en remet vraiment à elles», soulignait Valérie Pisano, PDG du Mila, en entrevue avec Métro.
Il restera une question importante dans les premiers mois de l’application d’une telle réglementation: ceux qui s’y conforment vont-ils perdre un avantage compétitif face aux entreprises qui n’y seraient pas contraintes? Ce ne sera pas le cas, croit Julien Billot, le PDG de la supergrappe canadienne Scale AI.
«C’est tout à l’honneur de la scène montréalaise, québécoise et canadienne en IA d’avoir pris les problématiques éthiques à bras le corps», pense-t-il. Les entreprises locales auront, selon lui, une longueur d’avance en s’adaptant le plus tôt possible aux enjeux de responsabilité sociale.
«Dans les faits, ce que je pense qu’on va voir dans les prochaines années, c’est que l’innovation et le développement responsable vont aller main dans la main, que ce sont les entreprises qui vont être les plus habiles, les plus créatives, à intégrer les questions d’IA, responsables dans leurs produits, leurs services, qui vont gagner notre confiance à vous et à moi, comme consommateurs, comme citoyens.»
La loi résumée en 5 points
Le projet de loi C-27 entend promouvoir une utilisation éthique et transparente de l’IA en imposant aux entreprises et aux organisations qui développent ou utilisent des systèmes d’IA de respecter des principes éthiques fondamentaux. Parmi ces principes: le respect de la vie privée, la non-discrimination, la transparence et l’explicabilité des algorithmes, ainsi que la responsabilité des acteurs impliqués.
La protection des données est une préoccupation majeure lorsqu’il s’agit de systèmes d’IA, car ils s’appuient souvent sur de grandes quantités de données personnelles. Le projet de loi C-27 impose aux entreprises et aux organisations la mise en place de mécanismes de sécurité robustes pour assurer la confidentialité des données recueillies, traitées et stockées. En outre, le consentement explicite des personnes doit être obtenu avant que leurs données soient utilisées pour alimenter les systèmes d’IA.
Le gouvernement prévoit la création d’une autorité de régulation de l’IA. Elle serait chargée de veiller au respect des principes éthiques et de la protection des données personnelles, ainsi que de sanctionner les entreprises et les organisations qui ne respecteraient pas les règles en vigueur.
Le projet de loi C-27 souligne l’importance de la transparence et de l’explicabilité des systèmes d’IA. Les entreprises et les organisations devront informer clairement les utilisateurs de la présence d’IA dans les services et produits qu’ils proposent. De plus, elles devront être en mesure d’expliquer le fonctionnement et la logique des algorithmes utilisés, afin de garantir un contrôle démocratique et de prévenir les biais discriminatoires.
La législation comprendrait des dispositions visant à faciliter l’échange d’informations et de bonnes pratiques entre les pays et à établir des cadres réglementaires harmonisés à l’échelle internationale.