Dernière mise à jour le 09/08/2023
La LIAD : 5 points à retenir
- En juin 2022, le gouvernement de Canada a déposé la loi sur l’intelligence artificielle et les données (LIAD) dans le cadre du projet de loi C-27, la loi de mise en œuvre de la charte numérique de 2022.
- La LIAD adopte une approche fondée sur l’évaluation des risques en distinguant les « systèmes d’IA à incidence élevée » et en leur imposant des obligations.
- Ces obligations suivront des « grands principes » alignés sur les normes internationales de gouvernance des SIA : elles incluront la supervision humaine et la surveillance, la transparence, la justice et l’équité, la sécurité, la responsabilité, ainsi que la validité et la robustesse.
- La LIAD serait la première loi canadienne à réglementer les SIA dans le secteur privé.
- Deux types de sanctions existent en cas de non-conformité avec la LIAD : des sanctions administratives pécuniaires avec poursuite des infractions réglementaires, et un mécanisme distinct pour les infractions pénales.
Introduction
En juin 2022, au Canada, le Gouvernement a déposé la Loi sur l’intelligence artificielle et les données (LIAD) dans le cadre du projet de loi C-27, la Loi de mise en œuvre de la Charte numérique de 2022. Cette dernière a pour but de renforcer la confiance des Canadiens envers les technologies numériques.
Le Canada possède déjà un cadre juridique solide qui peut s’appliquer à certaines utilisations de l’IA. Le projet de loi C-27 cherche à moderniser ce cadre existant ainsi qu’à introduire une nouvelle réglementation exclusive à l’utilisation des systèmes d’intelligence artificielle (systèmes d’IA ou SIA).
L’émergence globale de règlementations sur l’IA : la position du Canada
La LIAD a été conçue pour s’aligner avec les normes nationales tout en étant conforme aux principes des droits de l’homme ainsi qu’à l’évolution des normes internationales dans le domaine de l’intelligence artificielle, tel que l’AI Act proposé par l’Union Européenne. À titre d’exemple, tout comme l’AI Act, la LIAD définit actuellement un « système d’intelligence artificielle » en reprenant la définition de l’OCDE. Le Canada prévoit de collaborer avec des partenaires internationaux tels que l’UE, le Royaume-Uni ou les États-Unis, ce qui permettrait d’assurer une protection globale des Canadiens et de leurs entreprises.
L’approche par les risques de la LIAD
En adoptant une approche similaire à celle de l’AI Act fondée sur les risques, le gouvernement canadien cherche à les atténuer afin de prévenir les préjudices et les résultats discriminatoires. Dans le cadre de cette approche, les systèmes d’IA sont réglementés en fonction de leur niveau de risque. Les SIA liés à l’accès aux services ou à l’emploi, à la santé et la sécurité, les systèmes biométriques et les systèmes capables d’influencer le comportement humain à grande échelle ont particulièrement retenu l’attention du gouvernement (comme celle de l’Union européenne dans le cadre de l’élaboration de l’AI Act). La LIAD prévoit par conséquent une série d’obligations et de responsabilités pour les « SIA à incidence élevée » et leurs opérateurs.
Les « systèmes d’IA à incidence élevée »
La LIAD interdit l’utilisation insouciante ou malveillante de l’IA susceptible de causer un préjudice grave aux Canadiens ou à leurs intérêts. Elle réglemente également deux types de risques associés aux systèmes d’IA à incidence élevée.
- Le risque de préjudice pour les individus, qu’il soit physique ou psychologique, qu’il concerne un dommage aux biens, ou fasse l’objet de pertes économiques.
- Le risque de biais systémique dans le secteur privé : l’objectif étant d’assurer qu’il n’existe aucune différenciation défavorable injustifiée fondée sur un ou plusieurs motifs de distinctions prohibés par la Loi canadienne sur les droits de la personne. Cela permet de s’assurer qu’un système n’utilise pas, par exemple, le sexe comme indicateur de revenu.
De plus, le Canada devra mettre en place des mesures avant la mise sur le marché des systèmes d’intelligence artificielle. Les règlements établiront des obligations proportionnelles au risque et distinctes en fonction du type d’activité réglementée. L’élaboration de règlements adaptés aurait lieu grâce à un vaste processus de consultation.
Principes guidant les obligations des systèmes d’IA à incidence élevée
Une série de grands principes guideraient les obligations relatives aux systèmes d’IA à incidence élevée. Ceux-ci s’aligneraient avec les normes internationales en matière de gouvernance des SIA. On retrouve d’ailleurs la majorité d’entre eux dans l’article 4bis sur les principes généraux applicables à tous les systèmes d’IA de la dernière version de l’AI Act (amendée par le Parlement européen) :
- Supervision humaine et surveillance : les SIA à incidence élevée sont conçus et développés de manière à favoriser un niveau d’interprétabilité approprié, et sont mesurés et évalués.
- Transparence : fourniture au public des informations suffisantes pour comprendre les capacités, limites et impacts potentiels des SIA.
- Justice et équité : prise de mesures appropriées à l’atténuation des résultats discriminatoires.
- Sécurité : prise de mesures appropriées à l’atténuation des risques de préjudice.
- Responsabilité : adoption de mécanismes de gouvernance des SIA à incidence élevée en vue du respect des obligations leur incombant.
- Validité et robustesse : le SIA fonctionne conformément à sa destination, est stable et résilient.
Qui devra se conformer à la LIAD ?
La LIAD s’applique aux organisations exerçant des activités réglementées par son cadre. Elle serait d’ailleurs la première loi canadienne à réglementer les SIA dans le secteur privé.
Le gouvernement du Canada a fourni des indications sur les responsabilités des entreprises en fonction de leur position dans le cycle de vie de l’IA dans un document complémentaire visant à faire mieux comprendre le projet de loi aux Canadiens et acteurs de l’IA publié le 13 mars 2023 :
- Les entreprises qui conçoivent ou développent un système d’IA à incidence élevée devront prendre des mesures pour identifier et traiter les risques en matière de préjudice et de biais, documenter l’utilisation appropriée et les limites du SIA, et ajuster les mesures si nécessaire.
- Les entreprises qui mettent à disposition un système d’IA à incidence élevée doivent considérer les utilisations potentielles lors du déploiement. Elles doivent également prendre des mesures pour assurer que les utilisateurs sont conscients de toute restriction sur l’utilisation du système et comprennent ses limites.
- Les entreprises qui gèrent les opérations d’un système d’IA devront utiliser les systèmes d’IA comme indiqué, évaluer et atténuer les risques et assurer une surveillance continue du système.
Le gouvernement canadien fournit aussi des exemples de mesures d’évaluation et d’atténuation des risques en fonction de l’activité réglementée afin de guider les entreprises et de faciliter leur mise en conformité.
En outre, la LIAD soutient la recherche et l’innovation responsable de l’IA et l’émergence d’un cadre réglementaire capable de s’adapter au caractère évolutif de l’IA. À cette fin, le gouvernement prévoit des cycles réguliers d’élaboration et d’évaluation de règlements et lignes directrices en collaboration avec les opérateurs des systèmes réglementés et autres parties prenantes.
Une application de la LIAD conforme au caractère évolutif et technique de l’IA
Le ministre de l’Innovation, des Sciences et de l’Industrie aura le pouvoir d’exécuter la LIAD et de l’appliquer pour assurer une adaptation de la loi aux avancées technologiques. Ce ministre pourrait également ordonner la publication de dossiers ou réaliser un audit en cas de préjudice ou d’infraction. En outre, il pourrait ordonner la cessation de l’utilisation d’un système s’il existe un risque de préjudice imminent. Le gouvernement créera un nouveau poste de Commissaire à l’IA et aux données pour développer un centre d’expertise afin d’assister le ministre dans l’élaboration de la réglementation et l’application de la LIAD.
Dans le cadre de l’AI Act, les autorités nationales de surveillance des États membres sont chargées de veiller à l’application et à la mise en œuvre du règlement. En France, le Conseil d’État a encouragé à faire de la CNIL l’autorité de contrôle nationale responsable de la régulation des systèmes d’IA. En outre, la création d’un Bureau de l’IA a été prévue par la dernière version de l’AI Act. Il aurait pour vocation de chapeauter et coordonner l’activité des autorités nationales en tant que médiateur, ainsi que de leur apporter conseil et expertise.
Les sanctions en cas de non-conformité avec la réglementation du Canada
La LIAD prévoit deux types de sanctions en cas de non-conformité à la réglementation : des sanctions administratives pécuniaires (SAP) et la poursuite des infractions réglementaires ; et des infractions pénales lorsqu’un individu cause un préjudice grave, une infraction au Code criminel étant passible de prison.
La LIAD crée d’ailleurs trois nouvelles infractions criminelles pour interdire et condamner directement des comportements spécifiques à l’utilisation de l’intelligence artificielle.
Prochaines étapes de la réglementation
La LIAD entrerait en vigueur au plus tôt en 2025. Le projet de loi C-27 sera examiné en comité à la Chambre des communes, puis il passera en lecture au Sénat avant de recevoir la sanction royale. Le gouvernement a également l’intention de lancer un processus de consultation inclusif afin d’orienter la mise en œuvre de la réglementation. Il sera notamment déterminé quels types de systèmes doivent être considérés comme ayant une incidence élevée, ainsi que les normes et certifications de conformité à utiliser.