Écrit par Stephen Burns, Sebastien Gittens, Matthew Flynn, Ahmed Elmallah
La réglementation de l’intelligence artificielle (IA) au Canada pourrait être imminente et pourrait avoir une incidence sur tous les types d’organisations qui participent aux systèmes d’IA dans des contextes commerciaux. Un
Dans notre blog précédent, Les réformes de la confidentialité sont maintenant de retour Avec la nouvelle réglementation de l’IA, nous avons fourni un résumé complet de la nouvelle législation canadienne en attente en matière d’IA: la Loi sur l’intelligence artificielle et les données. L’ACDI a été présentée dans le cadre du projet de loi C-27, qui en est maintenant à l’article de la deuxième lecture à la Chambre des communes.
- la sécurité (p. ex., les dommages physiques, les dommages psychologiques, les dommages à la propriété ou les pertes économiques pour une personne causées par les systèmes d’IA); et
- les extrants non discriminatoires (p. ex., l’incidence différentielle biaisée, injustifiée et négative des systèmes d’IA, fondée sur l’un ou l’autre des motifs de distinction illicite prévus dans la Loi canadienne sur les droits de la personne).
Feuille de route pour le projet de réglementation de l’IA
Si le projet de loi C-27 reçoit la sanction royale, un processus de consultation pour la réglementation supplémentaire de l’IA sera lancé. Le présent document d’accompagnement vise donc à fournir un cadre pour toute consultation future.
Comme il est indiqué dans le document d’accompagnement, le gouvernement a l’intention d’adopter une approche souple à l’égard de la réglementation de l’IA en élaborant et en évaluant des règlements et des lignes directrices en étroite collaboration avec les intervenants sur un cycle régulier, et en adaptant l’application de la loi aux besoins de l’environnement changeant. La mise en œuvre de l’ensemble initial de règlements de l’ACRA devrait suivre la voie suivante :
- consultation sur les règlements (6 mois);
- élaboration d’un projet de règlement (12 mois);
- consultation sur les projets de règlement (3 mois); et
- l’entrée en vigueur de l’ensemble initial de règlements (3 mois).
Par conséquent, il est prévu qu’il y aura une période d’au moins deux ans après la sanction royale du projet de loi C-27, avant l’entrée en vigueur de la nouvelle loi. Cela signifie que les dispositions de l’ACRA entreraient en vigueur au plus tôt en 2025.
Que sont les « systèmes d’IA à fort impact »?
L’ACRA s’appliquera aux « systèmes d’IA à fort impact ». Mais ce que les « systèmes d’IA à fort impact » incluent exactement n’est pas clairement défini par l’AIDA. À son tour, ce terme nécessitera une définition plus approfondie par la réglementation de l’IA.
Le document d’accompagnement propose des exemples de facteurs clés qui peuvent être utilisés pour évaluer si un système est considéré comme « à fort impact » et, par conséquent, réglementé par l’ACRA. Il s’agit notamment d’examiner, pour un système d’IA donné:
- le risque de nuire à la santé et à la sécurité, ou un risque d’impact négatif sur les droits de la personne, en fonction à la fois de l’objectif visé et des conséquences imprévues potentielles;
- la gravité des préjudices potentiels;
- l’échelle d’utilisation;
- la nature des préjudices ou des effets négatifs qui ont déjà eu lieu;
- la mesure dans laquelle, pour des raisons pratiques ou juridiques, il n’est pas raisonnablement possible de se retirer de ce système;
- les déséquilibres de la situation économique ou sociale, ou l’âge des personnes touchées; et
- la mesure dans laquelle les risques sont adéquatement réglementés en vertu d’une autre loi.
Par conséquent, les systèmes qui présentent des préoccupations pour ces facteurs peuvent être réglementés par l’ACRA, en tant que « systèmes à fort impact ».
Exemple de systèmes d’IA à fort impact
De plus, le document d’accompagnement fournit les exemples suivants de types de systèmes d’IA à fort impact qui présentent un intérêt pour la réglementation par l’ACRA (p. ex., en termes d’impact potentiellement nuisible et /ou biaisé) :
- les systèmes de dépistage ayant une incidence sur l’accès aux services (p. ex., l’accès au crédit ou à l’emploi);
- les systèmes biométriques utilisés pour l’identification et l’inférence;
- les systèmes qui peuvent influer sur le comportement humain à grande échelle; et
- les systèmes essentiels à la santé et à la sécurité.
Les documents d’accompagnement décrivent la possibilité que chacun de ces systèmes fournisse des extrants nuisibles et/ou discriminatoires.
Obligations des organisations impliquées dans les systèmes d’IA à fort impact
Dans le projet de règlement sur l’IA, le document d’accompagnement prévoit que les organisations qui s’occupent de systèmes d’IA à fort impact seront probablement guidées par les exemples de principes et d’obligations suivants. On s’attendra à ce que ces organisations instaurent des mécanismes de responsabilisation appropriés pour assurer le respect de leurs obligations.
| Proposed Regulatory Requirements | Exemples d’obligations pour les organisations |
| Surveillance humaine et surveillance | Identifier et traiter les risques en ce qui concerne les préjudices et les préjugés, documenter l’utilisation et les limites appropriées, et ajuster les mesures au besoin. |
| Transparence | Fournir au public des informations appropriées sur la façon dont les systèmes d’IA à fort impact sont utilisés. |
| Justice et équité | Construire des systèmes d’IA à fort impact avec une conscience du potentiel de résultats discriminatoires. |
| Sécurité | Évaluer de façon proactive le système afin de déterminer les préjudices qui pourraient découler de l’utilisation du système, y compris par une mauvaise utilisation raisonnablement prévisible. |
| Responsabilisation | Mettre en place les mécanismes de gouvernance nécessaires pour assurer le respect de toutes les obligations légales des systèmes d’IA à fort impact dans le contexte dans lequel ils seront utilisés. |
| Validité et robustesse | Le système d’IA à fort impact fonctionne conformément aux objectifs prévus. |
Différentes obligations pour différentes activités
Le document d’accompagnement prévoit que les obligations d’une organisation en vertu de la future réglementation de l’IA dépendront probablement proportionnellement de la façon dont elle est impliquée dans un système d’IA à fort impact. Pour plus de clarté, le document d’accompagnement fournit les exemples suivants d’obligations proposées pour les organisations impliquées dans différentes activités associées au système d’IA à fort impact. Les organisations peuvent participer à une ou plusieurs des activités réglementées énumérées.
| Proposed Regulated Activity | Example Obligations | Exéchantillons des mesures d’évaluation et d’atténuation des risques |
| Conception du système (p. ex., il faut déterminer les objectifs du système d’IA et les besoins en données, les méthodologies ou les modèles en fonction de ces objectifs).) | Identifier et traiter les risques en ce qui concerne les préjudices et les préjugés, documenter l’utilisation et les limites appropriées, et ajuster les mesures au besoin. |
|
| Élaboration du système (p. ex., il faut traiter les ensembles de données, former les systèmes à l’aide des ensembles de données, modifier les paramètres du système, élaborer et modifier des méthodologies ou des modèles utilisés dans le système, ou mettre à l’essai le système).)
|
Identifier et traiter les risques en ce qui concerne les préjudices et les préjugés, documenter l’utilisation et les limites appropriées, et ajuster les mesures au besoin. |
|
| La mise à disposition (p. ex., comprend le déploiement d’un système entièrement fonctionnel, que ce soit par la personne qui l’a développé, par le biais d’une transaction commerciale, d’une interface de programmation d’applications (API) ou en rendant le système fonctionnel accessible au public.) | Envisager des utilisations potentielles lors du déploiement et prendre des mesures pour s’assurer que les utilisateurs sont au courant de toute restriction sur la façon dont le système est censé être utilisé et comprennent ses limites. |
|
| Gestion des opérations du système d’IA (p. ex., comprend la supervision du système pendant son utilisation, y compris le début ou la cessation de son fonctionnement, la surveillance et le contrôle de l’accès à sa sortie pendant qu’il est en fonctionnement, la modification des paramètres relatifs à son fonctionnement dans son contexte).) | Utiliser les systèmes d’IA comme indiqué, évaluer et atténuer les risques et assurer une surveillance continue du système. |
|
Surveillance et application de la loi
Enfin, le document de consultation suggère que, dans les premières années suivant l’entrée en vigueur de l’ACRA, l’accent sera mis sur l’éducation, l’établissement de lignes directrices et l’aide aux organisations à se conformer par des moyens volontaires.
Par la suite, on s’attend à ce que l’accent soit mis sur le recours à des mécanismes d’application de la loi pour traiter les cas de non-conformité. Celles-ci sont envisagées pour inclure deux types de peines pour les infractions réglementaires, ainsi que divers types d’infractions criminelles véritables :
- Sanctions administratives pécuniaires réglementaires (SAP) : Outil de conformité souple qui pourrait être utilisé directement par l’organisme de réglementation en réponse à toute violation afin d’encourager la conformité aux obligations de l’ACRA.
- Poursuite des infractions réglementaires : Les cas plus graves de non-conformité aux obligations réglementaires seront renvoyés au Service des poursuites pénales du Canada.
- Infractions criminelles véritables : Distinctes des obligations réglementaires de l’ACRA et se rapportent à l’interdiction d’un comportement conscient ou intentionnel lorsqu’une personne cause un préjudice grave. Ceux-ci peuvent entraîner des peines plus sévères, y compris l’emprisonnement. Il peut s’agir d’utiliser sciemment des renseignements personnels obtenus à la suite d’une atteinte à la protection des données pour former un système d’IA.
La substance d’un certain nombre de ces mécanismes d’application devra être clarifiée davantage par les règlements supplémentaires sur l’IA. Toutefois, dans sa version actuelle, une contravention à l’ACRA peut avoir des conséquences importantes. Selon les circonstances, une organisation peut être passible d’une amende ne dépassant pas 25 000 000 $ et 5 % de ses revenus bruts mondiaux.
Prochaines étapes
Le document de consultation indique qu’à la suite de la sanction royale du projet de loi C-27, le gouvernement a l’intention de mener une vaste consultation inclusive auprès de l’industrie, du milieu universitaire, de la société civile et des collectivités canadiennes afin d’éclairer la mise en œuvre de l’ACRA et de ses règlements.
S’il est adopté tel qu’il est actuellement rédigé, nous prévoyons que l’ACRA aura une incidence importante sur l’étendue de l’examen réglementaire des organisations en ce qui a trait à leur utilisation de l’intelligence artificielle. Par conséquent, les organisations devraient entreprendre un examen exhaustif de la façon dont elles mènent leurs activités et gèrent les systèmes d’IA.
Le groupe Bennett Jones Privacy & Data Protection group est disponible pour discuter de la façon dont les changements peuvent affecter les obligations d’une organisation en matière de confidentialité.
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones