Écrit par Stephen D. Burns, Sebastien Gittens, Ahmed Elmallah and David Wainer

Le gouvernement canadien continue de prendre note de l’utilisation généralisée de l’intelligence artificielle (IA) générative et d’y réagir. L’IA générative est un type d’IA qui génère une sortie qui peut inclure du texte, des images ou d’autres matériaux, et est basée sur le matériel et les informations que l’utilisateur saisissez (par exemple, ChatGPT, Dall-E 2 et Midjourney). Dans le développement récent, le gouvernement canadien a : (1) ouvert une consultation sur un projet de Code de pratiques (le Code) et a fourni un cadre proposé pour le Code; ¹ et (2) ont publié un Guide sur l’utilisation de l’IA générative pour les institutions fédérales le 6 septembre 2023 (le Guide). ²

De façon plus générale, comme il est mentionné ci-dessous, alors que les entreprises canadiennes continuent d’adopter des solutions d’IA générative, elles peuvent prendre note du cadre initial établi pour le Code, ainsi que de l’information contenue dans le Guide, afin de minimiser les risques et d’assurer la conformité aux futures lois sur l’IA. Un résumé des principaux points du code et du guide proposés est fourni ci-dessous.

1. Consultation sur le Code

Le Code s’adresse aux développeurs, aux déployeurs et aux exploitants de systèmes d’IA générative afin d’éviter les effets néfastes de leurs systèmes d’IA et de se préparer et de faire la transition en douceur vers la conformité future à la Loi sur l’intelligence artificielle et les données (LCRA)³ si la loi reçoit la sanction royale.

En particulier, le gouvernement a déclaré qu’il s’était engagé à élaborer un code de pratiques, qui serait mis en œuvre sur une base volontaire par les entreprises canadiennes avant l’entrée en vigueur de l’ACRA. ⁴ Pour un aperçu détaillé de ce à quoi pourrait ressembler la future réglementation de l’IA au Canada, veuillez consulter notre blogue, Artificial Intelligence— A Companion Document Offers a Roadmap for Future AI Regulation in Canada.

Dans le cadre de l’élaboration du Code, le gouvernement canadien a établi un cadre pour le Code et a maintenant ouvert la consultation sur ce cadre. À cette fin, le gouvernement sollicite des commentaires sur les éléments suivants du cadre proposé :

• Sûreté : Les considérations de sûreté d’un système d’IA générative devraient comprendre une analyse holistique du cycle de vie d’un système d’IA générative et devraient envisager le « large éventail d’utilisations de nombreux systèmes d’IA générative ». ⁵
  
  Dans le cadre proposé pour le Code, on demanderait aux développeurs et aux déployeurs d’identifier les moyens par lesquelles leur système pourrait attirer une utilisation malveillante (p. ex., usurper l’identité de personnes réelles) et de prendre des mesures pour empêcher une telle utilisation de se produire.
  
  De plus, on demanderait aux développeurs, aux déployeurs et aux exploitants d’identifier les façons dont leur système peut attirer une utilisation inappropriée nuisible (p. ex., l’utilisation d’un modèle linguistique de grande envergure pour les conseils médicaux ou juridiques) et, encore une fois, de prendre des mesures pour éviter que cela ne se produise.
• Justice et équité : Les développeurs de systèmes d’IA générative devraient soigneusement organiser les ensembles de données utilisés dans leurs systèmes d’IA générative afin d’atténuer le risque de biais et mettre en œuvre des mesures pour atténuer le risque de sortie biaisée.
  
  À cette fin, le Code suggère que les concepteurs évaluent et organisent les ensembles de données afin d’éviter les données de mauvaise qualité et les ensembles de données/biais non représentatifs. De plus, il serait conseillé aux concepteurs, aux déployeurs et aux exploitants de mettre en œuvre des mesures pour évaluer et atténuer le risque de production biaisée (p. ex., peaufiner).
• Transparence : Les individus devraient être en mesure de se rendre compte lorsqu’ils interagissent avec un système d’IA ou un contenu généré par l’IA.
  
  Par conséquent, un futur code recommanderait que les développeurs et les déployeurs fournissent une méthode fiable et librement disponible pour détecter le contenu généré par le système d’IA (par exemple, le filigrane), ainsi que de fournir une explication significative du processus utilisé pour développer le système (par exemple, la provenance des données de formation, ainsi que les mesures prises pour identifier et gérer les risques).
  
  De plus, on demanderait aux exploitants de s’assurer que les systèmes qui pourraient être confondus avec des humains sont clairement et bien en vue identifiés comme des systèmes d’IA.
• Surveillance et surveillance humaines : Il est à noter que la surveillance et la surveillance humaines « sont essentielles pour s’assurer que ces systèmes sont élaborés, déployés et utilisés en toute sécurité ». ⁶
  
  Un futur code pourrait recommander que les déployeurs et les opérateurs de systèmes d’IA générative assurent la surveillance humaine du déploiement et de l’exploitation de leur système. De plus, on demanderait aux développeurs, aux déployeurs et aux exploitants de mettre en œuvre des mécanismes pour permettre d’identifier et de signaler les effets négatifs après la mise à disposition du système.
• Validité et robustesse: L’accent est mis sur la nécessité pour les systèmes d’IA d’établir la confiance en travaillant comme prévu dans n’importe quel contexte, en encourageant les développeurs à utiliser une variété de méthodes de test.
  
  Dans le même ordre d’idées, un futur code recommanderait que les développeurs utilisent une grande variété de méthodes d’essai dans un éventail de tâches et de contextes (p. ex., des tests accusatoires) pour mesurer le rendement et identifier les vulnérabilités. De plus, les développeurs, les déployeurs et les exploitants seraient invités à utiliser des mesures de cybersécurité appropriées pour prévenir ou identifier les attaques antagonistes sur le système (p. ex. empoisonnement des données).
• Responsabilisation : Compte tenu de la nature puissante des systèmes d’IA générative, il est également noté que « des précautions particulières doivent être prises avec les systèmes d’IA générative pour s’assurer qu’un processus complet et multiforme de gestion des risques est suivi ». ⁷
  
  Les développeurs, les déployeurs et les opérateurs de systèmes d’IA générative peuvent donc s’assurer que de multiples lignes de défense sont en place pour assurer la sécurité de leur système, par exemple en veillant à ce que des audits internes et externes (indépendants) de leur système soient effectués avant et après la mise en service du système; et élaborer des politiques, des procédures et de la formation pour s’assurer que les rôles et les responsabilités sont clairement définis et que le personnel connaît bien ses fonctions et les pratiques de gestion des risques de l’organisation.

Par conséquent, à mesure que le cadre du Code évoluera tout au long du processus de consultation, on s’attend à ce qu’il fournisse en fin de compte un guide utile aux entreprises canadiennes qui participent au développement, au déploiement et à l’exploitation de systèmes d’IA générative alors qu’elles se préparent à l’entrée en vigueur de l’ACRA.

2. Le Guide sur l’utilisation de l’IA générative

Le Guide est un autre exemple de la prise en compte par le gouvernement canadien de l’utilisation de l’IA générative. Le Guide fournit des conseils aux institutions fédérales et à leurs employés sur leur utilisation des outils d’IA générative, y compris la détermination des défis et des préoccupations liés à son utilisation, la mise de l’avant de principes pour l’utiliser de manière responsable et la mise en œuvre de considérations stratégiques et de pratiques exemplaires.

Bien que le Guide s’adresse aux institutions fédérales, les questions qu’il aborde peuvent avoir une application plus universelle à l’utilisation des systèmes d’IA générative, de façon générale. Par conséquent, les organisations peuvent envisager de se référer au Guide comme modèle d’orientation, lors de l’élaboration de leurs propres politiques internes en matière d’IA pour l’utilisation de l’IA générative.

Plus en détail, le Guide identifie les défis et les préoccupations liés à l’utilisation de l’IA générative, y compris la génération de contenu inexact ou incorrect (connu sous le nom d'« hallucinations ») et/ou l’amplification des biais. De façon plus générale, le gouvernement note que l’IA générative peut poser « des risques pour l’intégrité et la sécurité des institutions fédérales ». ⁸

Pour atténuer ces défis et ces risques, le Guide recommande que les institutions fédérales adoptent l’approche « PLUS RAPIDE » :

• Équitable : S’assurer que le contenu de l’IA générative n’amplifie pas les préjugés et qu’il est conforme aux obligations procédurales et d’équité de fond;
• Responsables : Tenir les institutions fédérales responsables de leur utilisation de l’IA générative;
• Sécurisé : S’assurer que l’institution fédérale comptabilise la cote de sécurité des renseignements;
• Transparent : Identifier le contenu qui a été produit à l’aide de l’IA générative;
• Éducation : Veiller à ce que les institutions et les employés se renseignent sur l’utilisation responsable de l’IA générative; et
• Réaliste : Veiller à ce que l’utilisation de l’IA générative « contribue à l’amélioration des résultats pour les Canadiens ». ⁹

Les organisations peuvent tenir à l’esprit de l’approche FASTER en tant que cadre directeur potentiel pour l’élaboration de leurs propres politiques sur l’utilisation de l’IA générative.

Parmi les autres faits saillants mentionnés dans le Guide, mentionnons les suivants :

• Prise de décisions administratives : L’IA générative, à son stade actuel de développement, peut ne pas convenir à une utilisation dans la prise de décisions administratives. Un système d’IA générative peut ne pas convenir, par exemple, pour « résumer les données d’un client ou pour déterminer s’il est admissible à un service ». ¹⁰ Le Guide note que l’utilisation de l’IA générative dans ce contexte peut ne pas correspondre aux principes FASTER.
• Considérations relatives à la protection de la vie privée : Les renseignements personnels ne doivent pas être entrés dans un outil ou un service d’IA générative à moins qu’un contrat ne soit en place avec le fournisseur et ne couvre la façon dont les renseignements seront utilisés et protégés. Avant d’utiliser un outil d’IA générative, les institutions fédérales doivent s’assurer que la collecte et l’utilisation de renseignements personnels, y compris les renseignements utilisés pour former l’outil, respectent leurs obligations en matière de protection de la vie privée. On rappelle aux institutions que, dans chaque cas où le déploiement de l’IA générative est envisagé, ils doivent déterminer si une évaluation des facteurs relatifs à la vie privée est requise.
• Enjeux potentiels et pratiques exemplaires : Un bref aperçu de plusieurs secteurs de risque est fourni et présente les pratiques exemplaires pour l’utilisation responsable de l’IA générative dans les institutions fédérales. Il s’agit notamment des éléments suivants :
  • Protection des renseignements : Le Guide recommande que les renseignements sensibles ou personnels ne sont pas utilisés avec une IA générative.
  • Biais : Afin d’atténuer la possibilité que l’IA générative amplifie les biais, le Guide recommande que les institutions fédérales examinent tout le contenu généré pour « s’assurer qu’il s’harmonise avec les engagements du gouvernement du Canada ». ¹¹
  • Qualité : Pour tenir compte du contenu généré de façon inexacte, le Guide recommande que les institutions indiquent où et quand l’IA générative a été utilisée et qu’elles examinent attentivement ce contenu.
  • Autonomie de la fonction publique : La dépendance excessive à l’égard de l’IA générative peut nuire à l’autonomie et au jugement des fonctionnaires, et le Guide recommande que l’IA générative ne soit utilisée que lorsqu’elle est requise. Les organisations seraient bien servies d’intégrer ces recommandations dans leurs politiques d’IA.
  • Risques juridiques : Divers risques juridiques posés par l’utilisation de l’IA générative, y compris (mais sans s’y limiter) les violations des droits de la personne, les obligations en matière de protection de la vie privée, la protection de la propriété intellectuelle et les obligations d’équité procédurale. Le Guide note que les institutions fédérales devraient se conformer à toutes les directives fédérales concernant l’IA, vérifier si le contenu généré est similaire au matériel protégé par le droit d’auteur et consulter les services juridiques sur les risques juridiques de l’IA générative.
  • Distinguer les humains des machines : Les institutions fédérales devraient communiquer clairement au public quand et comment l’IA générative est utilisée afin que les clients puissent facilement faire la distinction entre l’humain et la machine et que les institutions fédérales tiennent compte des impacts environnementaux potentiels de l’utilisation de l’IA générative.
  • Impacts environnementaux : Le développement et l’utilisation de systèmes d’IA générative peuvent être une source importante d’émissions de gaz à effet de serre. Le Guide recommande d’utiliser des outils d’IA générative hébergés dans des centres de données zéro émission.

Compte tenu de ce qui précède, les entreprises canadiennes qui explorent l’utilisation de l’IA générative peuvent prendre note des principes FASTER énoncés dans le Guide, ainsi que des diverses pratiques exemplaires proposées.

Conclusion

Pris ensemble, le Code et le Guide fournissent des conseils utiles aux organisations qui souhaitent être proactives dans l’élaboration de leurs politiques d’IA et s’assurer qu’elles sont conformes à l’ACRA si elle reçoit la sanction royale.

Le groupe Bennett Jones Privacy and Data Protection group est disponible pour discuter de la façon dont votre organisation peut intégrer de manière responsable l’IA dans ses opérations et des défis que vous pourriez rencontrer.