Le 5 octobre dernier, le ministre de l’Innovation, des Sciences et de l’Industrie (ISDE) a écrit une lettre au Comité permanent de l’industrie et de la technologie afin de proposer des modifications visant la Loi sur l’intelligence artificielle et les données (LIAD), qui a été déposée dans le cadre du projet de loi C 27 en juin 2022. Pour en savoir plus sur la LIAD, veuillez consulter notre précédente actualité sur le sujet.
Dans sa lettre, le ministre propose d’apporter des modifications dans les domaines suivants :
- préciser les rôles et les obligations en matière d’intelligence artificielle (IA) dans la chaîne de valeur de l’IA;
- clarifier les obligations pour les systèmes d’IA générative à usage général, comme ChatGPT;
- définir des catégories de systèmes qui seraient considérés comme ayant une incidence élevée;
- renforcer et clarifier le rôle du commissaire proposé à l’IA et aux données;
- s’harmoniser avec la Loi sur l’IA de l’Union européenne et d’autres économies avancées.
Le code de conduite volontaire publié par l’ISDE vise les deux premiers domaines, comme nous l’avons indiqué dans notre précédente actualité. Par conséquent, nous nous attarderons ici aux trois domaines restants.
Systèmes à incidence élevée
L’article 71 de la LIAD prévoit l’obligation d’évaluer si un système d’IA est un « système à incidence élevée ». Cette détermination est importante, car d’elle dépend de l’application ou non de la plupart des obligations (c.-à-d. les obligations d’évaluation, d’atténuation et de contrôle des risques, de tenue de documents, de publication de la description des systèmes d’IA en cours d’utilisation et d’avis de préjudice). Toutefois, le terme « système à incidence élevé » n’est pas défini dans la LIAD, ce qui crée de l’incertitude quant à savoir quels systèmes d’IA seront effectivement visés par ces obligations.
Dans sa lettre, le ministre de l’ISDE, plutôt que de suggérer une définition des « systèmes à incidence élevée », propose sept catégories qui permettraient de déterminer si un système a une incidence élevée ou non :
- Emploi – Lorsqu’un système d’IA est utilisé pour prendre des décisions concernant l’emploi, le recrutement, la mise en rapport, l’engagement, la rémunération, la promotion, la formation, l’apprentissage, la mutation ou la cessation.
- Prestation de services – Lorsqu’un système d’IA est utilisé pour prendre la décision de fournir ou non des services, déterminer le type de services ou leur coût et établir la priorisation des services à fournir.
- Données biométriques – Lorsqu’un système d’IA est utilisé pour traiter des données biométriques dans le but d’identifier une personne physique (sauf dans le cas d’authentification de l’identité avec le consentement de cette personne) ou pour évaluer le comportement ou l’état d’esprit d’une personne physique.
- Contenu en ligne – Lorsqu’un système d’IA est utilisé pour modérer le contenu sur les plateformes de communication en ligne, comme les moteurs de recherche ou les services de médias sociaux, ou pour prioriser la présentation d’un tel contenu.
- Soins de santé – Lorsqu’un système d’IA est utilisé relativement aux soins de santé ou aux services d’urgence, autrement qu’à l’une des fins visées aux alinéas a) à e) de la définition de « instrument », à l’article 2 de la Loi sur les aliments et drogues, à l’égard de l’être humain.
- Tribunaux – Lorsqu’un système d’IA est utilisé par un tribunal ou un organisme administratif pour prendre une décision concernant une personne physique qui est partie à des procédures devant ce tribunal ou cet organisme.
- Application de la loi – Lorsqu’un système d’IA est utilisé pour assister un agent de la paix, au sens de l’article 2 du Code criminel, dans l’exercice de ses attributions liées au contrôle d’application de la loi.
Il est également précisé dans la lettre que cette liste n’est pas figée et peut être modifiée par le gouverneur en conseil au fil des évolutions technologiques. Si ces modifications étaient adoptées, elles remplaceraient la proposition d’exigence visant l’évaluation des systèmes à incidence élevée énoncée à l’article 7 de la LIAD2.
Harmonisation avec la Loi sur l’IA de l’UE et l’Organisation de coopération et de développement économiques (OCDE)
Le ministre de l’ISDE recommande l’harmonisation de la LIAD avec des cadres internationaux comme la Loi sur l’IA de l’UE et les Principes sur l’IA de l’OCDE. Il encourage d’ailleurs l’adoption de la définition fournie par l’OCDE de l’« intelligence artificielle » :
« un système technologique qui, à l’aide d’un modèle, procède par inférence pour générer des résultats, notamment des prédictions, des recommandations ou des décisions ».
Il se montre également en faveur du remplacement des articles de la LIAD imposant des mesures d’atténuation (p. ex. l’article 8 prévoyant des mesures visant à cerner, à évaluer et à atténuer les risques de préjudice ou de résultats biaisés ou l’article 9 établissant un contrôle du respect des mesures d’atténuation) par de nouveaux articles qui fournissent plus de précisions sur les responsabilités incombant aux organisations qui mettent au point, gèrent et mettent en service des systèmes à incidence élevée.
Ces responsabilités ont également été définies dans le code de conduite volontaire. Toutefois, une nouvelle catégorie d’entités figure dans la lettre : « les personnes qui mettent sur le marché ou mettent en service un système à incidence élevée ». Reste à voir quelles responsabilités seront attribuées à de tels acteurs.
La lettre indique également que toute organisation qui « apporte des modifications substantielles » à un système à incidence élevée sera responsable de veiller au respect des exigences préalables au déploiement. La notion de « modifications substantielles » n’a pas été définie dans la lettre.
Il est ensuite indiqué dans la lettre que les organisations qui mènent des « activités réglementées »3 (terme défini dans la LIAD) doivent élaborer un cadre de responsabilisation que le commissaire peut demander à tout moment. Ce cadre comprend ce qui suit :
- les devoirs et obligations et la structure hiérarchique de tout le personnel qui appuie la mise à disposition du système aux fins de son utilisation ou qui appuie la gestion de ses opérations;
- les politiques et procédures concernant la gestion des risques liés au système;
- les politiques et procédures sur la façon de répondre aux plaintes de personnes physiques sur le système;
- les politiques et procédures concernant les données utilisées par le système;
- la formation sur le système fournie au personnel et le matériel de formation connexe;
- toute autre mesure prévue par règlement.
Revalorisation et clarification du rôle du commissaire à l’IA et aux données (CIAD)
La lettre indique également que le ministre de l’ISDE appuiera les modifications qui permettront de revaloriser et de clarifier le rôle et les pouvoirs du CIAD.
Principaux points à retenir
Les propositions de modification du ministre de l’ISDE visent à clarifier et à améliorer la LIAD. Les organisations devraient se préparer à l’édiction de la loi à venir en mettant en place un processus permettant de cerner les différentes manières dont elles pourraient concevoir, élaborer ou mettre à disposition aux fins d’utilisation un système d’IA. En outre, elles devraient s’inspirer de la façon dont les fournisseurs gèrent déjà les risques ou des postures de sécurité existantes. Parallèlement, elles peuvent élaborer un cadre de responsabilisation pour orienter la mise au point d’un programme de conformité en matière d’IA.