Projet de loi C-27: première loi sur l’intelligence artificielle au Canada

Le 16 juin, le gouvernement fédéral a présenté le projet de loi C-27, aussi connu sous le nom de Loi de 2022 sur la mise en œuvre de la Charte du numérique. 

Cet ensemble de lois, s’il est adopté : 

• mettra en oeuvre la première loi canadienne sur l’intelligence artificielle (IA), la Loi sur l’intelligence artificielle et les données (LIAD); 
• réformera les lois canadiennes en matière de protection de la vie privée, en remplaçant la Loi sur la protection des renseignements personnels et les documents électroniques par la Loi sur la protection de la vie privée des consommateurs; et
• mettra sur pied un tribunal consacré à la protection des renseignements personnels et des données.

La LIAD établit des règles pancanadiennes visant la conception, le développement, l’utilisation et la fourniture de systèmes d’IA et interdit certaines conduites relativement à ces systèmes pouvant causer un préjudice grave ou produire des résultats biaisés. 

La LIAD réglemente les activités exercées dans le cadre des échanges et du commerce internationaux et interprovinciaux. Elle ne s’applique pas aux institutions gouvernementales. La Directive sur la prise de décisions automatisée en vigueur impose déjà plusieurs exigences relativement à l’utilisation par le gouvernement fédéral de systèmes décisionnels automatisés et à la vente par des entreprises de tels systèmes au gouvernement fédéral ou à l’octroi de licences d’utilisation à leur égard par ces entreprises. 

Exigences

Selon la LIAD, les individus et entités juridiques « responsables » de systèmes d’IA (c’est à dire ceux qui, dans le cadre des échanges ou du commerce internationaux ou interprovinciaux, conçoivent, développent ou rendent disponible un système d’IA ou en gèrent l’exploitation) devront :

• établir des mesures concernant la gestion des données anonymisées;
• procéder à une évaluation visant à déterminer si le système d’IA est un système à « incidence élevée » (les critères en seront définis par règlement); et
• tenir des documents généraux énonçant les mesures prises pour respecter les exigences et décrivant les motifs qui justifient les conclusions de l’évaluation. 

La personne responsable d’un système d’IA qui a été jugé à incidence élevée devra :

• élaborer un plan d’atténuation des risques;
• assurer un suivi des mesures d’atténuation; 
• dans la mesure où le système est utilisé ou rendu disponible, publier, sur un site Web, une description, en langage clair, qui prévoit a) l’utilisation visée, b) le type de contenu que le système génère ou est censé générer, les recommandations ou prédictions qu’il fait ou est censé faire ou les décisions qu’il prend ou est censé prendre, c) les mesures d’atténuation mises en place et d) tout autre renseignement prévu par règlement; 
• dans la mesure où l’utilisation du système entraîne, ou entraînera vraisemblablement, un « préjudice important », aviser, dès que possible, le ministre de l’Innovation, des Sciences et de l’Industrie.

En résumé, la loi exigera notamment que les personnes responsables de systèmes d’IA évaluent le risque que ces systèmes causent un préjudice ou produisent des résultats biaisés, conçoivent des plans d’atténuation visant à réduire ou à éliminer ces risques et informent le public lorsque des systèmes à incidence élevée sont utilisés.  

Pouvoir du ministre  

En vertu de la LIAD, le ministre peut ordonner ou exiger :

• la fourniture de renseignements ou des documents se rapportant à un système d’IA; 
• une vérification par la personne responsable du système d’IA ou un vérificateur indépendant;
• l’adoption de mesures visant à répondre à tout point soulevé dans le rapport de vérification;
• la cessation de l’utilisation du système d’IA s’il a des « motifs raisonnables » de croire que l’utilisation du système peut entraîner un « risque grave de préjudice imminent »; 
• la publication de renseignements concernant toute contravention aux exigences afin d’encourager le respect de celles ci (ce pouvoir ne vise pas les « renseignements commerciaux confidentiels »); et
• le partage de renseignements avec d’autres organismes de réglementation et organismes chargés de l’application de la loi, comme le Commissaire à la protection de la vie privée ou la Commission canadienne des droits de la personne, selon le cas.

Le ministre peut aussi désigner un Commissaire à l’IA et aux données, dont le rôle consisterait à aider et à appuyer le ministre à assurer le respect de ces exigences. 

Sanctions pécuniaires et infractions

Sanctions administratives pécuniaires 

Le régime de sanctions administratives pécuniaires sera défini en grande partie par règlement. À noter que ces sanctions visent à « favoriser le respect » et « non pas à punir ». 

Infractions – contravention aux exigences

Le fait de contrevenir à une exigence de la LIAD ou d’entraver une vérification ou une enquête ou encore de fournir des renseignements faux ou trompeurs dans le cadre d’une vérification ou d’une enquête constitue une infraction. Une entreprise ou autre entité juridique qui commet une telle infraction peut encourir une amende maximale de 10 M$ ou équivalant à 3 % de ses recettes globales. Un individu qui commet une telle infraction est passible d’une amende dont le montant est discrétionnaire. 

Infractions – liées aux systèmes d’intelligence artificielle 

D’autres infractions sont prévues par la LIAD dans des circonstances mettant en cause 1) la possession ou l’utilisation de renseignements personnels ou 2) le fait de rendre disponible un système d’IA.

À toutes les étapes de la conception d’IA ou dans l’exploitation ou la fourniture d’un système d’IA, il est interdit à quiconque (qu’il s’agisse d’une entité juridique ou d’un individu) de posséder ou d’utiliser des « renseignements personnels » obtenus illégalement.

Dans le cas d’un système rendu disponible, les situations suivantes constituent aussi une infraction :

• le système cause un préjudice physique ou psychologique sérieux ou un dommage considérable à des biens sans excuse légitime. La personne responsable doit avoir sciemment ou imprudemment rendu le système disponible malgré la possibilité que ce système puisse causer un tel préjudice ou dommage; ou
• le système cause une perte économique considérable à un individu. La personne responsable doit avoir eu l’intention de frauder le public et de causer une telle perte.

Une entreprise ou autre entité juridique qui commet une de ces infractions encourt une amende pouvant atteindre 25 millions de dollars ou 5 % de ses recettes globales. Un individu qui commet une de ces infractions est passible d’une amende dont le montant est discrétionnaire ou d’une peine d’emprisonnement maximale de cinq ans moins un jour, ou des deux.

Ce qu’il faut retenir

Le projet de loi C-27 représente la première loi canadienne en matière d’IA et propose un nouveau cadre réglementaire en la matière. Toutes les entreprises qui conçoivent, développent, exploitent ou vendent des systèmes d’IA ou octroient des licences à leur égard dans le cadre d’échanges et de commerce internationaux et interprovinciaux se devront de respecter les exigences proposées et devraient analyser leurs activités actuelles en matière d’IA à la lumière de ces exigences, particulièrement celles qui utilisent ou fournissent des systèmes à incidence élevée.

Certaines questions demeurent. La LIAD vise les systèmes « à incidence élevée » et interdit tout « préjudice grave », alors que ces termes ainsi que d’autres termes clés ne sont pas encore définis. En outre, le montant des pénalités administratives ne sera fixé qu’au moment de l’adoption des règlements.

De plus, la LIAD prévoit des exigences de publication, mais il n’est pas clair s’il y aura un registre public répertoriant tous les systèmes d’IA à incidence élevée et quel degré de détail technique sur les systèmes d’IA seront communiqués au public. Les deuxième et troisième lectures du projet de loi C 27 à la Chambre des communes, de même que les règlements qui seront pris après l’adoption de la loi, apporteront sûrement un nouvel éclairage sur ces questions.

La LIAD pourrait avoir une portée extraterritoriale si des éléments de systèmes d’IA internationaux sont utilisés, développés, conçus ou gérés au Canada. L’Union européenne a présenté récemment sa législation sur l’intelligence artificielle, qui a, elle aussi, une portée extraterritoriale. D’autres pays emboîteront vraisemblablement le pas. Les multinationales sont invitées à élaborer un programme de conformité internationale concerté.

Nous surveillerons la progression de cette loi devant le parlement et vous tiendrons informés.