Le 27 septembre dernier, le ministre de l’Innovation, des Sciences et de l’Industrie a publié un code de conduite volontaire propre à l’IA générative. Ce code découle de la Loi sur l’intelligence artificielle et les données (LIAD) proposée dans le cadre du projet de loi C-27 déposé en juin 2022, mais qui n’entrera vraisemblablement pas en vigueur avant 2025.
Le code de conduite va au-delà de la simple atténuation des risques en incitant ses signataires à soutenir le développement continu d’un écosystème d’IA fiable et responsable au Canada. Le code prévoit un ensemble de mesures définies appuyant les règlements d’application de la LIAD à venir. Ces mesures mettent l’accent sur le développement (y compris la sélection de méthodologies, la collecte et le traitement d’ensembles de données, la création de modèles et les tests) et la gestion des opérations (y compris la mise en service d’un système, le contrôle des paramètres de son fonctionnement, le contrôle des accès et la surveillance de son fonctionnement) de systèmes d’IA générative.
Les entreprises qui développent et gèrent les opérations de ces systèmes mettront en œuvre des pratiques responsables en matière d’IA générative afin d’atténuer les répercussions négatives associées aux systèmes avancés d’IA générative.
Code de conduite – approche à deux volets
Le code de conduite fixe d’importantes balises aux entreprises sous forme d’engagements. Ces engagements se divisent en deux volets selon qu’ils s’appliquent aux :
1) systèmes génératifs avancés, et
2) systèmes génératifs avancés accessibles au public.
Chaque volet porte sur six principes fondamentaux applicables à toutes les entreprises : responsabilité, évaluation des risques liés à la sécurité, justice et équité, transparence, surveillance humaine ainsi que validité et fiabilité. Le deuxième volet élargit l’application de ces mesures aux entreprises qui rendent l’utilisation de ces systèmes accessible à un vaste public, reconnaissant ainsi les risques accrus associés à l’utilisation publique. Cette actualité compare les obligations des développeurs et des gestionnaires selon que le système d’IA générative est destiné à un usage général ou à une utilisation publique.
Indépendamment du rôle joué par votre entreprise et peu importe que le système génératif avancé soit destiné à une utilisation publique ou non, vous devez prendre certaines mesures pour vous conformer au code de conduite. Ces mesures comprennent la mise en place de politiques, de procédures et de formations en matière de gestion des risques adaptées à la nature et au profil de risque des activités. Vous devrez aussi transmettre les pratiques exemplaires visant la gestion aux entreprises jouant des rôles complémentaires dans l’écosystème et effectuer une évaluation complète des répercussions potentielles négatives raisonnablement prévisibles et des mesures d’atténuation.
Pour une catégorisation plus détaillée des obligations, consultez le tableau suivant :
Principe |
Mesures |
Systèmes génératifs avancés |
Systèmes génératifs avancés accessibles au public |
Développeurs |
Gestionnaires |
Développeurs |
Gestionnaires |
Responsabilité |
Mettre en œuvre un cadre de gestion des risques adapté à la nature et au profil de risque des activités. |
✔ |
✔ |
✔ |
✔ |
Transmettre les pratiques exemplaires aux autres entreprises de l’écosystème. |
✔ |
✔ |
✔ |
✔ |
Utiliser plusieurs sources pour évaluer le système avant son lancement, notamment des vérifications par des tiers. |
✖ |
✖ |
✔ |
✖ |
Sécurité |
Effectuer une évaluation des répercussions négatives potentielles raisonnablement prévisibles, notamment des risques associés à une utilisation inappropriée ou malveillante du système. |
✔ |
✔ |
✔ |
✔ |
Atténuer les risques en mettant en œuvre des mesures adaptées de protection contre l'utilisation malveillante. |
✔ |
✖ |
✔ |
✖ |
Donner aux développeurs et aux gestionnaires en aval des conseils sur l'utilisation appropriée du système, notamment des détails sur les mesures prises pour atténuer les risques. |
✔ |
✖ |
✔ |
✖ |
Justice et équité |
Évaluer les ensembles de données utilisés pour la formation afin de veiller à la qualité des données et de minimiser les biais potentiels. |
✔ |
✖ |
✔ |
✖ |
|
Avant le lancement, recourir à diverses méthodes et mesures d'essai pour évaluer et atténuer le risque d'obtenir des résultats biaisés. |
✔ |
✖ |
✔ |
✖ |
Transparence |
Publier de l'information sur les capacités et les limites du système. |
✖ |
✖ |
✔ |
✖ |
Élaborer et mettre en œuvre une méthode fiable et disponible pour détecter le contenu généré par le système en mettant l'accent sur le contenu audiovisuel (p. ex. le tatouage numérique). |
✖ |
✖ |
✔ |
✖ |
Donner une description des catégories de données d'entraînement utilisées pour développer le système ainsi que des mesures prises pour déterminer et gérer les risques. |
✖ |
✖ |
✔ |
✖ |
Veiller à ce qu’il soit indiqué de façon claire, pour les systèmes d’IA qui pourraient être pris pour des humains, qu’il s’agit de systèmes d’IA. |
✖ |
✔ |
✖ |
✔ |
Surveillance humaine |
Surveiller le fonctionnement du système pour s'assurer qu'il n'est pas utilisé à des fins nuisibles ou qu'il n'a pas des répercussions néfastes, y compris par l'intermédiaire de canaux de rétroaction tiers. Informer le développeur et mettre en œuvre des contrôles d'utilisation au besoin pour atténuer les préjudices le cas échéant. |
✖ |
✔ |
✖ |
✔ |
Tenir un registre des incidents signalés après le déploiement et fournir des mises à jour au besoin pour veiller à ce que des mesures d'atténuation efficaces soient en place. |
✔ |
✖ |
✔ |
✖ |
Validité et fiabilité |
Pour garantir la fiabilité et mesurer le rendement avant le déploiement, utiliser une grande variété de méthodes d'essai dans un ensemble de tâches et de contextes. |
✔ |
✖ |
✔ |
✖ |
Avoir recours à des essais axés sur des positions antagonistes (c.-à-d. la méthode de l'équipe rouge) pour cerner les vulnérabilités. |
✔ |
✖ |
✔ |
✖ |
Effectuer une évaluation des risques liés à la cybersécurité et mettre en œuvre des mesures adaptées pour atténuer les risques, notamment en ce qui a trait à l'empoisonnement des données. |
✔ |
✖ |
✔ |
✔ |
Effectuer des analyses comparatives pour mesurer le rendement du modèle par rapport aux normes reconnues. |
✔ |
✖ |
✔ |
✖ |
|
|
|
|
|
|
Dans le cadre de leur engagement envers un écosystème d’IA fiable, les signataires s’engagent aussi à soutenir plusieurs autres principes, notamment en accordant la priorité aux droits de la personne, à l’accessibilité et à la durabilité environnementale, et à relever les défis mondiaux dans le cadre du développement et du déploiement de systèmes d’IA. Il convient de souligner que le code n’impose pas d’exigences particulières pour l’explicabilité significative – caractéristique dominante de la Loi sur la protection de la vie privée des consommateurs proposée et du Règlement général sur la protection des données. Le code n’offre pas non plus la possibilité aux utilisateurs de s’exclure même si la transparence représente un principe fondamental du code.
En substance, le code de conduite représente une démarche proactive de gouvernance en matière d’IA. Il offre un cadre permettant aux entreprises d’agir de façon responsable et collaborative, jouant le rôle de mesure provisoire essentielle d’ici à l’adoption de la LIAD.