9 janvier 2023
Les perspectives des participants de l’industrie dans cet article ont été recueillies lors du projet Managing AI Risk Thought Leadership du Vector Institute à l’automne 2022.
La première proposition de loi canadienne pour l’utilisation commerciale de l’IA, la Loi sur l’intelligence artificielle et les données (AIDA), a été déposée en juin 2022. Dans le cadre du projet de loi C-27, l’AIDA était accompagnée de deux lois sur la vie privée : la Loi sur la protection de la vie privée des consommateurs (CPPA) et la Loi sur le Tribunal de protection des renseignements personnels et des données (PIDPTA).
L’AIDA fait suite à d’autres propositions récentes de réglementation de l’IA, notamment la Loi sur l’intelligence artificielle de l’Union européenne (2021) et la Loi américaine sur la responsabilité algorithmique de 2022. Cependant, bien que ces deux lois soient complètes, celle du Canada adopte une approche plus schématique, se référant à d’autres règlements qui restent à développer.
L’objectif de l’AIDA est manifestement d’établir une chaîne de responsabilité pour les systèmes d’IA — en particulier ceux à « fort impact », ou ceux qui peuvent potentiellement causer des dommages considérables aux consommateurs. Les individus et organisations jugés responsables des systèmes d’IA devront anonymiser les données, évaluer et atténuer les risques, publier des informations sur les systèmes à fort impact, et seront soumis à des sanctions en cas de non-respect de ces exigences.
Lorsque l’AIDA est apparue, elle a suscité des réactions mitigées de la part de la communauté canadienne de l’IA. Ce qui motive une partie de cette inquiétude, c’est que le projet de loi propose des amendes pour non-conformité, mais n’explique pas clairement ce que la conformité signifierait ou exigerait, remettant ainsi d’autres règlements encore à développer.
Pour explorer l’approche de l’AIDA et analyser ces préoccupations, Vector a fait du projet de loi C-27 un sujet de notre projet de leadership de pensée sur la gestion des risques liés à l’IA à l’automne 2022 . Ce projet a rassemblé des contributeurs à l’écosystème canadien de l’IA issus de plusieurs secteurs, y compris des représentants de régulateurs, de gouvernements et d’entreprises, grandes et petites. Lors des discussions sur l’AIDA, les participants ont exprimé leurs appréhensions et leurs points de vue sur les opportunités offertes par le projet de loi, partageant une gamme productive d’idées sur la façon de détailler et d’améliorer ce projet de loi de manière à bénéficier à tous les Canadiens.
De nombreux participants au projet Managing AI Risk de Vector estimaient que l’ambiguïté de l’AIDA et les sanctions proposées introduisaient des risques considérables pour toute personne impliquée dans le développement, la distribution ou l’utilisation des systèmes d’IA, ce qui pourrait freiner l’innovation en IA au Canada. L’IA dans le projet de loi est présentée comme un risque sans reconnaissance correspondante de son opportunité. Savoir qu’il y aura des pénalités, mais ne pas connaître exactement quelles seront les règles, était généralement compris comme rendant l’investissement de ressources supplémentaires dans l’IA difficile. Le Canada pourrait être perçu comme affirmant que l’IA est devenue trop risquée à poursuivre.
Parmi les principales préoccupations que Vector a entendues concernant la formulation du projet de loi figurait que la définition d’un « système d’IA » – précisément ce que l’AIDA cherche à réglementer – n’est pas claire. De même, il y avait des inquiétudes selon lesquelles le projet de loi ne fournissait pas de critères précisant la nature des systèmes d’IA « à fort impact » qui comportent les plus grands risques de préjudice.
La définition de « personne responsable » des systèmes d’IA par l’AIDA – organisations et individus obligés de respecter les règlements et soumis à des sanctions – a également déclenché des signaux d’alarme chez les participants. Parmi les préoccupations figurait que la définition large de « personne responsable » semble inclure chaque entreprise et chaque individu impliqué de quelque manière que ce soit dans la collecte de données, le codage, l’ingénierie, la formation, la distribution et l’utilisation des systèmes d’IA. En créant un vaste réseau de personnes potentielles responsables, le projet de loi laisse flou où s’arrêtent les responsabilités d’une personne et où commencent celles d’une autre. Les participants ont également noté que l’AIDA ne précise pas les conditions dans lesquelles les personnes travaillant dans les organisations (par opposition aux organisations elles-mêmes) peuvent être tenues responsables des préjudices liés à l’utilisation des systèmes d’IA.
D’autres exigences clés que les participants ont notées nécessiter plus de clarification incluent l’évaluation du risque, c’est-à-dire la probabilité qu’un système cause des dommages matériels; l’instauration de l’équité (c’est-à-dire l’évitement des résultats biaisés); établir des normes pratiques pour l’anonymisation des données; et précisant la limite juridictionnelle de l’AIDA pour les activités commerciales internationales et interprovinciales.
Au-delà du manque de clarté de l’AIDA, les participants au projet Managing AI Risk de Vector ont exprimé leur malaise ou leur manque de compréhension quant à la manière dont les réglementations fédérales sur l’IA seront appliquées. Par exemple, le projet de loi propose de donner à une seule autorité fédérale le pouvoir à la fois de déterminer le non-respect des règlements et d’imposer des pénalités financières. Certains participants ont estimé que séparer ces deux fonctions en deux organismes pourrait mener à un environnement réglementaire plus responsable.
Enfin, bien que l’AIDA propose d’adapter les sanctions à la taille de l’organisation, certains participants craignaient que le risque de pénalités ne rende beaucoup plus difficile pour les startups et les petites entreprises d’attirer des investisseurs, tout en créant de nouveaux avantages pour les grandes firmes technologiques internationales qui peuvent payer des amendes canadiennes ou les contester par des litiges. Les nouvelles entreprises peuvent choisir de s’incorporer dans une toute autre juridiction, où les règles sont plus claires, plutôt que de prendre le risque d’opérer sans savoir ce que les règlements futurs imposeront. Le fardeau des mécanismes de déclaration léglélatifs semblait aussi aux participants retomber davantage sur les petites organisations que sur les grandes entreprises internationales équipées pour répondre à de telles exigences.
Une des approches que certains participants ont abordées était de demander au gouvernement de séparer l’AIDA du projet de loi C-27. Cela permettrait à la CPPA et à la PIDPTA – deux mises à jour importantes de la législation canadienne sur la vie privée – d’être adoptées pendant que l’AIDA est révisée avec le même soin que celui qui a influencé le reste du projet de loi.
« L’IA transformatrice nécessite de nouvelles façons de penser la réglementation gouvernementale. »
Professeure Gillian Hadfield
Membre du corps professoral de Vector, professeur, directeur, Institut Schwartz Reisman pour la technologie et la société
Peu importe si l’AIDA fait toujours partie du projet de loi C-27, les parties prenantes de l’écosystème canadien de l’IA ont démontré qu’elles ont beaucoup à apporter aux discussions sur les prochaines étapes. Les participants ont reconnu un intérêt général parmi les experts et praticiens canadiens de l’IA à fournir au gouvernement fédéral des commentaires sur l’AIDA et des idées précises sur la réglementation de l’IA qui serviront les meilleurs intérêts du Canada.
Une de ces recommandations d’un sponsor de l’industrie vectorielle est d’aligner la définition des systèmes d’IA par l’AIDA avec celles adoptées par l’Organisation de coopération et de développement économiques (OCDE) et la Loi sur l’IA de l’Union européenne. Une autre recommandation était de suivre l’approche de la Loi européenne sur l’IA pour distinguer les responsabilités des différents acteurs et spécifier les critères pour les systèmes à haut risque. Cette harmonisation des définitions offrirait à l’écosystème canadien de l’IA une clarté juridique et une compatibilité considérables, tout en ouvrant la voie à une plus grande collaboration et commerce avec les partenaires de l’UE.
Certains participants ont également recommandé d’ajuster la réglementation pour les startups et autres petites et moyennes entreprises afin de faciliter l’atteinte des objectifs de l’AIDA, tandis que d’autres ont préconisé une évaluation minutieuse de la manière dont le projet de loi s’inscrit dans le cadre réglementaire canadien et international plus large.
Du point de vue des participants au projet, aborder ces questions et d’autres questions connexes dans le projet actuel d’AIDA est d’une importance vitale pour élaborer des réglementations efficaces et pratiques sur l’IA. Les participants ont vu une opportunité pour l’écosystème canadien de l’IA de se mobiliser, de s’impliquer, de créer des normes et de mener des conversations importantes au sein et à travers les industries.
Joignez-vous à notre liste d’envoi pour participer au prochain projet Vector Thought Leadership et découvrir les avantages de participer à ce genre de discussions en tant que commanditaire de l’industrie.
