9 janvier 2023
Les points de vue des participants de l'industrie présentés dans cet article ont été recueillis au cours du projet de leadership éclairé de l'Institut Vector à l'automne 2022. Gestion des risques liés à l'IA de l'Institut Vector à l'automne 2022.
La conversation sur la réglementation de l'IA au Canada ne fait que commencer.
La première proposition de loi canadienne sur l'utilisation commerciale de l'IA, la Loi sur l'intelligence artificielle et les données (LAID), a été déposée en juin 2022. Dans le cadre du projet de loi C-27, la loi ACRA était accompagnée de deux lois sur la protection de la vie privée : la Loi sur la protection des renseignements personnels des consommateurs (LPRP) et la Loi sur le Tribunal de la protection des renseignements personnels et des données (LPRPD).
L'AIDA fait suite à d'autres propositions récentes de réglementation de l'IA, notamment la loi sur l'intelligence artificielle de l'Union européenne Loi sur l'intelligence artificielle (2021) et la loi américaine Algorithmic Accountability Act (2022) des États-Unis. Cependant, alors que ces deux lois sont exhaustives, celle du Canada adopte une approche plus schématique, renvoyant à d'autres réglementations qui doivent encore être élaborées.
L'objectif de l'AIDA est manifestement d'établir une chaîne de responsabilité pour les systèmes d'IA - en particulier les systèmes à "fort impact", ou ceux qui peuvent potentiellement causer un préjudice considérable aux consommateurs. Les personnes et les organisations jugées responsables des systèmes d'IA seront tenues d'anonymiser les données, d'évaluer et d'atténuer les risques, de publier des informations sur les systèmes à fort impact, et seront soumises à des sanctions en cas de non-respect de ces exigences.
Convoquer la communauté de l'IA
Lorsque le projet de loi AIDA est apparu, il a suscité une réaction mitigée de la part de la communauté de l'IA du Canada. Une partie de l'inquiétude vient du fait que le projet de loi propose des amendes en cas de non-conformité, mais n'articule pas clairement ce que la conformité signifierait ou exigerait, s'en remettant à d'autres règlements qui restent à élaborer.
Afin d'explorer l'approche de l'AIDA et d'analyser ces préoccupations, Vector a fait du projet de loi C-27 un sujet de notre réunion de l'automne 2022. Gérer les risques de l'IA projet de leadership éclairé. Ce projet a rassemblé des contributeurs à l'écosystème de l'IA au Canada provenant de plusieurs secteurs, notamment des représentants d'organismes de réglementation, de gouvernements et d'entreprises, grandes et petites. Au cours des discussions sur l'IA, les participants ont exprimé leurs appréhensions et leurs points de vue sur les possibilités qu'offre le projet de loi, partageant un éventail productif d'idées sur la façon de détailler et d'améliorer ce projet de loi de manière à ce que tous les Canadiens en bénéficient.
Préoccupations communes
De nombreux participants au projet de gestion des risques liés à l'IA de Vector étaient d'avis que l'ambiguïté de la Loi sur l'accès à l'information et les sanctions proposées présentaient des risques considérables pour toute personne impliquée dans le développement, la distribution ou l'utilisation de systèmes d'IA, ce qui pourrait freiner l'innovation dans ce domaine au Canada. Dans le projet de loi, l'IA est présentée comme un risque sans reconnaissance correspondante de ses possibilités. Le fait de savoir qu'il y aura des sanctions, mais de ne pas savoir exactement quelles seront les règles, a été généralement compris comme rendant difficile l'investissement de ressources supplémentaires dans l'IA. Le Canada pourrait être considéré comme déclarant que l'IA est devenue trop risquée pour être poursuivie.
Parmi les principales préoccupations exprimées par Vector au sujet de la formulation du projet de loi figure le manque de clarté de la définition d'un "système d'IA" - la chose même que l'AIDA vise à réglementer. De même, on s'inquiète du fait que le projet de loi ne fournit pas de critères spécifiant la nature des systèmes d'IA " à fort impact " qui comportent les plus grands risques de dommages.
La définition par l'AIDA de la "personne responsable" des systèmes d'IA - organisations et individus obligés de suivre la réglementation et passibles de sanctions - a également alarmé les participants. La définition large de "personne responsable" semble inclure toutes les entreprises et tous les individus qui participent de quelque manière que ce soit à la collecte de données, au codage, à l'ingénierie, à la formation, à la distribution et à l'utilisation des systèmes d'IA. En créant un vaste réseau de personnes potentiellement responsables, le projet de loi ne permet pas de déterminer clairement où les responsabilités d'une personne se terminent et où celles d'une autre commencent. Les participants ont également noté que la LAI ne précise pas les conditions dans lesquelles les personnes travaillant dans des organisations (par opposition aux organisations elles-mêmes) peuvent être tenues responsables des préjudices liés à l'utilisation de systèmes d'IA.
Parmi les autres exigences clés qui, selon les participants, doivent être clarifiées, mentionnons l'évaluation du risque, ou la probabilité qu'un système cause un préjudice important ; l'instauration de l'équité (c.-à-d. éviter les résultats biaisés) ; l'établissement de normes pratiques pour l'anonymisation des données ; et la spécification de la limite de compétence de l'ACRA à l'activité commerciale internationale et interprovinciale.
Au-delà du manque de clarté de la loi, les participants au projet de gestion des risques liés à l'IA de Vector ont exprimé leur malaise ou leur incompréhension quant à la manière dont les règlements fédéraux en matière d'IA seront administrés. Par exemple, le projet de loi propose de donner à une seule autorité fédérale le pouvoir de déterminer la non-conformité aux règlements et d'imposer des sanctions financières. Certains participants ont estimé que la séparation de ces deux fonctions en deux organismes pourrait conduire à un environnement réglementaire plus responsable.
Enfin, bien que l'ACRA propose de moduler les pénalités en fonction de la taille de l'organisation, certains participants craignent que le risque de pénalités rende beaucoup plus difficile pour les jeunes entreprises et les petites entreprises d'attirer des investisseurs, tout en créant de nouveaux avantages pour les grandes entreprises technologiques internationales qui peuvent se permettre de payer les amendes canadiennes ou de les contester par des litiges. Les nouvelles entreprises peuvent choisir de se constituer en société dans une autre juridiction, où les règles sont plus claires, plutôt que de prendre le risque d'opérer sans savoir ce que la réglementation future imposera. Les participants ont également eu l'impression que le fardeau des mécanismes de déclaration imposés par la loi pesait plus lourdement sur les petites organisations que sur les grandes entreprises internationales qui sont équipées pour répondre à ces exigences.
Une voie à suivre
"L'IA transformatrice nécessite de nouvelles façons de penser la réglementation gouvernementale".
- Professeur Gillian Hadfield, Directeur,
Institut Schwartz Reisman pour la technologie et la société
Certains participants ont discuté de la possibilité de demander au gouvernement de séparer la loi ACRA du projet de loi C-27. Cela permettrait à la CPPA et à la PIDPTA - deux mises à jour importantes de la législation canadienne sur la protection de la vie privée - d'être adoptées pendant que la loi ACRA est révisée avec le même niveau d'attention que le reste du projet de loi.
Que l'ACRA demeure ou non dans le projet de loi C-27, les intervenants de l'écosystème de l'IA au Canada ont démontré qu'ils ont beaucoup à contribuer aux conversations sur les prochaines étapes. Les participants ont reconnu un intérêt général parmi les experts et les praticiens canadiens de l'IA à fournir au gouvernement fédéral des commentaires sur le programme ACRA et des idées spécifiques sur les règlements de l'IA qui serviront les meilleurs intérêts du Canada.
L'une de ces recommandations émanant d'un sponsor de l'industrie du vecteur est d'aligner la définition des systèmes d'IA de l'AIDA sur celles adoptées par l'Organisation de coopération et de développement économiques (OCDE) et la loi sur l'IA de l'Union européenne. Une autre recommandation est de suivre l'approche de la Loi sur l'IA de l'UE pour distinguer les responsabilités des différentes parties prenantes et préciser les critères des systèmes à haut risque. Cette harmonisation des définitions apporterait à l'écosystème canadien de l'IA une clarté et une compatibilité juridiques considérables, tout en ouvrant la voie à une collaboration et un commerce accrus avec les partenaires de l'UE.
Certains participants ont également recommandé d'ajuster les règlements pour les entreprises en démarrage et les autres petites et moyennes entreprises afin de leur permettre d'atteindre plus facilement les objectifs de l'ACRA, tandis que d'autres ont préconisé une évaluation minutieuse de la façon dont le projet de loi s'inscrit dans l'environnement réglementaire canadien et international plus large.
Du point de vue des participants au projet, la prise en compte de ces questions et d'autres questions connexes dans l'actuel projet de loi ACRA est d'une importance vitale pour l'élaboration de règlements efficaces et pratiques en matière d'IA. Les participants ont vu une occasion pour l'écosystème de l'IA du Canada de se mobiliser, de s'impliquer, de créer des normes et de susciter des conversations importantes au sein des industries et entre elles.
Rejoignez notre liste de diffusion pour participer au prochain projet de leadership éclairé de Vector et découvrez les avantages de participer à des conversations comme celle-ci en tant que sponsor industriel.