Le 16 juin 2022, le ministre de l’Innovation, des Sciences et de l’Industrie a déposé le projet de loi C-27 introduisant des mises à jour du régime fédéral relatif au respect de la vie privée applicable au secteur privé et une nouvelle loi sur l’intelligence artificielle. En cas d’adoption, la Loi sur l’intelligence artificielle et les données (LIAD) serait la première loi au Canada à réglementer l’utilisation des systèmes d’intelligence artificielle. L’objectif fixé par la LIAD consiste à établir des exigences communes à l’ensemble du Canada pour la conception, le développement et le déploiement de systèmes d’intelligence artificielle qui soient conformes aux normes nationales et internationales, et à interdire certains comportements liés aux systèmes d’intelligence artificielle susceptibles de causer un préjudice grave aux personnes ou à leurs intérêts, selon le cas, dans le respect des normes et des valeurs canadiennes, conformément aux principes du droit international des droits de l’homme. Bien que la démarche générale de la LIAD soit évidente, l’impact total de la législation ne sera évalué qu’avec la publication des règlements associés, qui définiront l’essentiel des modalités d’application.
Principales caractéristiques
Le projet de loi C-27 établit le cadre suivant :
- Approche : Adopter une approche fondée sur le risque visant à se concentrer sur les domaines présentant le risque le plus élevé, semblable à l’approche figurant dans la proposition de loi sur l’intelligence artificielle dans l’UE, en se concentrant sur les domaines présentant le plus grand risque de préjudice et de partialité par l’établissement de règles pour l’utilisation des systèmes d’intelligence artificielle ayant un « impact important » (un terme qui sera défini dans les règlements). Il sera difficile de connaître l’impact total de la LIAD sans la publication des règlements.
- Champ d’application : La LIAD s’applique aux organisations du secteur privé qui conçoivent, développent ou proposent l’utilisation de systèmes d’intelligence artificielle au cours des échanges et du commerce internationaux ou interprovinciaux, un domaine réglementé par l’autorité législative du gouvernement fédéral. Un « système d’intelligence artificielle » est défini au sens large et comprend tout « système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à des activités humaines en utilisant un algorithme génétique, un réseau neuronal, l’apprentissage automatique ou une autre technique afin de générer du contenu ou prendre des décisions, faire des recommandations ou des prévisions ».
- Exigences générales :
- Mesures d’évaluation et d’atténuation des risques : Les personnes chargées des systèmes d’intelligence artificielle doivent évaluer s’il s’agit d’un système à impact important (un terme qui sera défini dans le règlement), et établir des mesures pour identifier, évaluer et atténuer les risques de préjudice ou de résultats entachés d’erreurs systématiques qui pourraient être causés par l’utilisation du système.
- Surveillance : Les personnes chargées des systèmes à impact important doivent mettre en place des dispositions pour surveiller la conformité avec les mesures d’atténuation des risques.
- Transparence : Toute personne mettant à disposition pour utilisation, ou gérant le fonctionnement d’un système à impact important, doit publier sur un site web accessible au public, en langage clair, une description de :
- Comment le système est, ou doit être, utilisé;
- Les types de contenu qu’il génère et les décisions, recommandations ou prévisions qu’il formule;
- Les mesures d’atténuation établies pour établir, évaluer et atténuer les risques de préjudice ou de résultats entachés d’erreurs systématiques qui pourraient être causés par l’utilisation du système; et
- Tout autre renseignement prescrit par le règlement.
- Tenue de registres : Toute personne exerçant une activité réglementée doit se conformer aux exigences prescrites en matière de tenue de registres.
- Notification : Toute personne chargée d’un système à impact important doit informer le ministre si l’utilisation de ce système entraîne ou risque d’entraîner un préjudice important.
- Utilisation des données anonymisées : Toute personne qui exerce une activité réglementée par la loi et qui, dans le cadre de cette activité, traite ou met à disposition pour utilisation des données anonymisées doit, conformément à la réglementation, établir des mesures concernant : a) la manière dont les données sont anonymisées; et b) l’utilisation et la gestion des données anonymisées.
- Arrêtés ministériels : Le ministre peut, par arrêté, exiger :
- La production de dossiers
- La réalisation d’un audit, ou la retenue des services d’un auditeur indépendant pour effectuer un audit
- Qu’une organisation qui fait l’objet d’un audit mette en œuvre toute mesure précisée dans ledit audit
- Qu’une organisation chargée d’un système à impact important cesse de l’utiliser ou de le mettre à disposition s’il existe des motifs raisonnables de croire que l’utilisation de ce système entraîne un risque sérieux de dommage imminent
- Administration : La LIAD prévoit un droit légal pour le ministre qui peut désigner un haut fonctionnaire du ministère qu’il préside, appelé Commissaire à l’intelligence artificielle et aux données, qui a pour rôle d’aider le ministre dans l’administration et l’application de la LIAD.
- Application :
- Des sanctions administratives pécuniaires seront définies dans les règlements
- Les sanctions pour les infractions à la LIAD sont importantes, jusqu’à 3 % des revenus mondiaux ou 10 millions de dollars canadiens
- Des sanctions plus élevées, pouvant aller jusqu’à 5 % des revenus mondiaux ou 25 millions de dollars canadiens ou une peine d’emprisonnement, s’appliquent, s’il s’agit d’un particulier, aux infractions les plus graves pour les raisons suivantes :
- La possession ou l’utilisation de renseignements personnels obtenus par des moyens criminels ou autres moyens illégaux dans le but de créer, d’utiliser ou de mettre à disposition un système d’IA,
- L’utilisation d’un système d’IA en sachant (ou sans se soucier de savoir) que le système est susceptible de causer un préjudice grave ou psychologique ou des dommages substantiels à des biens, si un tel préjudice ou dommage se produit, et
- L’utilisation d’un système d’IA avec l’intention frauduleuse de tromper le public et de causer une perte économique, si une telle perte se produit.
Prochaines étapes
Le projet de loi C-27 doit maintenant être discuté en deuxième lecture, puis il sera revu, éventuellement modifié, et de nouveau discuté, avant de recevoir la sanction royale. Le public devrait avoir la possibilité de formuler des commentaires et de présenter des propositions.